Групповой показатель М28 "Оценка деятельности руководства организации БС РФ по поддержке планирования СОИБ"
См. данную форму в MS-Excel.
Групповой показатель М28 "Оценка деятельности руководства
организации БС РФ по поддержке планирования СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐
│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │
│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │
│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │
│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.1 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│(аналог М10.1)│организации и корректируется ли │ │ │ │ │ │ │ │ │ │
│ │опись структурированных по │ │ │ │ │ │ │ │ │ │
│ │классам защищаемых информационных │ │ │ │ │ │ │ │ │ │
│ │активов (типов информационных │ │ │ │ │ │ │ │ │ │
│ │активов - типов информации)? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.2 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│(аналог М10.6)│организации роли по │ │ │ │ │ │ │ │ │ │
│ │определению/коррекции области │ │ │ │ │ │ │ │ │ │
│ │действия СОИБ и по составлению и │ │ │ │ │ │ │ │ │ │
│ │пересмотру описи информационных │ │ │ │ │ │ │ │ │ │
│ │активов (типов информационных │ │ │ │ │ │ │ │ │ │
│ │активов), находящихся в области │ │ │ │ │ │ │ │ │ │
│ │действия СОИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.3 │Назначены ли в организации │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│(аналог М10.7)│ответственные за выполнение ролей │ │ │ │ │ │ │ │ │ │
│ │по определению/коррекции области │ │ │ │ │ │ │ │ │ │
│ │действия СОИБ и по составлению и │ │ │ │ │ │ │ │ │ │
│ │пересмотру описи информационных │ │ │ │ │ │ │ │ │ │
│ │активов (типов информационных │ │ │ │ │ │ │ │ │ │
│ │активов), находящихся в области │ │ │ │ │ │ │ │ │ │
│ │действия СОИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.4 │Принята ли в организации и │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│(аналог М11.1)│корректируется ли методика оценки │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ/подход к │ │ │ │ │ │ │ │ │ │
│ │оценке рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.5 │Определены ли в организации │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│(аналог М11.2)│критерии принятия рисков │ │ │ │ │ │ │ │ │ │
│ │нарушения ИБ и уровень │ │ │ │ │ │ │ │ │ │
│ │допустимого риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.6 │Определяет ли порядок оценки │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│(аналог М11.4)│рисков нарушения ИБ необходимые │ │ │ │ │ │ │ │ │ │
│ │процедуры оценки рисков нарушения │ │ │ │ │ │ │ │ │ │
│ │ИБ, а также последовательность их │ │ │ │ │ │ │ │ │ │
│ │выполнения? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│(аналог М11.9)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │
│ │деятельностью по │ │ │ │ │ │ │ │ │ │
│ │определению/коррекции методики │ │ │ │ │ │ │ │ │ │
│ │оценки рисков нарушения ИБ/ │ │ │ │ │ │ │ │ │ │
│ │подхода к оценке риска нарушения │ │ │ │ │ │ │ │ │ │
│ │ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.8 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │
│ М11.10) │деятельностью по │ │ │ │ │ │ │ │ │ │
│ │определению/коррекции методики │ │ │ │ │ │ │ │ │ │
│ │оценки рисков нарушения ИБ/ │ │ │ │ │ │ │ │ │ │
│ │подхода к оценке риска нарушения │ │ │ │ │ │ │ │ │ │
│ │ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │организации роли по оценке рисков │ │ │ │ │ │ │ │ │ │
│ М11.11) │нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.10 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │выполнение ролей по оценке рисков │ │ │ │ │ │ │ │ │ │
│ М11.12) │нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.11 │Утверждены ли руководством │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│(аналог М12.3)│организации планы обработки │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.12 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│(аналог М12.5)│организации роли по разработке │ │ │ │ │ │ │ │ │ │
│ │планов обработки рисков нарушения │ │ │ │ │ │ │ │ │ │
│ │ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.13 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│(аналог М12.6)│выполнение ролей по разработке │ │ │ │ │ │ │ │ │ │
│ │планов обработки рисков нарушения │ │ │ │ │ │ │ │ │ │
│ │ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.14 │Разработана ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0408 │ │
│(аналог М13.2)│организации? Утверждена ли │ │ │ │ │ │ │ │ │ │
│ │политика ИБ руководством? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.15 │Корректируется ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│(аналог М13.3)│организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.16 │Разработаны ли частные политики │ обязательный │ │ │ │ │ │ │ 0,0408 │ │
│(аналог М13.4)│ИБ организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.17 │Корректируются ли частные │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│(аналог М13.5)│политики ИБ организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.18 │Определены ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│(аналог М13.9)│(частных политиках ИБ) │ │ │ │ │ │ │ │ │ │
│ │организации: │ │ │ │ │ │ │ │ │ │
│ │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │
│ │- основные области обеспечения │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов; │ │ │ │ │ │ │ │ │ │
│ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │
│ │- совокупность правил, требований │ │ │ │ │ │ │ │ │ │
│ │и руководящих принципов в области │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- основные требования к │ │ │ │ │ │ │ │ │ │
│ │обеспечению ИБ; │ │ │ │ │ │ │ │ │ │
│ │- принципы противодействия │ │ │ │ │ │ │ │ │ │
│ │угрозам ИБ по отношению к типам │ │ │ │ │ │ │ │ │ │
│ │основных защищаемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов; │ │ │ │ │ │ │ │ │ │
│ │- основные принципы повышения │ │ │ │ │ │ │ │ │ │
│ │уровня осознания и │ │ │ │ │ │ │ │ │ │
│ │осведомленности в области ИБ; │ │ │ │ │ │ │ │ │ │
│ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │
│ │выполнения требований политики │ │ │ │ │ │ │ │ │ │
│ │ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.19 │Корректируются ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │(частных политиках ИБ) │ │ │ │ │ │ │ │ │ │
│ М13.10) │организации: │ │ │ │ │ │ │ │ │ │
│ │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │
│ │- основные области обеспечения │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов; │ │ │ │ │ │ │ │ │ │
│ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │
│ │- совокупность правил, требований │ │ │ │ │ │ │ │ │ │
│ │и руководящих принципов в области │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- основные требования к │ │ │ │ │ │ │ │ │ │
│ │обеспечению ИБ; │ │ │ │ │ │ │ │ │ │
│ │- принципы противодействия │ │ │ │ │ │ │ │ │ │
│ │угрозам ИБ по отношению к типам │ │ │ │ │ │ │ │ │ │
│ │основных защищаемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов; │ │ │ │ │ │ │ │ │ │
│ │- основные принципы повышения │ │ │ │ │ │ │ │ │ │
│ │уровня осознания и │ │ │ │ │ │ │ │ │ │
│ │осведомленности в области ИБ; │ │ │ │ │ │ │ │ │ │
│ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │
│ │выполнения требований политики ИБ?│ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.20 │Разрабатываются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0408 │ │
│ (аналог │документы, регламентирующие │ │ │ │ │ │ │ │ │ │
│ М13.11) │деятельность в области │ │ │ │ │ │ │ │ │ │
│ │обеспечения ИБ на основе: │ │ │ │ │ │ │ │ │ │
│ │- законодательства Российской │ │ │ │ │ │ │ │ │ │
│ │Федерации; │ │ │ │ │ │ │ │ │ │
│ │- комплекса БР ИББС, в частности │ │ │ │ │ │ │ │ │ │
│ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │
│ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │
│ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │
│ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │
│ │- договорных требований │ │ │ │ │ │ │ │ │ │
│ │организации со сторонними │ │ │ │ │ │ │ │ │ │
│ │организациями; │ │ │ │ │ │ │ │ │ │
│ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │
│ │выполненной с соответствующей │ │ │ │ │ │ │ │ │ │
│ │уровню разрабатываемого документа │ │ │ │ │ │ │ │ │ │
│ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов (типов │ │ │ │ │ │ │ │ │ │
│ │информационных активов)? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.21 │Корректируются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │документы, регламентирующие │ │ │ │ │ │ │ │ │ │
│ М13.12) │деятельность в области │ │ │ │ │ │ │ │ │ │
│ │обеспечения ИБ на основе: │ │ │ │ │ │ │ │ │ │
│ │- законодательства Российской │ │ │ │ │ │ │ │ │ │
│ │Федерации; │ │ │ │ │ │ │ │ │ │
│ │- комплекса БР ИББС, в частности │ │ │ │ │ │ │ │ │ │
│ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │
│ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │
│ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │
│ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │
│ │- договорных требований │ │ │ │ │ │ │ │ │ │
│ │организации со сторонними │ │ │ │ │ │ │ │ │ │
│ │организациями; │ │ │ │ │ │ │ │ │ │
│ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │
│ │выполненной с соответствующей │ │ │ │ │ │ │ │ │ │
│ │уровню разрабатываемого документа │ │ │ │ │ │ │ │ │ │
│ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов (типов │ │ │ │ │ │ │ │ │ │
│ │информационных активов)? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.22 │Утвержден ли руководством │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │организации порядок │ │ │ │ │ │ │ │ │ │
│ М13.16) │взаимодействия (координирования │ │ │ │ │ │ │ │ │ │
│ │работы) службы ИБ с работниками, │ │ │ │ │ │ │ │ │ │
│ │ответственными за обеспечение ИБ │ │ │ │ │ │ │ │ │ │
│ │в структурных подразделениях │ │ │ │ │ │ │ │ │ │
│ │организации (в случае наличия в │ │ │ │ │ │ │ │ │ │
│ │структурных подразделениях │ │ │ │ │ │ │ │ │ │
│ │организации работников, │ │ │ │ │ │ │ │ │ │
│ │ответственных за обеспечение ИБ)? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.23 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │организации процедуры выделения и │ │ │ │ │ │ │ │ │ │
│ М13.18) │распределения ролей в области │ │ │ │ │ │ │ │ │ │
│ │обеспечения ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.24 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │организации роли по разработке, │ │ │ │ │ │ │ │ │ │
│ М13.20) │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │
│ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │
│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │
│ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.25 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │выполнение ролей по разработке, │ │ │ │ │ │ │ │ │ │
│ М13.21) │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │
│ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │
│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │
│ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.26 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│(аналог М15.3)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │
│ │реализацией планов обработки │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ и с │ │ │ │ │ │ │ │ │ │
│ │реализацией требуемых защитных │ │ │ │ │ │ │ │ │ │
│ │мер? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М28.27 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│(аналог М15.4)│выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │
│ │реализацией планов обработки │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ и с │ │ │ │ │ │ │ │ │ │
│ │реализацией требуемых защитных │ │ │ │ │ │ │ │ │ │
│ │мер? │ │ │ │ │ │ │ │ │ │
├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤
│Итоговая оценка группового показателя М28 │ │
└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей