Групповой показатель М1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу"

┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐

│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │

│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │

│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │

│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.1 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0581 │ │

│ │организации роли ее работников? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.2 │Формируются ли роли, связанные с │ обязательный │ │ │ │ │ │ │ 0,0291 │ │

│ │выполнением деятельности по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ, на основании │ │ │ │ │ │ │ │ │ │

│ │требований разделов 7 и 8 │ │ │ │ │ │ │ │ │ │

│ │стандарта СТО БР ИББС-1.0? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.3 │Персонифицированы ли роли в │ обязательный │ │ │ │ │ │ │ 0,0502 │ │

│ │организации с установлением │ │ │ │ │ │ │ │ │ │

│ │ответственности за их выполнение? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.4 │Зафиксирована ли документально в │ обязательный │ │ │ │ │ │ │ 0,0461 │ │

│ │должностных инструкциях │ │ │ │ │ │ │ │ │ │

│ │ответственность за выполнение │ │ │ │ │ │ │ │ │ │

│ │ролей? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.5 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0522 │ │

│ │роли, совмещающие функции │ │////│/////│/////│/////│ │ │ │ │

│ │разработки и сопровождения │ │////│/////│/////│/////│ │ │ │ │

│ │системы/ПО? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.6 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0610 │ │

│ │роли, совмещающие функции │ │////│/////│/////│/////│ │ │ │ │

│ │разработки и эксплуатации │ │////│/////│/////│/////│ │ │ │ │

│ │системы/ПО? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.7 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0522 │ │

│ │роли, совмещающие функции │ │////│/////│/////│/////│ │ │ │ │

│ │сопровождения и эксплуатации? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.8 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0661 │ │

│ │роли, совмещающие функции │ │////│/////│/////│/////│ │ │ │ │

│ │администратора системы и │ │////│/////│/////│/////│ │ │ │ │

│ │администратора информационной │ │////│/////│/////│/////│ │ │ │ │

│ │безопасности? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.9 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0661 │ │

│ │роли, совмещающие функции по │ │////│/////│/////│/////│ │ │ │ │

│ │выполнению операций в системе и │ │////│/////│/////│/////│ │ │ │ │

│ │контроля их выполнения? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.10 │Определены ли документально в │ обязательный │ │ │ │ │ │ │ 0,1001 │ │

│ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │

│ │процедуры контроля деятельности │ │ │ │ │ │ │ │ │ │

│ │работников, обладающих │ │ │ │ │ │ │ │ │ │

│ │совокупностью полномочий │ │ │ │ │ │ │ │ │ │

│ │(ролями), позволяющих получить │ │ │ │ │ │ │ │ │ │

│ │контроль над защищаемым │ │ │ │ │ │ │ │ │ │

│ │информационным активом │ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0513 │ │

│ │организации процедуры приема на │ │ │ │ │ │ │ │ │ │

│ │работу, влияющую на обеспечение │ │ │ │ │ │ │ │ │ │

│ │ИБ, включающие: │ │ │ │ │ │ │ │ │ │

│ │- проверку подлинности │ │ │ │ │ │ │ │ │ │

│ │предоставленных документов, │ │ │ │ │ │ │ │ │ │

│ │заявляемой квалификации, точности │ │ │ │ │ │ │ │ │ │

│ │и полноты биографических навыков; │ │ │ │ │ │ │ │ │ │

│ │- проверку в части │ │ │ │ │ │ │ │ │ │

│ │профессиональных навыков и оценку │ │ │ │ │ │ │ │ │ │

│ │профессиональной пригодности? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.12 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0371 │ │

│ │частном показателе М1.11 │ │ │ │ │ │ │ │ │ │

│ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │

│ │результатов проводимых проверок? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.13 │Определены ли в документах │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0302 │ │

│ │организации процедуры регулярной │ │////│/////│/////│/////│ │ │ │ │

│ │проверки в части профессиональных │ │////│/////│/////│/////│ │ │ │ │

│ │навыков и оценки профессиональной │ │////│/////│/////│/////│ │ │ │ │

│ │пригодности работников? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.14 │Предусматривают ли указанные в │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0302 │ │

│ │частном показателе М1.13 │ │////│/////│/////│/////│ │ │ │ │

│ │процедуры документальную фиксацию │ │////│/////│/////│/////│ │ │ │ │

│ │результатов проводимых проверок? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.15 │Определены ли в документах │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0433 │ │

│ │организации процедуры внеплановой │ │////│/////│/////│/////│ │ │ │ │

│ │проверки работников при выявлении │ │////│/////│/////│/////│ │ │ │ │

│ │фактов их нештатного поведения, │ │////│/////│/////│/////│ │ │ │ │

│ │участия в инцидентах ИБ или │ │////│/////│/////│/////│ │ │ │ │

│ │подозрений в таком поведении или │ │////│/////│/////│/////│ │ │ │ │

│ │участии? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.16 │Предусматривают ли указанные в │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0391 │ │

│ │частном показателе М1.15 │ │////│/////│/////│/////│ │ │ │ │

│ │процедуры документальную фиксацию │ │////│/////│/////│/////│ │ │ │ │

│ │результатов проводимых проверок? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.17 │Обязаны ли все работники │ обязательный │ │ │ │ │ │ │ 0,0383 │ │

│ │организации давать письменные │ │ │ │ │ │ │ │ │ │

│ │обязательства о соблюдении │ │ │ │ │ │ │ │ │ │

│ │конфиденциальности, │ │ │ │ │ │ │ │ │ │

│ │приверженности правилам │ │ │ │ │ │ │ │ │ │

│ │корпоративной этики, включая │ │ │ │ │ │ │ │ │ │

│ │требования по недопущению │ │ │ │ │ │ │ │ │ │

│ │конфликта интересов? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.18 │Регламентируются ли положениями, │ обязательный │ │ │ │ │ │ │ 0,0449 │ │

│ │включенными в договоры │ │ │ │ │ │ │ │ │ │

│ │(соглашения) с внешними │ │ │ │ │ │ │ │ │ │

│ │организациями и клиентами, │ │ │ │ │ │ │ │ │ │

│ │требования по ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.19 │Определены ли в трудовых │ обязательный │ │ │ │ │ │ │ 0,0582 │ │

│ │контрактах (соглашениях, │ │ │ │ │ │ │ │ │ │

│ │договорах) и (или) должностных │ │ │ │ │ │ │ │ │ │

│ │инструкциях обязанности персонала │ │ │ │ │ │ │ │ │ │

│ │по выполнению требований ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М1.20 │Приравнивается ли невыполнение │ обязательный │ │ │ │ │ │ │ 0,0462 │ │

│ │работниками организации │ │ │ │ │ │ │ │ │ │

│ │требований ИБ к невыполнению │ │ │ │ │ │ │ │ │ │

│ │должностных обязанностей и │ │ │ │ │ │ │ │ │ │

│ │приводит ли как минимум к │ │ │ │ │ │ │ │ │ │

│ │дисциплинарной ответственности? │ │ │ │ │ │ │ │ │ │

├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤

│Итоговая оценка группового показателя М1 │ │

└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘