Групповой показатель М12 "Разработка планов обработки рисков нарушения ИБ"

┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐

│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │

│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │

│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │

│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М12.1 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,1814 │ │

│ │организации по каждому из │ │ │ │ │ │ │ │ │ │

│ │недопустимых рисков нарушения ИБ │ │ │ │ │ │ │ │ │ │

│ │план, определяющий один из │ │ │ │ │ │ │ │ │ │

│ │возможных способов обработки │ │ │ │ │ │ │ │ │ │

│ │риска: │ │ │ │ │ │ │ │ │ │

│ │- перенос риска на сторонние │ │ │ │ │ │ │ │ │ │

│ │организации (например, путем │ │ │ │ │ │ │ │ │ │

│ │страхования указанного риска); │ │ │ │ │ │ │ │ │ │

│ │- уход от риска (например, путем │ │ │ │ │ │ │ │ │ │

│ │отказа от деятельности, │ │ │ │ │ │ │ │ │ │

│ │выполнение которой приводит к │ │ │ │ │ │ │ │ │ │

│ │появлению риска); │ │ │ │ │ │ │ │ │ │

│ │- осознанное принятие риска; │ │ │ │ │ │ │ │ │ │

│ │- формирование требований ИБ, │ │ │ │ │ │ │ │ │ │

│ │снижающих риск до допустимого │ │ │ │ │ │ │ │ │ │

│ │уровня, и формирование планов по │ │ │ │ │ │ │ │ │ │

│ │их реализации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М12.2 │Согласованы ли планы обработки │ обязательный │ │ │ │ │ │ │ 0,1814 │ │

│ │рисков нарушения ИБ с │ │ │ │ │ │ │ │ │ │

│ │руководителем службы ИБ либо │ │ │ │ │ │ │ │ │ │

│ │лицом, отвечающим в организации │ │ │ │ │ │ │ │ │ │

│ │за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М12.3 │Утверждены ли руководством │ обязательный │ │ │ │ │ │ │ 0,1814 │ │

│ │организации планы обработки │ │ │ │ │ │ │ │ │ │

│ │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М12.4 │Содержат ли планы реализации │ обязательный │ │ │ │ │ │ │ 0,1702 │ │

│ │требований ИБ последовательность │ │ │ │ │ │ │ │ │ │

│ │и сроки реализации и внедрения │ │ │ │ │ │ │ │ │ │

│ │организационных, технических и │ │ │ │ │ │ │ │ │ │

│ │иных защитных мер? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М12.5 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1428 │ │

│ │организации роли по разработке │ │ │ │ │ │ │ │ │ │

│ │планов обработки рисков нарушения │ │ │ │ │ │ │ │ │ │

│ │ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М12.6 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1428 │ │

│ │выполнение ролей по разработке │ │ │ │ │ │ │ │ │ │

│ │планов обработки рисков нарушения │ │ │ │ │ │ │ │ │ │

│ │ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤

│Итоговая оценка группового показателя М12 │ │

└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘