Групповой показатель М13 "Определение/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ"

┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐

│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │

│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │

│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │

│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.1 │Проводится ли разработка и │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0406 │ │

│ │коррекция внутренних документов, │ │////│/////│/////│/////│ │ │ │ │

│ │регламентирующих деятельность в │ │////│/////│/////│/////│ │ │ │ │

│ │области обеспечения ИБ в │ │////│/////│/////│/////│ │ │ │ │

│ │организации, с учетом │ │////│/////│/////│/////│ │ │ │ │

│ │рекомендаций по стандартизации │ │////│/////│/////│/////│ │ │ │ │

│ │Банка России РС БР ИББС-2.0 │ │////│/////│/////│/////│ │ │ │ │

│ │"Обеспечение информационной │ │////│/////│/////│/////│ │ │ │ │

│ │безопасности организаций │ │////│/////│/////│/////│ │ │ │ │

│ │банковской системы Российской │ │////│/////│/////│/////│ │ │ │ │

│ │Федерации. Методические │ │////│/////│/////│/////│ │ │ │ │

│ │рекомендации по документации в │ │////│/////│/////│/////│ │ │ │ │

│ │области обеспечения │ │////│/////│/////│/////│ │ │ │ │

│ │информационной безопасности в │ │////│/////│/////│/////│ │ │ │ │

│ │соответствии с требованиями СТО │ │////│/////│/////│/////│ │ │ │ │

│ │БР ИББС-1.0"? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.2 │Разработана ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0628 │ │

│ │организации? Утверждена ли │ │ │ │ │ │ │ │ │ │

│ │политика ИБ руководством? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.3 │Корректируется ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0557 │ │

│ │организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.4 │Разработаны ли частные политики │ обязательный │ │ │ │ │ │ │ 0,0580 │ │

│ │ИБ организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.5 │Корректируются ли частные │ обязательный │ │ │ │ │ │ │ 0,0557 │ │

│ │политики ИБ организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.6 │Разработаны ли в организации │ обязательный │ │ │ │ │ │ │ 0,0510 │ │

│ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │

│ │процедуры выполнения отдельных │ │ │ │ │ │ │ │ │ │

│ │видов деятельности, связанных с │ │ │ │ │ │ │ │ │ │

│ │обеспечением ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.7 │Корректируются ли в организации │ обязательный │ │ │ │ │ │ │ 0,0489 │ │

│ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │

│ │процедуры выполнения отдельных │ │ │ │ │ │ │ │ │ │

│ │видов деятельности, связанных с │ │ │ │ │ │ │ │ │ │

│ │обеспечением ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.8 │Определены ли в организации │ обязательный │ │ │ │ │ │ │ 0,0407 │ │

│ │перечень и формы документов, │ │ │ │ │ │ │ │ │ │

│ │являющихся свидетельством │ │ │ │ │ │ │ │ │ │

│ │выполнения деятельности по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.9 │Определены ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0510 │ │

│ │(частных политиках ИБ) │ │ │ │ │ │ │ │ │ │

│ │организации: │ │ │ │ │ │ │ │ │ │

│ │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │

│ │- основные области обеспечения │ │ │ │ │ │ │ │ │ │

│ │ИБ; │ │ │ │ │ │ │ │ │ │

│ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │

│ │информационных активов; │ │ │ │ │ │ │ │ │ │

│ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │

│ │- совокупность правил, требований │ │ │ │ │ │ │ │ │ │

│ │и руководящих принципов в области │ │ │ │ │ │ │ │ │ │

│ │ИБ; │ │ │ │ │ │ │ │ │ │

│ │- основные требования к │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ; │ │ │ │ │ │ │ │ │ │

│ │- принципы противодействия │ │ │ │ │ │ │ │ │ │

│ │угрозам ИБ по отношению к типам │ │ │ │ │ │ │ │ │ │

│ │основных защищаемых │ │ │ │ │ │ │ │ │ │

│ │информационных активов; │ │ │ │ │ │ │ │ │ │

│ │- основные принципы повышения │ │ │ │ │ │ │ │ │ │

│ │уровня осознания и │ │ │ │ │ │ │ │ │ │

│ │осведомленности в области ИБ; │ │ │ │ │ │ │ │ │ │

│ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │

│ │выполнения требований политики │ │ │ │ │ │ │ │ │ │

│ │ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.10 │Корректируются ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0486 │ │

│ │(частных политиках ИБ) │ │ │ │ │ │ │ │ │ │

│ │организации: │ │ │ │ │ │ │ │ │ │

│ │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │

│ │- основные области обеспечения ИБ;│ │ │ │ │ │ │ │ │ │

│ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │

│ │информационных активов; │ │ │ │ │ │ │ │ │ │

│ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │

│ │- совокупность правил, требований │ │ │ │ │ │ │ │ │ │

│ │и руководящих принципов в области │ │ │ │ │ │ │ │ │ │

│ │ИБ; │ │ │ │ │ │ │ │ │ │

│ │- основные требования к │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ; │ │ │ │ │ │ │ │ │ │

│ │- принципы противодействия │ │ │ │ │ │ │ │ │ │

│ │угрозам ИБ по отношению к типам │ │ │ │ │ │ │ │ │ │

│ │основных защищаемых │ │ │ │ │ │ │ │ │ │

│ │информационных активов; │ │ │ │ │ │ │ │ │ │

│ │- основные принципы повышения │ │ │ │ │ │ │ │ │ │

│ │уровня осознания и │ │ │ │ │ │ │ │ │ │

│ │осведомленности в области ИБ; │ │ │ │ │ │ │ │ │ │

│ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │

│ │выполнения требований политики │ │ │ │ │ │ │ │ │ │

│ │ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.11 │Разрабатываются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0519 │ │

│ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │

│ │деятельность в области │ │ │ │ │ │ │ │ │ │

│ │обеспечения ИБ на основе: │ │ │ │ │ │ │ │ │ │

│ │- законодательства Российской │ │ │ │ │ │ │ │ │ │

│ │Федерации; │ │ │ │ │ │ │ │ │ │

│ │- комплекса БР ИББС, в частности │ │ │ │ │ │ │ │ │ │

│ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │

│ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │

│ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │

│ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │

│ │- договорных требований │ │ │ │ │ │ │ │ │ │

│ │организации со сторонними │ │ │ │ │ │ │ │ │ │

│ │организациями; │ │ │ │ │ │ │ │ │ │

│ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │

│ │выполненной с соответствующей │ │ │ │ │ │ │ │ │ │

│ │уровню разрабатываемого документа │ │ │ │ │ │ │ │ │ │

│ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │

│ │информационных активов (типов │ │ │ │ │ │ │ │ │ │

│ │информационных активов)? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.12 │Корректируются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0510 │ │

│ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │

│ │деятельность в области │ │ │ │ │ │ │ │ │ │

│ │обеспечения ИБ на основе: │ │ │ │ │ │ │ │ │ │

│ │- законодательства Российской │ │ │ │ │ │ │ │ │ │

│ │Федерации; │ │ │ │ │ │ │ │ │ │

│ │- комплекса БР ИББС, в частности │ │ │ │ │ │ │ │ │ │

│ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │

│ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │

│ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │

│ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │

│ │- договорных требований │ │ │ │ │ │ │ │ │ │

│ │организации со сторонними │ │ │ │ │ │ │ │ │ │

│ │организациями; │ │ │ │ │ │ │ │ │ │

│ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │

│ │выполненной с соответствующей │ │ │ │ │ │ │ │ │ │

│ │уровню разрабатываемого документа │ │ │ │ │ │ │ │ │ │

│ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │

│ │информационных активов (типов │ │ │ │ │ │ │ │ │ │

│ │информационных активов)? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.13 │Содержит ли совокупность │ обязательный │ │ │ │ │ │ │ 0,0501 │ │

│ │внутренних документов, │ │ │ │ │ │ │ │ │ │

│ │регламентирующих деятельность в │ │ │ │ │ │ │ │ │ │

│ │области обеспечения ИБ, │ │ │ │ │ │ │ │ │ │

│ │требования по обеспечению ИБ всех │ │ │ │ │ │ │ │ │ │

│ │выявленных информационных активов │ │ │ │ │ │ │ │ │ │

│ │(типов информационных активов), │ │ │ │ │ │ │ │ │ │

│ │находящихся в области действия │ │ │ │ │ │ │ │ │ │

│ │СОИБ организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.14 │Не противоречат ли документы, │ обязательный │ │ │ │ │ │ │ 0,0510 │ │

│ │регламентирующие процедуры │ │ │ │ │ │ │ │ │ │

│ │выполнения отдельных видов │ │ │ │ │ │ │ │ │ │

│ │деятельности, связанных с │ │ │ │ │ │ │ │ │ │

│ │обеспечением ИБ, положениям │ │ │ │ │ │ │ │ │ │

│ │политики ИБ и частных политик ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.15 │Детализируют ли документы, │ обязательный │ │ │ │ │ │ │ 0,0426 │ │

│ │регламентирующие процедуры │ │ │ │ │ │ │ │ │ │

│ │выполнения отдельных видов │ │ │ │ │ │ │ │ │ │

│ │деятельности, связанных с │ │ │ │ │ │ │ │ │ │

│ │обеспечением ИБ, положения │ │ │ │ │ │ │ │ │ │

│ │политики ИБ и частных политик ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.16 │Утвержден ли руководством │ обязательный │ │ │ │ │ │ │ 0,0354 │ │

│ │организации порядок │ │ │ │ │ │ │ │ │ │

│ │взаимодействия (координирования │ │ │ │ │ │ │ │ │ │

│ │работы) службы ИБ с работниками, │ │ │ │ │ │ │ │ │ │

│ │ответственными за обеспечение ИБ │ │ │ │ │ │ │ │ │ │

│ │в структурных подразделениях │ │ │ │ │ │ │ │ │ │

│ │организации (в случае наличия в │ │ │ │ │ │ │ │ │ │

│ │структурных подразделениях │ │ │ │ │ │ │ │ │ │

│ │организации работников, │ │ │ │ │ │ │ │ │ │

│ │ответственных за обеспечение ИБ)? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.17 │Определены ли в составе │ обязательный │ │ │ │ │ │ │ 0,0426 │ │

│ │документов, регламентирующих │ │ │ │ │ │ │ │ │ │

│ │деятельность в области │ │ │ │ │ │ │ │ │ │

│ │обеспечения ИБ, перечень │ │ │ │ │ │ │ │ │ │

│ │свидетельств выполнения указанной │ │ │ │ │ │ │ │ │ │

│ │деятельности и ответственность │ │ │ │ │ │ │ │ │ │

│ │работников организации за │ │ │ │ │ │ │ │ │ │

│ │выполнение этой деятельности? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.18 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0443 │ │

│ │организации процедуры выделения и │ │ │ │ │ │ │ │ │ │

│ │распределения ролей в области │ │ │ │ │ │ │ │ │ │

│ │обеспечения ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.19 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0406 │ │

│ │организации порядок разработки, │ │ │ │ │ │ │ │ │ │

│ │поддержки, пересмотра и контроля │ │ │ │ │ │ │ │ │ │

│ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │

│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.20 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0382 │ │

│ │организации роли по разработке, │ │ │ │ │ │ │ │ │ │

│ │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │

│ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │

│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М13.21 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0393 │ │

│ │выполнение ролей по разработке, │ │ │ │ │ │ │ │ │ │

│ │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │

│ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │

│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │

├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤

│Итоговая оценка группового показателя М13 │ │

└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘