Групповой показатель М22 "Анализ функционирования СОИБ"

┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐

│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │

│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │

│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │

│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.1 │Проводится ли в организации │ обязательный │ │ │ │ │ │ │ 0,1274 │ │

│ │анализ функционирования СОИБ, │ │ │ │ │ │ │ │ │ │

│ │использующий в том числе: │ │ │ │ │ │ │ │ │ │

│ │- результаты мониторинга СОИБ и │ │ │ │ │ │ │ │ │ │

│ │контроля защитных мер; │ │ │ │ │ │ │ │ │ │

│ │- сведения об инцидентах ИБ; │ │ │ │ │ │ │ │ │ │

│ │- результаты проведения аудитов │ │ │ │ │ │ │ │ │ │

│ │ИБ, самооценок ИБ; │ │ │ │ │ │ │ │ │ │

│ │- данные об угрозах, возможных │ │ │ │ │ │ │ │ │ │

│ │нарушителях и уязвимостях ИБ; │ │ │ │ │ │ │ │ │ │

│ │- данные об изменениях внутри │ │ │ │ │ │ │ │ │ │

│ │организации, например данные об │ │ │ │ │ │ │ │ │ │

│ │изменениях в процессах и │ │ │ │ │ │ │ │ │ │

│ │технологиях, реализуемых в рамках │ │ │ │ │ │ │ │ │ │

│ │основного процессного потока, │ │ │ │ │ │ │ │ │ │

│ │изменениях во внутренних │ │ │ │ │ │ │ │ │ │

│ │документах организации; │ │ │ │ │ │ │ │ │ │

│ │- данные об изменениях вне │ │ │ │ │ │ │ │ │ │

│ │организации, например данные об │ │ │ │ │ │ │ │ │ │

│ │изменениях в законодательстве │ │ │ │ │ │ │ │ │ │

│ │Российской Федерации, изменениях │ │ │ │ │ │ │ │ │ │

│ │в требованиях комплекса БР ИББС, │ │ │ │ │ │ │ │ │ │

│ │изменениях в договорных │ │ │ │ │ │ │ │ │ │

│ │обязательствах организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.2 │Проводится ли анализ соответствия │ обязательный │ │ │ │ │ │ │ 0,1058 │ │

│ │комплекса внутренних документов, │ │ │ │ │ │ │ │ │ │

│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ в организации, │ │ │ │ │ │ │ │ │ │

│ │требованиям законодательства РФ, │ │ │ │ │ │ │ │ │ │

│ │требованиям стандартов Банка │ │ │ │ │ │ │ │ │ │

│ │России, контрактным требованиям │ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.3 │Проводится ли анализ соответствия │ обязательный │ │ │ │ │ │ │ 0,1002 │ │

│ │внутренних документов нижних │ │ │ │ │ │ │ │ │ │

│ │уровней иерархии, │ │ │ │ │ │ │ │ │ │

│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ в организации, │ │ │ │ │ │ │ │ │ │

│ │требованиям политик ИБ │ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.4 │Проводится ли оценка рисков в │ обязательный │ │ │ │ │ │ │ 0,0946 │ │

│ │области ИБ организации, включая │ │ │ │ │ │ │ │ │ │

│ │оценку уровня остаточного и │ │ │ │ │ │ │ │ │ │

│ │допустимого рисков? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.5 │Проводится ли проверка │ обязательный │ │ │ │ │ │ │ 0,0946 │ │

│ │адекватности модели угроз │ │ │ │ │ │ │ │ │ │

│ │организации существующим угрозам │ │ │ │ │ │ │ │ │ │

│ │ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.6 │Проводится ли оценка адекватности │ обязательный │ │ │ │ │ │ │ 0,0930 │ │

│ │используемых защитных мер │ │ │ │ │ │ │ │ │ │

│ │требованиям внутренних документов │ │ │ │ │ │ │ │ │ │

│ │организации и результатам оценки │ │ │ │ │ │ │ │ │ │

│ │рисков? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.7 │Проводится ли анализ отсутствия │ обязательный │ │ │ │ │ │ │ 0,0822 │ │

│ │разрывов в технологических │ │ │ │ │ │ │ │ │ │

│ │процессах обеспечения ИБ, а также │ │ │ │ │ │ │ │ │ │

│ │несогласованности в использовании │ │ │ │ │ │ │ │ │ │

│ │защитных мер? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.8 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,1026 │ │

│ │анализа функционирования СОИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0998 │ │

│ │организации роли, связанные с │ │ │ │ │ │ │ │ │ │

│ │процедурами анализа │ │ │ │ │ │ │ │ │ │

│ │функционирования СОИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М22.10 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0998 │ │

│ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │

│ │процедурами анализа │ │ │ │ │ │ │ │ │ │

│ │функционирования СОИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤

│Итоговая оценка группового показателя М22 │ │

└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘