st-12-xx (1027740), страница 8
Текст из файла (страница 8)
Руководство по самооценкесоответствияинформационнойбезопасностиорганизаций банковской системы Российской Федерациитребованиям СТО БР ИББС–1.0»?Определена ли в документах организации и реализованали программа самооценок ИБ, содержащая информациюнеобходимуюдляпланированияиорганизациисамооценокИБ,ихконтроля,анализаисовершенствования,а также обеспечения ихресурсами,необходимымидляэффективногоирезультативного проведения указанных самооценок ИБ взаданные сроки?Определены ли в документах организации:−порядокформирования,сбораихранениясвидетельств самооценки ИБ;−периодичность проведения самооценки ИБ;−порядок хранения и использования результатовсамооценки ИБ?Оформлен ли в документах организации для каждойпроводимой в организации самооценки ИБ план еепроведения, определяющий:−цель самооценки ИБ;−объектыидеятельность,подвергающиесясамооценке ИБ;−порядокисрокивыполнениямероприятийсамооценки ИБ;−распределение ролей среди работников организации,связанных с проведением самооценки ИБ?Подготавливаются ли по результатам самооценок ИБотчеты?ДоводятсялирезультатысамооценокИБисоответствующие отчеты до руководства организации?Определены ли в документах организации роли,связанные с выполнением программы самооценок ИБ?Назначены ли ответственные за выполнение ролей,связанных с выполнением программы самооценок ИБ?проект 11.05.2010обязательный0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБ0,1340рекомендуемый0,1118обязательный0,1026обязательный0,1098обязательный0,0978обязательныйобязательныйобязательныйобязательный0,11500,12620,10140,1014ВычисленноезначениепоказателяИБ68СТО БР ИББС-1.2-20ххИтоговая оценка группового показателя М22проект 11.05.201069СТО БР ИББС-1.2-20ххГрупповой показатель М23 «Проведение аудита ИБ»ОбозначениечастногопоказателяИБМ23.1М23.2М23.3М23.4Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Проводится ли аудит ИБ организации в соответствии стребованиями стандарта Банка России СТО БР ИББС– 1.1«Обеспечениеинформационнойбезопасностиорганизаций банковской системы Российской Федерации.Аудит информационной безопасности» и настоящегостандарта?Определена ли в документах организации и реализуетсяли программа аудитов ИБ, содержащая информацию,необходимую для планирования и организации аудитовИБ, их контроля, анализа и совершенствования, а такжеобеспеченияихресурсами,необходимымидляэффективного и результативного проведения указанныхаудитов ИБ в заданные сроки?Оформлен ли в документах организации для каждогопроводимого в организации аудита ИБ план аудита,определяющий:−цель аудита ИБ;−критерии аудита ИБ;−область аудита ИБ;−дату и продолжительность проведения аудита ИБ;−состав аудиторской группы;−описаниедеятельностиимероприятийпопроведению аудита ИБ;−распределение ресурсов при проведении аудита ИБ?Оформлены ли договора с аудиторскими организациямии определены ли в соответствующих документах:−порядок хранения, доступа и использованияматериалов, получаемых в процессе проведения аудитаИБ;−порядок взаимодействия с аудиторской организациейв процессе проведения аудита ИБ;−порядок взаимодействия аудиторской группы ируководства, позволяющий представителям аудиторскойгруппы при необходимости непосредственно обращатьсяк руководству;−порядок организации опроса работников;−порядок организации наблюдения за деятельностьюработников организации со стороны представителейаудиторской организации?проект 11.05.20100,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,1192обязательный0,0974обязательный0,1112обязательный0,1246ВычисленноезначениепоказателяИБ70СТО БР ИББС-1.2-20ххМ23.5Подготавливаются ли по результатам аудитов ИБотчеты?М23.6Доводятся ли результаты аудитов ИБ и соответствующиеотчеты до руководства организации?М23.7Определен ли в документах организации порядокхранения,доступаииспользованияматериалов,получаемых в процессе проведения аудитов, в частности,отчетов аудитов?М23.8Определены ли в документах организации роли,связанные с организацией выполнения программаудитов и планов отдельных аудитов?М23.9Назначены ли ответственные за выполнение ролей,связанных с организацией выполнения программ аудитови планов отдельных внешних аудитов?Итоговая оценка группового показателя М23обязательныйобязательный0,11860,1312обязательный0,0886обязательный0,1046обязательный0,1046проект 11.05.201071СТО БР ИББС-1.2-20ххГрупповой показатель М24 «Анализ функционирования СОИБ»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ24.1М24.2М24.3М24.4М24.5М24.6М24.7Частный показатель ИБОбязательностьвыполнения0Проводится ли в организации анализ функционированияСОИБ, использующий, в том числе:−результаты мониторинга СОИБ и контроля защитныхмер;−сведения об инцидентах ИБ;−результаты проведения аудитов ИБ, самооценок ИБ;−данные об угрозах, возможных нарушителях иуязвимостях ИБ;−данныеобизмененияхвнутриорганизации,например, данные об изменениях в процессах итехнологиях,реализуемыхврамкахосновногопроцессногопотока,измененияхвовнутреннихдокументах организации;−данные об изменениях вне организации, например,данные об изменениях в законодательстве РоссийскойФедерации, изменениях в требованиях комплекса БРИББС, изменениях вдоговорных обязательствахорганизации?Проводитсялианализсоответствиякомплексавнутренних документов, регламентирующих деятельностьпо обеспечению ИБ в организации, требованиямзаконодательства РФ, требованиям стандартов БанкаРоссии, контрактным требованиям организации?Проводитсялианализсоответствиявнутреннихдокументовнижнихуровнейиерархии,регламентирующих деятельность по обеспечению ИБ ворганизации,требованиям политик ИБорганизации?Проводится ли оценка рисков в области ИБ организации,включая оценку уровня остаточного и допустимогорисков?Проводится ли проверка адекватности модели угрозорганизации существующим угрозам ИБ?Проводится ли оценка адекватности используемыхзащитных мер требованиям внутренних документоворганизации и результатам оценки рисков?Проводитсялианализотсутствияразрывоввтехнологических процессах обеспечения ИБ, а такженесогласованности в использовании защитных мер?проект 11.05.20100,250,50,751н/оКоэффициентзначимостичастногопоказателяИБобязательный0,1274обязательный0,1058обязательный0,1002обязательный0,0946обязательный0,0946обязательный0,0930обязательный0,0822ВычисленноезначениепоказателяИБ72СТО БР ИББС-1.2-20ххМ24.8Документируютсялирезультатыанализафункционирования СОИБ?М24.9Определены ли в документах организации роли,связанные с процедурами анализа функционированияСОИБ?М24.10Назначены ли ответственные за выполнение ролей,связанных с процедурами анализа функционированияСОИБ?Итоговая оценка группового показателя М24обязательный0,1026обязательный0,0998обязательный0,0998проект 11.05.201073СТО БР ИББС-1.2-20ххГрупповой показатель М25 «Анализ СОИБ со стороны руководства организации БС РФ»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ25.1М25.2М25.3М25.4Частный показатель ИБОбязательностьвыполнения0Утвержден ли в организации перечень документов(данных), необходимых для формирования информации,предоставляемой руководству с целью проведенияанализа СОИБ?Входит ли в перечень документов, необходимых дляформированияинформации,предоставляемойруководству с целью проведения анализа СОИБ, отчетыс результатами− мониторинга СОИБ и контроля защитных мер;− анализа функционирования СОИБ− аудитов ИБ;− самооценок ИБ?Входит ли в перечень документов, необходимых дляформированияинформации,предоставляемойруководству с целью проведения анализа СОИБ,документы, содержащие информацию:−о способах и методах защиты, защитных мерах илипроцедурах их использования, которые могли быиспользоваться для улучшения функционированияСОИБ;−о новых, выявленных уязвимостях и угрозах ИБ;−о действиях, предпринятых по итогам предыдущиханализов СОИБ, осуществленных руководством;−об изменениях, которые могли бы повлиять наорганизациюСОИБ,например,изменениявзаконодательстве Российской Федерации и(или) вположениях стандартов Банка России;−о выявленных инцидентах ИБ?Входит ли в перечень документов, необходимых дляформированияинформации,предоставляемойруководству с целью проведения анализа СОИБ,документы,подтверждающие выполнениетребуемой деятельности по обеспечению ИБ, например,выполнения планов обработки рисков?проект 11.05.20100,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,1376обязательный0,1464обязательный0,1318обязательный0,1154ВычисленноезначениепоказателяИБ74СТО БР ИББС-1.2-20ххМ25.5Входит ли в перечень документов, необходимых дляформированияинформации,предоставляемойруководству с целью проведения анализа СОИБ,документы,подтверждающие выполнениетребованийнепрерывности бизнеса и еговосстановления послепрерывания?М25.6Определен ли в организации и утвержден лируководством план выполнения деятельности поконтролю и анализу СОИБ, содержащий, в частности,положения по проведению совещаний на уровнеруководства, на которых, в том числе, производитсяпоиск и анализ проблем ИБ, влияющих на бизнесорганизации?М25.7Определены ли в документах организации роли,связанные с подготовкой информации, необходимой дляанализа СОИБ руководством?М25.8Назначены ли ответственные за выполнение ролей,связанных с подготовкой информации, необходимый дляанализа СОИБ руководством?Итоговая оценка группового показателя М25обязательный0,1228обязательный0,1104обязательный0,1178обязательный0,1178проект 11.05.201075СТО БР ИББС-1.2-20ххГрупповой показатель М26 «Принятие решений по тактическим улучшениям СОИБ»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ26.1М26.2М26.3М26.4М26.5М26.6М26.7М26.8Частный показатель ИБОбязательностьвыполнения0Рассматриваются ли при принятии решений, связанных стактическимиулучшениямиСОИБ,документальнооформленные результаты:−аудитов ИБ;−самооценок ИБ;−мониторинга СОИБ и контроля защитных мер;−анализа функционирования СОИБ;−обработки инцидентов ИБ;−выявления новых угроз и уязвимостей ИБ;−оценки рисков;−анализа перечня защитных мер, возможных дляприменения;−стратегических улучшений СОИБ;−анализа СОИБ со стороны руководства;−анализауспешныхпрактиквобластиИБ(собственных или других организаций)?Оформляются ли документально решения по тактическимулучшениям СОИБ, либо содержащие выводы оботсутствии необходимости тактических улучшений СОИБ,либо направления тактических улучшений СОИБ?Формируются ли направления тактических улучшенийСОИБ в виде корректирующих и превентивных действий?Определены ли в документах организации планыреализации тактических улучшений СОИБ?Существуют ли в организации документы, в которыхфиксируются результаты выполнения планов реализациитактических улучшений СОИБ?Санкционирует и контролирует ли руководство службыИБ организации деятельность, связанную с реализациейтактических улучшений СМИБ?Определены ли в документах организации и выполняютсялипроцедурысогласованияиинформированиязаинтересованных сторон о тактических улучшенияхСОИБ, в частности, об изменениях, относящихся кобеспечению ИБ, к ответственности в области ИБ, ктребованиямИБ?Фиксируютсялирезультатывыполнения указанных процедур?Назначаются ли ответственные за реализацию решенийпо тактическим улучшениям СОИБ?проект 11.05.20100,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,1354обязательный0,1354обязательныйобязательный0,12160,1354обязательный0,1272обязательный0,1300обязательный0,0934обязательный0,1216ВычисленноезначениепоказателяИБ76СТО БР ИББС-1.2-20ххИтоговая оценка группового показателя М26проект 11.05.201077СТО БР ИББС-1.2-20ххГрупповой показатель М27 «Принятие решений по стратегическим улучшениям СОИБ»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ27.1М27.2М27.3М27.4Частный показатель ИБОбязательностьвыполнения0Рассматриваются ли при принятии решений, связанныхсо стратегическими улучшениями СОИБ, документальнооформленные результаты:−аудитов ИБ;−самооценок ИБ;−мониторинга СОИБ и контроля защитных мер;−анализа функционирования СОИБ;−обработки инцидентов ИБ;−выявленияновыхинформационныхактивоворганизации или их типов;−выявления новых угроз и уязвимостей ИБ;−оценки рисков;−пересмотра основных рисков ИБ;−анализа СОИБ со стороны руководства;−анализауспешныхпрактиквобластиИБ(собственных или других организаций)?Рассматриваются ли при принятии решений, связанныхсо стратегическими улучшениями СОИБ, измененияинтересов, целей и задач бизнеса организации,контрактныхобязательстворганизации,атакжеизменения в законодательстве РФ и нормативных актахБанка России?Оформляютсялидокументальнорешенияпостратегическим улучшениям СОИБ, содержащие либовыводы об отсутствии необходимости стратегическихулучшений СОИБ, либо направления стратегическихулучшений СОИБ?Формируются ли направления стратегических улучшенийСОИБ в виде корректирующих или превентивныхдействий, например:−уточнение/пересмотр целей и задач обеспечения ИБ,определенных в рамках политики ИБ (частных политикИБ) организации;−изменения в области действия СОИБ;−уточнение описи типов информационных активов;−пересмотр моделей угроз и нарушителей;−изменение подходов к оценке рисков ИБ, критериевпринятия риска ИБ?проект 11.05.20100,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,1130обязательный0,1058обязательный0,0984обязательный0,0984ВычисленноезначениепоказателяИБ78СТО БР ИББС-1.2-20ххМ27.5Определены ли в документах организации планыреализации стратегических улучшений СОИБ?М27.6Существуют ли в организации документы, в которыхфиксируются результаты выполнения планов реализациистратегических улучшений СОИБ?М27.7Санкционируетиконтролируетлируководствоорганизации деятельность, связанную с реализациейстратегических улучшений СМИБ?М27.8В случае стратегических улучшений СОИБ выполняетсяли деятельностьпо реализации соответствующихтактических улучшения СОИБ для всех необходимыхпроцедур обеспечения ИБ, используемых защитных мер исоответствующих внутренних документов, в частности,выполняются ли:–выработка планов тактических улучшений СОИБ;–уточнение планов обработки рисков;–уточнение программы внедрения защитных мер;–уточнение процедур использования защитных мер?М27.9Определены ли в документах организации и выполняютсялипроцедурысогласованияиинформированиязаинтересованных сторон о стратегических улучшенияхСОИБ, в частности, об изменениях, относящихся кобеспечению ИБ, к ответственности в области ИБ, ктребованиям ИБ? Фиксируются ли документальнорезультаты выполнения указанных процедур?М27.10Назначаются ли ответственные за реализацию решенийпо стратегическим улучшениям СОИБ?Итоговая оценка группового показателя М27обязательный0,1016обязательный0,0962обязательный0,1108обязательный0,1058обязательный0,0822обязательный0,0878проект 11.05.201079СТО БР ИББС-1.2-20ххГрупповой показатель М28 «Оценка деятельности руководства организации БС РФ поподдержке функционирования службы ИБ организации БС РФ»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ28.1(аналог М11.1)М28.2(аналог М11.2)М28.3(аналог М11.3)М28.4(аналог М11.4)М28.5(аналог М11.5)М28.6(аналог М11.6)М28.7(аналог М11.7)М28.8(аналог М11.8)М28.9(аналог М11.9)М28.10(аналог М11.10)Частный показатель ИБОбязательностьвыполнения0Сформирована ли руководством служба ИБ (назначено лиуполномоченное лицо) для реализации, эксплуатации,контроля и поддержания на должном уровне СОИБ,утверждены ли цели и задачи ее деятельности?Имеет ли служба ИБ утвержденные руководствомполномочия и ресурсы, необходимые для выполненияустановленных целей и задач?Имеет ли служба ИБ назначенного из числа руководствакуратора, который при этом не является кураторомслужбы информатизации (автоматизации)?Наделена ли служба ИБ собственным бюджетом?Сформированы ли для организаций, имеющих сетьфилиалов или региональных представительств,подразделения ИБ (уполномоченные лица) на местах иобеспечены ли эти подразделения необходимымиресурсами и нормативной базой?Наделена ли служба ИБ (уполномоченное лицо)полномочиямиорганизовыватьсоставлениеиконтролировать выполнение всех планов по обеспечениюИБ организации?Наделена ли служба ИБ (уполномоченное лицо)полномочиями разрабатывать и вносить предложения поизменению политик ИБ организации?Наделена ли служба ИБ (уполномоченное лицо)полномочиями организовывать изменения существующихи принятие руководством новых внутренних документов,регламентирующих деятельность по обеспечению ИБорганизации?Наделена ли служба ИБ (уполномоченное лицо)полномочиямиопределятьтребованиякмерамобеспечения ИБ организации?Наделена ли служба ИБ (уполномоченное лицо)полномочиями контролировать работников организации,в части выполнения ими требований внутреннихдокументов, регламентирующих деятельность в областиобеспечения ИБ, в первую очередь, работников, имеющихпроект 11.05.20100,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,0816обязательный0,0753обязательный0,0750рекомендуемый0,0530рекомендуемый0,0615обязательный0,0694обязательный0,0725обязательный0,0725обязательный0,0781обязательный0,0725ВычисленноезначениепоказателяИБ80СТО БР ИББС-1.2-20ххмаксимальные полномочия по доступу к защищаемыминформационным активам?М28.11Наделена ли служба ИБ (уполномоченное лицо)(аналог М11.11)полномочиями осуществлятьмониторинг событий,связанных с обеспечением ИБ?М28.12Наделена ли служба ИБ (уполномоченное лицо)(аналог М11.12)полномочиями участвовать в расследовании событий,связанных с инцидентами ИБ, и выходить в случаенеобходимости с предложениями по применению санкцийв отношении лиц, осуществивших НСД и НРД (например,нарушивших требования инструкций, руководств пообеспечению ИБ организации)?М28.13Наделена ли служба ИБ (уполномоченное лицо)(аналог М11.13)полномочиямиучаствоватьвдействияхповосстановлению работоспособности АБС после сбоев иаварий?М28.14Наделена ли служба ИБ (уполномоченное лицо)(аналог М11.14)полномочиями участвовать в создании, поддержании,эксплуатации и совершенствовании СОИБ организации?Итоговая оценка группового показателя М28обязательный0,0725обязательный0,0787обязательный0,0587обязательный0,0787проект 11.05.201081СТО БР ИББС-1.2-20ххГрупповой показатель М29 «Оценка деятельности руководства организации БС РФ попринятию решений о реализации и эксплуатации СОИБ»ОбозначениечастногопоказателяИБМ29.1(аналог М16.1)Оценка частного показателя ИБЧастный показатель ИБОформлены ли документально и утверждены лируководством решения о реализации и эксплуатацииСОИБ, в частности решения:−об анализе и принятии остаточных рисков нарушенияИБ;−о планировании этапов внедрения СОИБ, в частноститребований ИБ, изложенных в 7 и 8 разделах СТО БРИББС-1.0;−о распределении ролей в области обеспечения ИБорганизации;−о принятии со стороны руководства плановвнедрения защитных мер, направленных на реализациютребований 7 и 8 разделов СТО БР ИББС-1.0 и снижениерисков ИБ;−о выделенииресурсов, необходимых дляреализации и эксплуатации функционирования СОИБ?М29.2Утверждены ли руководством все планы внедрения(аналог М16.2)СОИБ, в частности планы реализаций требований 7 и 8разделов СТО БР ИББС-1.0, планы обработки рисковнарушения ИБ и внедрения защитных мер, в которыхдокументально зафиксированы:−последовательность выполнения мероприятий врамках указанных планов;−срокиначалаиокончаниязапланированныхмероприятий;−должностные лица (подразделения), ответственныеза выполнение каждого указанного мероприятия?М29.3Определен ли документально порядок разработки,(аналог М16.3)пересмотраиконтроляисполненияплановпообеспечению ИБ организации?М29.4Оформлены ли документально решения руководства,(аналог М16.4)связанные с назначением и распределением ролей длявсех структурных подразделений в соответствии сположениями внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?Итоговая оценка группового показателя М29проект 11.05.2010Обязательностьвыполнения00,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБобязательный0,2752обязательный0,2812обязательный0,2096обязательный0,2340ВычисленноезначениепоказателяИБ82СТО БР ИББС-1.2-20ххГрупповой показатель М30 «Оценка деятельности руководства организации БС РФ поподдержке планирования СОИБ»ОбозначениечастногопоказателяИБОценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Определеналивдокументахорганизацииикорректируется ли опись, структурированных по классамзащищаемыхинформационныхактивов(типовинформационных активов - типов информации)?Определены ли в документах организации роли поопределению/коррекции области действия СОИБ и посоставлению и пересмотру описи информационныхактивов (типов информационных активов), находящихся вобласти действия СОИБ?Назначены ли в организации ответственные завыполнение ролей по определению/коррекции областидействия СОИБ и по составлению и пересмотру описиинформационных активов (типов информационныхактивов), находящихся в области действия СОИБ?Принята ли в организации и корректируется ли методикаоценки рисков нарушения ИБ/подход к оценке рисковнарушения ИБ?обязательныйМ30.5(аналог М13.2)Определены ли в организации критерии принятия рисковнарушения ИБ и уровень допустимого риска нарушенияИБ?обязательныйМ30.6(аналог М13.4)Определяет ли порядок оценки рисков нарушения ИБнеобходимые процедуры оценки рисков нарушения ИБ, атакже последовательность их выполнения?обязательныйМ30.7(аналог М13.9)Определены ли в документах организации роли,связанные с деятельностью по определению/коррекцииметодики оценки рисков нарушения ИБ/подхода к оценкериска нарушения ИБ?Назначены ли ответственные за выполнение ролей,связанных с деятельностью по определению/коррекцииметодики оценки рисков нарушения ИБ/подхода к оценкериска нарушения ИБ?Определены ли в документах организации роли по оценкерисков нарушения ИБ?Назначены ли ответственные за выполнение ролей пооценке рисков нарушения ИБ?Утверждены ли руководством организации планыобязательныйМ30.1(аналог М12.1)М30.2(аналог М12.6)М30.3(аналог М12.7)М30.4(аналог М13.1)М30.8(аналог М13.10)М30.9(аналог М13.11)М30.10(аналог М13.12)М30.11(аналог М14.3)0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБ0,0386обязательный0,0364обязательный0,0364обязательный0,03860,03860,03450,0364обязательный0,0364обязательныйобязательныйобязательный0,03450,03450,0364проект 11.05.201083СТО БР ИББС-1.2-20ххобработки рисков нарушения ИБ?М30.12(аналог М14.5)М30.13(аналог М14.6)М30.14(аналог М15.2)Определены ли в документах организации роли поразработке планов обработки рисков нарушения ИБ?Назначены ли ответственные за выполнение ролей поразработке планов обработки рисков нарушения ИБ?Разработана ли политика ИБ организации? Утверждена липолитика ИБ руководством?обязательныйМ30.15(аналог М15.3)М30.16(аналог М15.4)М30.17(аналог М15.5)М30.18(аналог М15.9)Корректируется ли политика ИБ организации?обязательныйРазработаны ли частные политики ИБ организации?обязательныйКорректируются ли частные политики ИБ организации?обязательныйОпределены ли в политике ИБ (частных политиках ИБ)организации:–цели и задачи обеспечения ИБ;обязательный–обязательныйосновныхзащищаемых0,04080,03860,04080,0364информационныемодели угроз и нарушителей;–совокупность правил, требований и руководящихпринципов в области ИБ;–0,0364основные области обеспечения ИБ;–типыактивов;–обязательный0,03450,0386основные требования к обеспечению ИБ;–принципыпротиводействияугрозамИБпоотношениюктипамосновныхзащищаемыхинформационных активов;–основные принципы повышения уровня осознания иосведомленности в области ИБ;М30.19(аналог М15.10)–принципы реализации и контроля выполнениятребований политики ИБ?Корректируются ли в политике ИБ (частных политиках ИБ)организации:–цели и задачи обеспечения ИБ;–основные области обеспечения ИБ;–типыактивов;–основныхзащищаемыхинформационныемодели угроз и нарушителей;–совокупность правил, требований и руководящихпринципов в области ИБ;–обязательныйосновные требования к обеспечению ИБ;–принципыпротиводействияугрозамИБпоотношениюктипамосновныхзащищаемыхинформационных активов;–основные принципы повышения уровня осознания иосведомленности в области ИБ;принципыпроект 11.05.2010реализациииконтролявыполнения0,036484СТО БР ИББС-1.2-20ххМ30.20(аналог М15.11)М30.21(аналог М15.12)М30.22(аналог М15.16)требований политики ИБ?Разрабатываютсяливнутренниедокументы,регламентирующие деятельность в области обеспеченияИБ на основе:−законодательства Российской Федерации;−комплекса БР ИББС, в частности, требования 7 и 8раздела стандарта СТО БР ИББС-1.0;−нормативных актов и предписаний регулирующих инадзорных органов;−договорных требований организации со стороннимиорганизациями;−результатовоценкирисков,выполненнойссоответствующей уровню разрабатываемого документадетализациейрассматриваемыхинформационныхактивов (типов информационных активов)?Корректируютсяливнутренниедокументы,регламентирующие деятельность в области обеспеченияИБ на основе:−законодательства Российской Федерации;−комплекса БР ИББС, в частности, требования 7 и 8раздела стандарта СТО БР ИББС-1.0;−нормативных актов и предписаний регулирующих инадзорных органов;−договорных требований организации со стороннимиорганизациями;−результатовоценкирисков,выполненнойссоответствующей уровню разрабатываемого документадетализациейрассматриваемыхинформационныхактивов (типов информационных активов)?Утвержден ли руководством организации порядоквзаимодействия (координирования работы) службы ИБ сработниками, ответственными за обеспечение ИБ вструктурных подразделениях организации (в случаеналичия в структурных подразделениях организацииработников, ответственных за обеспечение ИБ)?обязательный0,0408обязательный0,0386обязательный0,0345М30.23(аналог М15.18)Определены ли в документах организации процедурывыделенияираспределенияролейвобластиобеспечения ИБ?обязательныйМ30.24(аналог М15.20)Определены ли в документах организации роли поразработке,поддержке,пересмотруиконтролюисполнения внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?обязательныйМ30.25(аналог М15.21)Назначены ли ответственные за выполнение ролей поразработке,поддержке,пересмотруиконтролюисполнения внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?обязательныйМ30.26(аналог М17.3)Определены ли в документах организации роли,связанные с реализацией планов обработки рисковнарушения ИБ и с реализацией требуемых защитных мер?Назначены ли ответственные за выполнение ролей,обязательныйМ30.270,03450,03860,03640,0364обязательный0,0364проект 11.05.201085(аналог М17.4)связанных с реализацией планов обработки рисковнарушения ИБ и с реализацией требуемых защитных мер?Итоговая оценка группового показателя М30проект 11.05.2010СТО БР ИББС-1.2-20хх86СТО БР ИББС-1.2-20ххГрупповой показатель М31 «Оценка деятельности руководства организации БС РФ поподдержке реализации СОИБ»ОбозначениечастногопоказателяИБМ31.1(аналог М18.1)Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Организована ли документально оформленная работа сперсоналом организации в направлении повышенияосведомленности и обучения в области ИБ, включаяразработку и реализацию планов и программ обучения иповышения осведомленности в области ИБ и контролярезультатов выполнения указанных планов? Утвержденали руководством указанная работа?обязательныйМ31.2(аналог М18.6)Определены ли в документах организации роли поразработке, реализации планов и программ обучения иповышения осведомленности в области ИБ и поконтролю их результатов?обязательныйМ31.3(аналог М18.7)Назначены ли ответственные за выполнение ролей поразработке, реализации планов и программ обучения иповышения осведомленности в области ИБ и поконтролю их результатов?обязательныйМ31.4(аналог М19.8)Определены ли в документах организации роли пообнаружению, классификации, реагированию, анализу ирасследованию инцидентов ИБ?Назначены ли ответственные за выполнение ролей пообнаружению, классификации, реагированию, анализу ирасследованию инцидентов ИБ?Определенливдокументахорганизациипланобеспечениянепрерывностибизнесаиеговосстановленияпослевозможногопрерывания,содержащий инструкции и порядок действий работниковорганизации, в состав которого включены:−условия активизации плана;−порядокдействий,которыедолжныбытьпредпринятыпослеинцидентаИБ(инструкцииперсонала);−процедуры восстановления;−процедуры тестирования и проверки плана;−план обучения и повышения осведомленностиработников организации;−обязанности работников организации с указаниемответственных за выполнение каждого из положенийплана?обязательныйМ31.5(аналог М19.9)М31.6(аналог М20.3)0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБ0,14420,10240,10240,1404обязательный0,1268обязательный0,1442проект 11.05.201087М31.7(аналог М20.13)Определены ли в документах организацииразработке плана обеспечения непрерывностиего восстановления после прерывания?М31.8Назначены ли ответственные за выполнения(аналог М20.14)разработке плана обеспечения непрерывностиего восстановления после прерывания?Итоговая оценка группового показателя М31проект 11.05.2010роли побизнеса иобязательныйролей побизнеса иобязательныйСТО БР ИББС-1.2-20хх0,11980,119888СТО БР ИББС-1.2-20ххГрупповой показатель М32 «Оценка деятельности руководства организации БС РФ поподдержке проверки СОИБ»ОбозначениечастногопоказателяИБМ32.1(аналог М21.7)М32.2(аналог М21.8)М32.3(аналог М22.3)М32.4(аналог М22.7)М32.5(аналог М22.8)М32.6(аналог М22.9)М32.7(аналог М23.2)М32.8(аналог М23.6)М32.9(аналог М23.8)М32.10(аналог М23.9)М32.11(аналог М24.9)Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Определены ли в документах организации роли,связанные с выполнением процедур мониторинга СОИБ иконтроля защитных мер, а также с пересмотромуказанных процедур?Назначены ли ответственные за выполнения ролей,связанных с выполнением процедур мониторинга СОИБ иконтроля защитных мер, а также с пересмотромуказанных процедур?Определена ли в документах организации и реализованали программа самооценок ИБ, содержащая информациюнеобходимуюдляпланированияиорганизациисамооценокИБ,ихконтроля,анализаисовершенствования, а также обеспечения их ресурсами,необходимыми для эффективного и результативногопроведения указанных самооценок ИБ в заданные сроки?ДоводятсялирезультатысамооценокИБисоответствующие отчеты до руководства организации?Определены ли в документах организации роли,связанные с выполнением программы самооценок ИБ?Назначены ли ответственные за выполнение ролей,связанных с выполнением программы самооценок ИБ?Определена ли в документах организации и реализованали программа аудитов ИБ, содержащая информацию,необходимую для планирования и организации аудитовИБ, их контроля, анализа и совершенствования, а такжеобеспеченияихресурсами,необходимымидляэффективного и результативного проведения указанныхаудитов ИБ в заданные сроки?Доводятся ли результаты аудитов ИБ и соответствующиеотчеты до руководства организации?Определены ли в документах организации роли,связанные с организацией выполнения программаудитов и планов отдельных аудитов?Назначены ли ответственные за выполнение ролей,связанных с организацией выполнения программ аудитови планов отдельных внешних аудитов?Определены ли в документах организации роли,связанные с процедурами анализа функционирования0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,0921обязательный0,0921обязательный0,0848обязательныйобязательныйобязательный0,09430,07340,0734обязательный0,0808обязательный0,0969обязательный0,0805обязательный0,0805обязательный0,0756проект 11.05.201089СОИБ?Назначены ли ответственные за выполнение ролей,связанных с процедурами анализа функционированияСОИБ?Итоговая оценка группового показателя М32М32.12(аналог М24.10)проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,075690СТО БР ИББС-1.2-20ххГрупповой показатель М33 «Оценка деятельности руководства организации БС РФ по анализуСОИБ»ОбозначениечастногопоказателяИБМ33.1(аналог М25.1)М33.2(аналог М25.2)М33.3(аналог М25.3)М33.4(аналог М25.4)М33.5(аналог М25.5)Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Утвержден ли в организации перечень документов(данных), необходимых для формирования информации,предоставляемой руководству с целью проведенияанализа СОИБ?Входит ли в перечень документов, необходимых дляформированияинформации,предоставляемойруководству с целью проведения анализа СОИБ, отчетыс результатами− мониторинга СОИБ и контроля защитных мер;− анализа функционирования СОИБ− аудитов ИБ;− самооценок ИБ?Входит ли в перечень документов, необходимых дляформированияинформации,предоставляемойруководству с целью проведения анализа СОИБ,документы, содержащие информацию:−о способах и методах защиты, защитных мерах илипроцедурах их использования, которые могли быиспользоваться для улучшения функционированияСОИБ;−о новых, выявленных уязвимостях и угрозах ИБ;−о действиях, предпринятых по итогам предыдущиханализов СОИБ, осуществленных руководством;−об изменениях, которые могли бы повлиять наорганизациюСОИБ,например,изменениявзаконодательстве Российской Федерации и(или) вположениях стандартов Банка России;−о выявленных инцидентах ИБ?Входит ли в перечень документов, необходимых дляформированияинформации,предоставляемойруководству с целью проведения анализа СОИБ,документы, подтверждающие выполнение требуемойдеятельности по обеспечению ИБ, например выполненияпланов обработки рисков?Входит ли в перечень документов, необходимых дляформированияинформации,предоставляемойруководству с целью проведения анализа СОИБ,документы, подтверждающие выполнение требованийнепрерывности бизнеса и его восстановления после0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,1376обязательный0,1464обязательный0,1338обязательный0,1154обязательный0,1228проект 11.05.201091прерывания?Определен ли в организации и утвержден лируководством план выполнения деятельности поконтролю и анализу СОИБ, содержащий, в частности,положения по проведению совещаний на уровнеруководства, на которых, в том числе, производитсяпоиск и анализ проблем ИБ, влияющих на бизнесорганизации?М33.7Определены ли в документах организации роли,(аналог М25.7)связанные с подготовкой информации, необходимой дляанализа СОИБ руководством?М33.8Назначены ли ответственные за выполнение ролей,(аналог М25.8)связанных с подготовкой информации, необходимый дляанализа СОИБ руководством?Итоговая оценка группового показателя М33М33.6(аналог М25.6)проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,1104обязательный0,1178обязательный0,117892СТО БР ИББС-1.2-20ххГрупповой показатель М34 «Оценка деятельности руководства по поддержкесовершенствования СОИБ»ОбозначениечастногопоказателяИБМ34.1(аналог М26.6)Оценка частного показателя ИБЧастный показатель ИБСанкционирует и контролирует ли руководство службыИБ организации деятельность, связанную с реализациейтактических улучшений СМИБ?М34.2Назначаются ли ответственные за реализацию решений(аналог М26.8)по тактическим улучшениям СОИБ?М34.3Санкционируетиконтролируетлируководство(аналог М27.7)организации деятельность, связанную с реализациейстратегических улучшений СМИБ?М34.4Назначаются ли ответственные за реализацию решений(аналог М27.10)по стратегическим улучшениям СОИБ?Итоговая оценка группового показателя М34Обязательностьвыполнения00,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,2560обязательный0,2248обязательный0,2816обязательный0,2376проект 11.05.201093СТО БР ИББС-1.2-20ххПриложение Б(обязательное)Форма листов для сбора свидетельств аудита ИБОбозначение частногопоказателя ИБИсточники свидетельств и свидетельствааудита ИБ(документы, результаты опроса или наблюдений)Кемпредоставленысвидетельствааудита ИБПодпись сотрудника/руководителя(подпись)(подпись)(подпись)проект 11.05.2010Дата94СТО БР ИББС-1.2-2009Приложение В(обязательное)Уточняющие вопросы частных показателей ИБ для оценки степени выполнения требованийСТО БР ИББС-1.0, регламентирующих защиту персональных данных в ИСПДнТаблица 1.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
