st-12-xx (1027740), страница 7
Текст из файла (страница 7)
N 55/86/20«Об утверждении Порядка проведения классификацииинформационных систем персональных данных»?М10.2Определены ли в организации и зафиксированы лидокументально критерии классификации ИСПДн, а такжепорядок проведения классификации ИСПДн?М10.3Проводится ли классификация на основе категорийобрабатываемых в ИСПДн персональных данных?М10.4Зафиксированы ли документально и утверждены лируководством результаты классификации ИСПДн?М10.5Определен ли для каждого класса ИСПДн набортребований по обеспечению безопасности персональныхданных на основе требований 7-ого и 8-ого разделов СТОБР ИББС-1.0, а также, при необходимости, на основерезультатов оценки рисков нарушения безопасностиперсональных данных?Итоговая оценка группового показателя М10проект 11.05.2010Обязательностьвыполнения00,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,2обязательный0,2обязательныйобязательный0,20,2обязательный0,2ВычисленноезначениепоказателяИБ48СТО БР ИББС-1.2-20ххГрупповой показатель М11 «Организация и функционирование службы ИБ организации БСРФ»ОбозначениечастногопоказателяИБМ11.1М11.2М11.3М11.4М11.5М11.6М11.7М11.8М11.9М11.10Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Сформирована ли руководством служба ИБ (назначено лиуполномоченное лицо) для реализации, эксплуатации,контроля и поддержания на должном уровне СОИБ,утверждены ли цели и задачи ее деятельности?Имеет ли служба ИБ утвержденные руководствомполномочия и ресурсы, необходимые для выполненияустановленных целей и задач?Имеет ли служба ИБ назначенного из числа руководствакуратора, который при этом не является кураторомслужбы информатизации (автоматизации)?Наделена ли служба ИБ собственным бюджетом?Сформированы ли для организаций, имеющих сетьфилиалов или региональных представительств,подразделения ИБ (уполномоченные лица) на местах иобеспечены ли эти подразделения необходимымиресурсами и нормативной базой?Наделена ли служба ИБ (уполномоченное лицо)полномочиямиорганизовыватьсоставлениеиконтролировать выполнение всех планов по обеспечениюИБ организации?Наделена ли служба ИБ (уполномоченное лицо)полномочиями разрабатывать и вносить предложения поизменению политик ИБ организации?Наделена ли служба ИБ (уполномоченное лицо)полномочиями организовывать изменения существующихи принятие руководством новых внутренних документов,регламентирующих деятельность по обеспечению ИБорганизации?Наделена ли служба ИБ (уполномоченное лицо)полномочиямиопределятьтребованиякмерамобеспечения ИБ организации?Наделена ли служба ИБ (уполномоченное лицо)полномочиями контролировать работников организации,в части выполнения ими требований внутреннихдокументов, регламентирующих деятельность в областиобеспечения ИБ, в первую очередь, работников, имеющихмаксимальные полномочия по доступу к защищаемыминформационным активам?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,0816обязательный0,0753обязательный0,0750рекомендуемыйрекомендуемый0,05300,0615обязательный0,0694обязательный0,0725обязательный0,0725обязательный0,0781обязательный0,0725проект 11.05.201049М11.11Наделена ли служба ИБ (уполномоченное лицо)полномочиями осуществлятьмониторинг событий,связанных с обеспечением ИБ?М11.12Наделена ли служба ИБ (уполномоченное лицо)полномочиями участвовать в расследовании событий,связанных с инцидентами ИБ, и выходить в случаенеобходимости с предложениями по применению санкцийв отношении лиц, осуществивших НСД и НРД (например,нарушивших требования инструкций, руководств пообеспечению ИБ организации)?М11.13Наделена ли служба ИБ (уполномоченное лицо)полномочиямиучаствоватьвдействияхповосстановлению работоспособности АБС после сбоев иаварий?М11.14Наделена ли служба ИБ (уполномоченное лицо)полномочиями участвовать в создании, поддержании,эксплуатации и совершенствовании СОИБ организации?Итоговая оценка группового показателя М11проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,0725обязательный0,0787обязательный0,0587обязательный0,078750СТО БР ИББС-1.2-20ххГрупповой показатель М12 «Определение/коррекция области действия СОИБ»ОбозначениечастногопоказателяИБМ12.1Оценка частного показателя ИБЧастный показатель ИБОпределеналивдокументахорганизацииикорректируется ли опись, структурированных по классамзащищаемыхинформационныхактивов(типовинформационных активов - типов информации)?М12.2Проводится ли классификация информационных активовпо типам на основании оценок ценности информационныхактивов для интересов (целей) организации, например, всоответствии с тяжестью последствий потери свойств ИБинформационных активов?М12.3Содержитлиописьинформационныхактивовинформациюопринадлежностиконкретногоинформационногоактиваквыделеннымтипаминформационных активов (в случае наличия ворганизации классификации информационных активов)?М12.4Содержит ли опись информационных активов (типовинформационных активов) перечень их объектов среды,покрывающийвсеуровниинформационнойинфраструктуры организации, определенной в разделе 6стандарта СТО БР ИББС-1.0?М12.5Определены ли в документах организации процедурыанализа и пересмотра области действия СОИБ (вчастности, процедуры пересмотра при изменении перечняинформационных активов организации или типовинформационных активов)?М12.6Определены ли в документах организации роли поопределению/коррекции области действия СОИБ и посоставлению и пересмотру описи информационныхактивов (типов информационных активов), находящихся вобласти действия СОИБ?М12.7Назначеныливорганизацииответственныеза выполнение ролей по определению/коррекции областидействия СОИБ и по составлению и пересмотру описиинформационных активов (типов информационныхактивов), находящихся в области действия СОИБ?Итоговая оценка группового показателя М12Обязательностьвыполнения00,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,1956рекомендуемый0,1614обязательный0,1352обязательный0,1098обязательный0,1276обязательный0,1352обязательный0,1352проект 11.05.201051СТО БР ИББС-1.2-20ххГрупповой показатель М13 «Выбор/коррекция подхода к оценке рисков нарушения ИБ ипроведению оценки рисков нарушения ИБ»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ13.1М13.2М13.3М13.4М13.5М13.6М13.7М13.8Частный показатель ИБОбязательностьвыполнения0Принята ли в организации и корректируется ли методикаоценки рисков нарушения ИБ/подход к оценке рисковнарушения ИБ?Определены ли в организации критерии принятия рисковнарушения ИБ и уровень допустимого риска нарушенияИБ?Определяет ли методика оценки рисков нарушенияИБ/подход к оценке рисков нарушения ИБ организацииспособ и порядок качественного или количественногооценивания риска нарушения ИБ на основанииоценивания:–степенивозможностиреализацииугрозИБвыявленными и(или) предполагаемыми источникамиугроз ИБ, зафиксированных в моделях угроз инарушителя, в результате их воздействия на объектысреды информационных активов организации (типовинформационных активов);–степени тяжести последствий от потери свойств ИБ,в частности свойств доступности, целостности иконфиденциальностидлярассматриваемыхинформационных активов (типов информационныхактивов)?Определяет ли порядок оценки рисков нарушения ИБнеобходимые процедуры оценки рисков нарушения ИБ, атакже последовательность их выполнения?Проводится ли оценка рисков нарушения ИБ для свойствИБвсехинформационныхактивов(типовинформационных активов) области действия СОИБ?Создан ли и поддерживается ли в актуальном состоянииединыйинформационныйресурс(базаданных),содержащий информацию об инцидентах ИБ?Соотносятся ли величины рисков, полученные врезультате оценивания рисков нарушения ИБ, с уровнемдопустимого риска, принятого в организации?Определен ли в документах организации переченьнедопустимых рисков нарушения ИБ, сформированныйна основе сравнения полученных в результатеоценивания рисков нарушения ИБ величин рисков суровнем допустимого риска, принятого в организации?проект 11.05.20100,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,1154обязательный0,1070обязательный0,0854обязательный0,0854обязательный0,0676рекомендуемый0,0688обязательный0,0766обязательный0,0766ВычисленноезначениепоказателяИБ52СТО БР ИББС-1.2-20ххМ13.9Определены ли в документах организации роли,связанные с деятельностью по определению/коррекцииметодики оценки рисков нарушения ИБ/подхода к оценкериска нарушения ИБ?М13.10Назначены ли ответственные за выполнение ролей,связанных с деятельностью по определению/коррекцииметодики оценки рисков нарушения ИБ/подхода к оценкериска нарушения ИБ?М13.11Определены ли в документах организации роли по оценкерисков нарушения ИБ?М13.12Назначены ли ответственные за выполнение ролей пооценке рисков нарушения ИБ?Итоговая оценка группового показателя М13обязательный0,0782обязательный0,0782обязательныйобязательный0,07820,0826проект 11.05.201053СТО БР ИББС-1.2-20ххГрупповой показатель М14 «Разработка планов обработки рисков нарушения ИБ»ОбозначениечастногопоказателяИБМ14.1Оценка частного показателя ИБЧастный показатель ИБОпределен ли в документах организации по каждому изнедопустимых рисков нарушения ИБ план, определяющийодин из возможных способов обработки риска:−перенос риска на сторонние организации (например,путем страхования указанного риска);−уход от риска (например, путем отказа отдеятельности,выполнениекоторойприводиткпоявлению риска);−осознанное принятие риска;−формирование требований ИБ, снижающих риск додопустимого уровня, и формирование планов по ихреализации?М14.2Согласованны ли планы обработки рисков нарушения ИБс руководителем службы ИБ либо лицом, отвечающим ворганизации за обеспечение ИБ?М14.3Утверждены ли руководством организации планыобработки рисков нарушения ИБ?М14.4Содержат ли планы реализации требований ИБпоследовательность и сроки реализации и внедренияорганизационных, технических и иных защитных мер?М14.5Определены ли в документах организации роли поразработке планов обработки рисков нарушения ИБ?М14.6Назначены ли ответственные за выполнение ролей поразработке планов обработки рисков нарушения ИБ?Итоговая оценка группового показателя М14проект 11.05.2010Обязательностьвыполнения00,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,1814обязательный0,1814обязательный0,1814обязательный0,1702обязательныйобязательный0,14280,1428ВычисленноезначениепоказателяИБ54СТО БР ИББС-1.2-20ххГрупповой показатель М15 «Определение/коррекция внутренних документов,регламентирующих деятельность в области обеспечения ИБ»ОбозначениечастногопоказателяИБМ15.1М15.2М15.3М15.4М15.5М15.6М15.7М15.8Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Проводится ли разработка и коррекция внутреннихдокументов, регламентирующих деятельность в областиобеспечения ИБ в организации, с учетом рекомендаций постандартизации Банка России РС БР ИББС– 2.0«Обеспечениеинформационнойбезопасностиорганизаций банковской системы Российской Федерации.Методические рекомендации по документации в областиобеспеченияинформационнойбезопасностивсоответствии с требованиями СТО БР ИББС-1.0»?Разработана ли политика ИБ организации? Утверждена липолитика ИБ руководством?Корректируется ли политика ИБ организации?Разработаны ли частные политики ИБ организации?Корректируются ли частные политики ИБ организации?Разработаныливорганизациидокументы,регламентирующие процедуры выполнения отдельныхвидов деятельности, связанных с обеспечением ИБ?Корректируютсяливорганизациидокументы,регламентирующие процедуры выполнения отдельныхвидов деятельности, связанных с обеспечением ИБ?Определен ли в организации перечень и формыдокументов, являющихся свидетельством выполнениядеятельности по обеспечению ИБ?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБрекомендуемый0,0406обязательныйобязательныйобязательныйобязательныйобязательный0,06280,05570,05800,05570,0510обязательный0,0489обязательный0,0407проект 11.05.201055М15.9Определены ли в политике ИБ (частных политиках ИБ)организации:–цели и задачи обеспечения ИБ;–обязательныйосновные области обеспечения ИБ;–типыактивов;–основныхзащищаемыхинформационныемодели угроз и нарушителей;–совокупность правил, требований и руководящихпринципов в области ИБ;–СТО БР ИББС-1.2-20хх0,0510основные требования к обеспечению ИБ;–принципыпротиводействияугрозамИБпоотношениюктипамосновныхзащищаемыхинформационных активов;–основные принципы повышения уровня осознания иосведомленности в области ИБ;М15.10–принципы реализации и контроля выполнениятребований политики ИБ?Корректируются ли в политике ИБ (частных политиках ИБ)организации:–цели и задачи обеспечения ИБ;–основные области обеспечения ИБ;–типыактивов;–основныхзащищаемыхинформационныемодели угроз и нарушителей;–совокупность правил, требований и руководящихпринципов в области ИБ;–обязательныйосновные требования к обеспечению ИБ;–принципыпротиводействияугрозамИБпоотношениюктипамосновныхзащищаемыхинформационных активов;–основные принципы повышения уровня осознания иосведомленности в области ИБ;принципыреализациитребований политики ИБ?проект 11.05.2010иконтролявыполнения0,048656СТО БР ИББС-1.2-20ххМ15.11М15.12М15.13М15.14М15.15М15.16Разрабатываютсяливнутренниедокументы,регламентирующие деятельность в области обеспеченияИБ на основе:−законодательства Российской Федерации;−комплекса БР ИББС, в частности, требования 7 и 8раздела стандарта СТО БР ИББС-1.0;−нормативных актов и предписаний регулирующих инадзорных органов;−договорных требований организации со стороннимиорганизациями;−результатовоценкирисков,выполненнойссоответствующей уровню разрабатываемого документадетализациейрассматриваемыхинформационныхактивов (типов информационных активов)?Корректируютсяливнутренниедокументы,регламентирующие деятельность в области обеспеченияИБ на основе:−законодательства Российской Федерации;−комплекса БР ИББС, в частности, требования 7 и 8раздела стандарта СТО БР ИББС-1.0;−нормативных актов и предписаний регулирующих инадзорных органов;−договорных требований организации со стороннимиорганизациями;−результатовоценкирисков,выполненнойссоответствующей уровню разрабатываемого документадетализациейрассматриваемыхинформационныхактивов (типов информационных активов)?Содержит ли совокупность внутренних документов,регламентирующих деятельность в области обеспеченияИБ, требования по обеспечению ИБ всех выявленныхинформационных активов (типов информационныхактивов), находящихся в области действия СОИБорганизации?Не противоречат ли документы, регламентирующиепроцедуры выполнения отдельных видов деятельности,связанных с обеспечением ИБ, положениям политики ИБи частных политик ИБ?Детализируютлидокументы,регламентирующиепроцедуры выполнения отдельных видов деятельности,связанных с обеспечением ИБ, положения политики ИБ ичастных политик ИБ?Утвержден ли руководством организации порядоквзаимодействия (координирования работы) службы ИБ сработниками, ответственными за обеспечение ИБ вструктурных подразделениях организации (в случаеналичия в структурных подразделениях организацииработников, ответственных за обеспечение ИБ)?обязательный0,0519обязательный0,0510обязательный0,0501обязательный0,0510обязательный0,0426обязательный0,0354проект 11.05.201057М15.17Определены ли в составе документов, регламентирующихдеятельность в области обеспечения ИБ, переченьсвидетельств выполнения указанной деятельности иответственность работников организации за выполнениеэтой деятельности?М15.18Определены ли в документах организации процедурывыделенияираспределенияролейвобластиобеспечения ИБ?М15.19Определен ли в документах организации порядокразработки,поддержки,пересмотраиконтроляисполнения внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?М15.20Определены ли в документах организации роли поразработке,поддержке,пересмотруиконтролюисполнения внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?М15.21Назначены ли ответственные за выполнение ролей поразработке,поддержке,пересмотруиконтролюисполнения внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?Итоговая оценка группового показателя М15проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,0426обязательный0,0443обязательный0,0406обязательный0,0382обязательный0,039358СТО БР ИББС-1.2-20ххГрупповой показатель М16 «Принятие руководством организации БС РФ решений ореализации и эксплуатации СОИБ»ОбозначениечастногопоказателяИБМ16.1Оценка частного показателя ИБЧастный показатель ИБОформлены ли документально и утверждены лируководством решения о реализации и эксплуатацииСОИБ, в частности, решения:−об анализе и принятии остаточных рисков нарушенияИБ;−о планировании этапов внедрения СОИБ,вчастности, требований ИБ, изложенных в 7 и 8 разделахСТО БР ИББС-1.0;−о распределении ролей в области обеспечения ИБорганизации;−о принятии со стороны руководства плановвнедрения защитных мер, направленных на реализациютребований 7 и 8 разделов СТО БР ИББС-1.0 и снижениерисков ИБ;−о выделенииресурсов, необходимых дляреализации и эксплуатации функционирования СОИБ?М16.2Утверждены ли руководством все планы внедренияСОИБ, в частности планы реализаций требований 7 и 8разделов СТО БР ИББС-1.0, планы обработки рисковнарушения ИБ и внедрения защитных мер, в которыхдокументально зафиксированы:−последовательность выполнения мероприятий врамках указанных планов;−срокиначалаиокончаниязапланированныхмероприятий;−должностные лица (подразделения), ответственныеза выполнение каждого указанного мероприятия?М16.3Определен ли документально порядок разработки,пересмотраиконтроляисполненияплановпообеспечению ИБ организации?М16.4Оформлены ли документально решения руководства,связанные с назначением и распределением ролей длявсех структурных подразделений в соответствии сположениями внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?Итоговая оценка группового показателя М16Обязательностьвыполнения00,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,2752обязательный0,2812обязательный0,2096обязательный0,2340проект 11.05.201059СТО БР ИББС-1.2-20ххГрупповой показатель М17 «Организация реализации планов внедрения СОИБ»ОбозначениечастногопоказателяИБМ17.1Оценка частного показателя ИБЧастный показатель ИБОпределены ли в документах организации и выполняютсялипроектирование/приобретение/развертывание,внедрение, эксплуатация, контроль и сопровождениеэксплуатации защитных мер (СИБ), предусмотренныхпланами реализации требований ИБ?М17.2Реализуются ли при построении элементов СИБ(применительно к конкретной области или сфередеятельностиорганизации)защитныемеры,применяемые к объектам среды, в соответствии ссуществующимиворганизациитребованиямиобеспечения ИБ, сформулированными в политике ИБ идругих внутренних документах организации?М17.3Определены ли в документах организации роли,связанные с реализацией планов обработки рисковнарушения ИБ и с реализацией требуемых защитных мер?М17.4Назначены ли ответственные за выполнение ролей,связанных с реализацией планов обработки рисковнарушения ИБ и с реализацией требуемых защитных мер?Итоговая оценка группового показателя М17проект 11.05.2010Обязательностьвыполнения00,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,2540обязательный0,2688обязательный0,2412обязательный0,2360ВычисленноезначениепоказателяИБ60СТО БР ИББС-1.2-20ххГрупповой показатель М18 «Разработка и организация реализации программ по обучениюи повышению осведомленности в области ИБ»ОбозначениечастногопоказателяИБМ18.1М18.2М18.3М18.4М18.5М18.6Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Организована ли документально оформленная работа сперсоналом организации в направлении повышенияосведомленности и обучения в области ИБ, включаяразработку и реализацию планов и программ обучения иповышения осведомленности в области ИБ и контролярезультатов выполнения указанных планов? Утвержденали руководством указанная работа?Установлены ли в планах обучения и повышенияосведомленности требования к периодичности обученияи повышения осведомленности?Включена ли в программы обучения и повышенияосведомленности информация:−по существующим политикам ИБ;−по применяемым в организации защитным мерам;−по правильному использованию защитных мер всоответствии с внутренними документами организации;−о значимости и важности деятельности работниковдля обеспечения ИБ организации?Определен ли в организации перечень документов,являющихся свидетельством выполнения программобучения и повышения осведомленности в области ИБ, вчастности:−документы(журналы),подтверждающиепрохождение руководителями и работниками организацииобучения в области ИБ с указанием уровня образования,навыков, опыта и квалификации обучаемых;−документы,содержащиерезультатыпроверокобучения работников организации;−документы,содержащиерезультатыпроверокосведомленности в области ИБ в организации?Организуется ли для работника, получившего новую роль,обучение или инструктаж в области ИБ, соответствующееполученной роли?Определены ли в документах организации роли поразработке, реализации планов и программ обучения иповышения осведомленности в области ИБ и поконтролю их результатов?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,1898обязательный0,1378обязательный0,1536обязательный0,1184обязательный0,1396обязательный0,1290проект 11.05.201061М18.7Назначены ли ответственные за выполнение ролей поразработке, реализации планов и программ обучения иповышения осведомленности в области ИБ и поконтролю их результатов?Итоговая оценка группового показателя М18проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,133862СТО БР ИББС-1.2-20ххГрупповой показатель М19 «Организация обнаружения и реагирования на инцидентыбезопасности»ОбозначениечастногопоказателяИБМ19.1М19.2М19.3М19.4М19.5М19.6М19.7М19.8Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Существуютливорганизациидокументы,регламентирующие процедуры обработки инцидентов,включающие:−процедуры обнаружения инцидентов ИБ;−процедуры информирования об инцидентах;−процедуры классификации инцидентов и оценкиущерба, нанесенного инцидентом ИБ;−процедуры реагирования на инцидент;−процедуры анализа причин инцидентов ИБ и оценкирезультатов реагирования на инциденты ИБ (принеобходимости с участием внешних экспертов в областиИБ)?Сформирована и поддерживается ли в актуальномсостоянии централизованная база инцидентов ИБ?Определены ли в документах организации процедуры похранению информации:−об инцидентах ИБ,−о практиках анализа инцидентов ИБ,−о результатах реагирования на инциденты ИБ?Определен ли в документах организации порядокдействий работников организации при обнаружениинетипичных событий, связанных с ИБ, и порядокинформирования о данных событиях?Осведомлены ли работники организации о порядкедействий при обнаружении нетипичных событий,связанных с ИБ, и порядке информирования о данныхсобытиях?Учитывают ли процедуры расследования инцидентовдействующее законодательство Российской Федерации,положения нормативных актов Банка России, а такжевнутренних документов организации в области ИБ?Принимаются и выполняются ли в организациидокументальнооформленныерешенияповсемвыявленным инцидентам ИБ?Определены ли в документах организации роли пообнаружению, классификации, реагированию, анализу ирасследованию инцидентов ИБ?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,1372рекомендуемый0,1152обязательный0,1152обязательный0,1124обязательный0,1124обязательный0,0948обязательный0,1076обязательный0,1026проект 11.05.201063М19.9Назначены ли ответственные за выполнение ролей пообнаружению, классификации, реагированию, анализу ирасследованию инцидентов ИБ?Итоговая оценка группового показателя М19проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,102664СТО БР ИББС-1.2-20ххГрупповой показатель М20 «Организация обеспечения непрерывности бизнеса и еговосстановления после прерываний»ОбозначениечастногопоказателяИБМ20.1М20.2М20.3М20.4М20.5Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Выделены ли в описи защищаемых информационныхактивоворганизацииактивы,существенныедляобеспечения непрерывности бизнеса организации?Определены лидокументально в организациитребования обеспечения ИБ, регламентирующие вопросыобеспечениянепрерывностибизнесаиеговосстановления после прерывания?Определенливдокументахорганизациипланобеспечениянепрерывностибизнесаиеговосстановленияпослевозможногопрерывания,содержащий инструкции и порядок действий работниковорганизации, в состав которого включены:−условия активизации плана;−порядокдействий,которыедолжныбытьпредпринятыпослеинцидентаИБ(инструкцииперсонала);−процедуры восстановления;−процедуры тестирования и проверки плана;−план обучения и повышения осведомленностиработников организации;−обязанности работников организации с указаниемответственных за выполнение каждого из положенийплана?Основывается ли разработка планов обеспечениянепрерывности бизнеса и его восстановления послепрерываний на документально оформленных результатахоценкирисковнарушенияИБорганизации,применительнокинформационнымактивам,существенным для обеспечения непрерывности бизнесаи его восстановления после прерывания?Определенылидокументально,реализованыиэксплуатируются лизащитные меры обеспечениянепрерывностибизнесаприменительнокинформационнымактивам,существеннымдляобеспечениянепрерывностибизнесаиеговосстановления после прерывания?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,0876обязательный0,0888обязательный0,0907обязательный0,0673обязательный0,0801проект 11.05.201065М20.6Основывается ли реализация и использование защитныхмер обеспечения непрерывности бизнеса и еговосстановления после прерывания на соответствующихтребованиях обеспечения ИБ?М20.7Согласован ли план обеспечения непрерывности бизнесаиеговосстановленияпослепрерыванийссуществующими в организации процедурами обработкиинцидентов ИБ?М20.8Определено ли в документах организации и выполняетсяли периодическое тестирование плана обеспечениянепрерывности бизнеса и его восстановления послепрерывания?М20.9Составлен ли сценарий тестирования плана обеспечениянепрерывности бизнеса и его восстановления послепрерывания с учетом существующей в организациимодели угроз и нарушителей, а также результатов оценкирисков?М20.10Проводится ли, при необходимости, корректировка планаобеспечениянепрерывностибизнесаиеговосстановления после прерывания по результатамтестирования?М20.11Реализована ли в организации программа обучения иповышения осведомленности работников в областиобеспечениянепрерывностибизнесаиеговосстановления после прерываний?М20.12Определены ли в документах организации и выполняютсяли процедуры регулярного пересмотра и обновленияплана обеспечения непрерывности бизнеса и еговосстановления после прерывания (для обеспеченияуверенности в их эффективности), учитывающиеизменения в приоритетах, целях и интересах бизнесаорганизации; пересмотр моделей угроз; оценку рисковнарушения ИБ?М20.13Определены ли в документах организации роли поразработке плана обеспечения непрерывности бизнеса иего восстановления после прерывания?М20.14Назначены ли ответственные за выполнения ролей поразработке плана обеспечения непрерывности бизнеса иего восстановления после прерывания?Итоговая оценка группового показателя М20проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,0758обязательный0,0593обязательный0,0550обязательный0,0587обязательный0,0699обязательный0,0593обязательный0,0717обязательный0,0679обязательный0,067966СТО БР ИББС-1.2-20ххГрупповой показатель М21 «Мониторинг и контроль защитных мер»ОбозначениечастногопоказателяИБМ21.1Оценка частного показателя ИБЧастный показатель ИБОпределены ли в документах организации процедурымониторинга СОИБ и контроля защитных мер (включаяконтроль параметров конфигурации и настроек средств имеханизмов защиты),которые охватывают всереализованные и эксплуатируемые защитные меры,входящие в СИБ, проводятся персоналом организации,ответственным за обеспечение ИБ?М21.2Фиксируются ли документально результаты выполненияпроцедур мониторинга СОИБ и контроля защитных мер?М21.3Определены ли в документах организации и выполняютсяли процедуры сбора и хранения информации о действияхработников организации, событиях и параметрах,имеющих отношение к функционированию защитныхмер?М21.4Включается ли в базу данных инцидентов информацияобо всех инцидентах ИБ, выявленных в процессемониторинга СОИБ и контроля защитных мер?М21.5Подвергаются ли процедуры мониторинга СОИБ иконтроля защитных мер регулярным и документальнозафиксированным пересмотрам в связи с изменениями всоставе и способах использования защитных мер,выявлением новых угроз и уязвимостей ИБ, а также наоснове данных об инцидентах ИБ?М21.6Определен ли в документах организации порядокпересмотра процедур мониторинга СОИБ и контролязащитных мер?М21.7Определены ли в документах организации роли,связанные с выполнением процедур мониторинга СОИБ иконтроля защитных мер, а также с пересмотромуказанных процедур?М21.8Назначены ли ответственные за выполнения ролей,связанных с выполнением процедур мониторинга СОИБ иконтроля защитных мер, а также с пересмотромуказанных процедур?Итоговая оценка группового показателя М21Обязательностьвыполнения00,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,1482обязательный0,1352обязательный0,1068обязательный0,1352обязательный0,1312обязательный0,1066обязательный0,1184обязательный0,1184проект 11.05.201067СТО БР ИББС-1.2-20ххГрупповой показатель М22 «Проведение самооценки ИБ»ОбозначениечастногопоказателяИБМ22.1М22.2М22.3М22.4М22.5М22.6М22.7М22.8М22.9Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Проводится ли самооценка ИБ в соответствии снастоящим стандартом?Организован ли порядок проведения самооценки ИБ всоответствии с рекомендациями по стандартизации БанкаРоссии РС БР ИББС-2.1 «Обеспечение информационнойбезопасностиорганизацийбанковскойсистемыРоссийской Федерации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
