Групповой показатель M13 "Принятие менеджментом организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ"

┌───────────┬──────────────────────────────┬───────────────────────────────┬───────────────┬─────────────┐

│Обозначение│ Частный показатель ИБ │ Оценка частного показателя ИБ │ Коэффициент │ Вычисленное │

│ частного │ ├───┬─────┬─────┬─────┬────┬────┤ значимости │ значение │

│показателя │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │н/о │ частного │показателя ИБ│

│ ИБ │ │ │ │ │ │ │ │ показателя ИБ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.1 │Существует ли документ, в │ │ │ │ │ │ │ 0,105 │ │

│ │котором отражено принятие │ │ │ │ │ │ │ │ │

│ │руководством организации │ │ │ │ │ │ │ │ │

│ │остаточных рисков? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.2 │Имеется ли административное и │ │ │ │ │ │ │ 0,105 │ │

│ │кадровое обеспечение комплекса│ │ │ │ │ │ │ │ │

│ │средств управления ИБ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.3 │Существует ли в организации │ │ │ │ │ │ │ 0,116 │ │

│ │служба ИБ (ответственный за │ │ │ │ │ │ │ │ │

│ │ИБ)? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.4 │Определены ли роли по │ │ │ │ │ │ │ 0,105 │ │

│ │обеспечению ИБ во всех │ │ │ │ │ │ │ │ │

│ │структурных подразделениях │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.5 │Существуют ли документы, │ │ │ │ │ │ │ 0,116 │ │

│ │утвержденные руководством │ │ │ │ │ │ │ │ │

│ │организации, определяющие │ │ │ │ │ │ │ │ │

│ │перечень целей и задач службы │ │ │ │ │ │ │ │ │

│ │ИБ, включающий: │ │ │ │ │ │ │ │ │

│ │- управление всеми планами по │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ организации; │ │ │ │ │ │ │ │ │

│ │- разработку и внесение │ │ │ │ │ │ │ │ │

│ │предложений по изменению │ │ │ │ │ │ │ │ │

│ │политики ИБ организации; │ │ │ │ │ │ │ │ │

│ │- изменение существующих и │ │ │ │ │ │ │ │ │

│ │принятие новых нормативно- │ │ │ │ │ │ │ │ │

│ │методических документов по │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ организации; │ │ │ │ │ │ │ │ │

│ │- выбор средств управления и │ │ │ │ │ │ │ │ │

│ │обеспечения ИБ организации; │ │ │ │ │ │ │ │ │

│ │- контроль пользователей, в │ │ │ │ │ │ │ │ │

│ │первую очередь пользователей, │ │ │ │ │ │ │ │ │

│ │имеющих максимальные │ │ │ │ │ │ │ │ │

│ │полномочия; │ │ │ │ │ │ │ │ │

│ │- контроль активности, │ │ │ │ │ │ │ │ │

│ │связанной с доступом и │ │ │ │ │ │ │ │ │

│ │использованием средств │ │ │ │ │ │ │ │ │

│ │антивирусной защиты, а также с│ │ │ │ │ │ │ │ │

│ │применением других средств │ │ │ │ │ │ │ │ │

│ │обеспечения ИБ организации; │ │ │ │ │ │ │ │ │

│ │- осуществление мониторинга │ │ │ │ │ │ │ │ │

│ │событий, связанных с ИБ │ │ │ │ │ │ │ │ │

│ │организации; │ │ │ │ │ │ │ │ │

│ │- расследование событий, │ │ │ │ │ │ │ │ │

│ │связанных с нарушениями ИБ, и │ │ │ │ │ │ │ │ │

│ │в случае необходимости выхода │ │ │ │ │ │ │ │ │

│ │с предложениями по применению │ │ │ │ │ │ │ │ │

│ │санкций в отношении лиц, │ │ │ │ │ │ │ │ │

│ │осуществивших противоправные │ │ │ │ │ │ │ │ │

│ │действия, например, нарушивших│ │ │ │ │ │ │ │ │

│ │требования инструкций, │ │ │ │ │ │ │ │ │

│ │руководств и т.п. по │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ организации; │ │ │ │ │ │ │ │ │

│ │- участие в действиях по │ │ │ │ │ │ │ │ │

│ │восстановлению │ │ │ │ │ │ │ │ │

│ │работоспособности АБС после │ │ │ │ │ │ │ │ │

│ │сбоев и аварий; │ │ │ │ │ │ │ │ │

│ │- создание, поддержку и │ │ │ │ │ │ │ │ │

│ │совершенствование системы │ │ │ │ │ │ │ │ │

│ │управления ИБ организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.6 │Выделен ли собственный бюджет │ │ │ │ │ │ │ 0,116 │ │

│ │службы ИБ организации в рамках│ │ │ │ │ │ │ │ │

│ │бюджета организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.7 │Имеет ли служба ИБ организации│ │ │ │ │ │ │ 0,105 │ │

│ │собственного куратора на │ │ │ │ │ │ │ │ │

│ │уровне первых лиц в │ │ │ │ │ │ │ │ │

│ │руководстве организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.8 │Взаимодействует ли служба ИБ │ │ │ │ │ │ │ 0,116 │ │

│ │организации с сотрудниками, │ │ │ │ │ │ │ │ │

│ │ответственными за ИБ в │ │ │ │ │ │ │ │ │

│ │структурных подразделениях? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M13.9 │Обеспечена ли служба ИБ │ │ │ │ │ │ │ 0,116 │ │

│ │организации необходимыми и │ │ │ │ │ │ │ │ │

│ │достаточными полномочиями для │ │ │ │ │ │ │ │ │

│ │выполнения установленных целей│ │ │ │ │ │ │ │ │

│ │и задач? │ │ │ │ │ │ │ │ │

├───────────┴──────────────────────────────┴───┴─────┴─────┴─────┴────┴────┴───────────────┼─────────────┤

│ Итоговая оценка группового показателя M13 │ │

└──────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘