st12 (1027743), страница 4
Текст из файла (страница 4)
по обеспечениюИБ организации;— участие в действиях по восстановлениюработоспособности АБС после сбоев и аварий;— создание, поддержку и совершенствование системыуправления ИБ организации?М13.6Выделен ли собственный бюджет службы ИБорганизации в рамках бюджета организации?М13.7Имеет ли служба ИБ организации собственного кураторана уровне первых лиц в руководстве организации?М13.8Взаимодействует ли служба ИБ организациис сотрудниками, ответственными за ИБв структурных подразделениях?М13.9Обеспечена ли служба ИБ организации необходимымии достаточными полномочиями для выполненияустановленных целей и задач?Итоговая оценка группового показателя M13Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1050,1050,1160,1050,1160,1160,1050,1160,116СТО БР ИББС1.2200727Групповой показатель М14 “Разработка плана обработки рисков ИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ14.1Имеются ли в организации планы по внедрениюи развитию СМИБ (план обработки или минимизациирисков ИБ), определяющие совокупность мероприятий,методов и средств, создаваемых и поддерживаемыхдля обеспечения требуемого уровня безопасностиинформационных активов?М14.2Утвержден ли план минимизации рисков ИБруководством организации?М14.3Есть ли в организации лицо (орган), ответственноеза реализацию плана минимизации рисков ИБ?М14.4Зафиксированы ли документально обязанностиответственного за реализацию плана минимизациирисков ИБ?М14.5Согласован ли план минимизации рисков ИБ с планамиинвестирования в обеспечение ИБ организации?М14.6Kорректируется ли план минимизации рисков ИБпри изменении рисков ИБ и выявлении новых рисков ИБ?Итоговая оценка группового показателя M14Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1720,1720,1720,1560,1560,172Групповой показатель М15 “Реализация плана обработки рисков ИБ и реализациязащитных мер, управление работами и ресурсами, связанными с реализацией СМИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ15.1Существуют ли свидетельства реализации планаобработки (минимизации) рисков?М15.2Существуют ли план поставки/установки/сопровожденияоборудования, АБС и их компонентов и/или планпроведения НИОKР, соответствующие плану внедренияи развития СМИБ организации?М15.3Kонтролирует ли руководство организации выполнениеплана поставки/установки/сопровождения оборудования,АБС и их компонентов и/или плана проведения НИОKР?М15.4Имеются ли в договорах на поставку/установку/сопровождение оборудования, АБС и их компонентов, включаясредства ИБ, требования по обеспечению ИБ?М15.5Отвечают ли процессы СМИБ по выбору, реализациии эксплуатации защитных мер требованиям,определенным разделом 8 СТО БР ИББС1.0?М15.6Предоставляются ли руководству организации отчетныедокументы о реализации плана внедрения и развитияСМИБ?Итоговая оценка группового показателя M15Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,180,160,140,180,180,1628СТО БР ИББС1.22007Групповой показатель M16 “Реализация программ по обучению и осведомлению ИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБM16.1Существует ли программа по обучению ИБ?M16.2Существуют ли свидетельства реализации программыпо обучению ИБ?M16.3Проводится ли обучение ИБ персонала организациипо установленному графику?M16.4Проводится ли обучение ИБ сотрудника, получившегоновую роль?M16.5Соответствует ли программа обучения ИБ существующимполитикам ИБ, применяемым защитным мерами средствам управления ИБ?M16.6Проводится ли проверка результатов обучения ИБсотрудников организации?M16.7Имеют ли руководители и сотрудники организациидокументы, подтверждающие прохождение обучения ИБ?M16.8Поддерживается ли осведомленность сотрудниковорганизации о политиках и требованиях ИБ,в том числе о значимости и важности их деятельностипо обеспечению ИБ?M16.9Проводится ли проверка осведомленностиоб ИБ в организации?Итоговая оценка группового показателя M16Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,12340,12340,10,110,12320,110,110,10,1Групповой показатель М17 “Обнаружение и реагирование на инциденты безопасности”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ17.1Существуют ли документы, в которых определеныпроцедуры обнаружения и регистрации инцидентов ИБ?М17.2Существуют ли документы, в которых определеныпроцедуры анализа и реагирования на инциденты ИБ?М17.3Осведомлены ли сотрудники о порядке действийпри обнаружении нетипичных событий ИБ и порядкеинформирования о данных событиях?М17.4Существует ли документ, в котором определеныпроцедуры оценки ущерба, нанесенного инцидентом ИБ?М17.5Поддерживается ли в организации централизованная базаинцидентов ИБ?М17.6Существуют ли в организации при выявленииинцидентов ИБ процедуры, допускающие обсуждениеи расследование инцидентов с участием внешнихэкспертов в области ИБ?М17.7Осуществляется ли периодический контроль наличияуязвимостей в программных и технических средствахАБС?Итоговая оценка группового показателя M17Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,170,170,170,1350,1350,0850,135СТО БР ИББС1.2200729Групповой показатель М18 “Обеспечение непрерывности бизнесаи восстановления после прерываний”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ18.1Существует ли в организации документ, содержащий планвосстановления бизнеса после прерываний?М18.2Реализована ли в организации программа обученияпользователей и персонала по обеспечениюнепрерывности бизнеспроцессов и их восстановлениюпосле сбоев?М18.3Проходит ли весь персонал и службы/подразделенияобеспечения непрерывности бизнеса периодическоеобучение процедурам действий в чрезвычайныхситуациях?М18.4Определены ли в организации роли, обязанностии полномочия персонала и служб/подразделений в частиобеспечения непрерывности бизнеса?М18.5Назначены ли лица, выполняющие роли в частиреализации плана восстановления бизнеса послепрерываний?М18.6Обладает ли организация БС необходимым резервнымкомплектом оборудования, предназначеннымдля реализации процедур оперативного восстановлениянарушенных бизнеспроцессов?Итоговая оценка группового показателя M18Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,180,140,140,180,180,1830СТО БР ИББС1.22007Групповой показатель М19 “Мониторинг и контроль защитных мер,включая регистрацию действий и событий, связанных со СМИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ19.1Существуют ли документы, определяющие процедурымониторинга и контроля защитных мер, включаярегистрацию действий и событий, связанных со СМИБ?М19.2Определены ли в документах организации и выполняютсяли процедуры мониторинга и контроля измененийи использования прав доступа пользователей?М19.3Определены ли в документах организации и выполняютсяли процедуры мониторинга и контроля средстви подсистем управления доступом и регистрации?М19.4Определены ли в документах организации и выполняютсяли процедуры мониторинга и контроля использованияоборудования и выявления нештатных(или злоумышленных) действий в организации,а также выявления потенциальных нарушений ИБ?М19.5Определены ли в документах организации и выполняютсяли процедуры мониторинга и контроля функционированиясредств антивирусной защиты?М19.6Определены ли в документах организации и выполняютсяли процедуры мониторинга и контроля использованияресурсов сети Интернет?М19.7Определены ли в документах организации и выполняютсяли процедуры мониторинга и контроля использованиясредств криптографической защиты информации?М19.8Определены ли в документах организации и выполняютсяли процедуры мониторинга и контроля банковскихплатежных технологических процессов?М19.9Определены ли в документах организации и выполняютсяли процедуры мониторинга и контроля банковскихинформационных технологических процессов?М19.10Осуществляется ли мониторинг выполнения соглашенийо качестве услуг, предоставляемых по договорусторонними организациями (при наличии таких услуг)?М19.11Осуществляются ли в организации процедурыпо управлению данными мониторинга и контроля?Итоговая оценка группового показателя M19Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,09260,09260,09260,09260,09260,09260,09260,09260,09260,08330,0833СТО БР ИББС1.2200731Групповой показатель М20 “Анализ эффективности СМИБ,включая анализ уровней остаточного и приемлемого рисков ИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ20.1Определены ли в документах организации и выполняютсяли процедуры по анализу эффективности СМИБ(полноте и адекватности процессов менеджмента ИБ)?М20.2Используются ли при анализе эффективности СМИБрезультаты мониторинга ИБ и сведения относительноинцидентов ИБ?М20.3Используются ли результаты оценки рисков ИБпри анализе эффективности СМИБ, включая анализуровней остаточного и приемлемого рисков ИБ?М20.4Определены ли в документах организации и выполняютсяли процедуры по подготовке отчетности для руководствапо вопросам эффективности СМИБ?М20.5Отражаются ли в отчетах руководству по вопросамэффективности СМИБ результаты оценки рисков ИБпри изменениях в процессах и технологиях?Итоговая оценка группового показателя M20Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,20,20,20,20,2Групповой показатель М21 “Внутренний аудит СМИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ21.1Определен ли документально порядок проведениявнутреннего аудита ИБ в организации?М21.2Выполняются ли при внутреннем аудите ИБ в организациивсе следующие действия:— документальная проверка;— опрос и интервью с руководством и персоналом;— проверка на местах?М21.3Используются ли при проведении внутреннего аудита ИБданные мониторинга ИБ (в том числе журналырегистрации инцидентов ИБ)?М 21.4Определен ли документально и выполняется ли порядокподготовки и предоставления исходных данных(источников свидетельств аудита ИБ, свидетельств аудитаИБ) при проведении внутреннего аудита ИБ?М21.5Определено ли документально руководством организации,что при проведении внутреннего аудита ИБ должно бытьобеспечено документально и (при необходимости)технически подтверждено, что:— положения внутренних документов по обеспечению ИБвыполняются;— защитные меры настроены и используются правильно;— замечания (рекомендации) предшествующих аудитовИБ выполнены?М21.6Установлена ли форма представления результатоввнутреннего аудита ИБ?М21.7Сообщаются ли результаты внутреннего аудита ИБруководству организации?М21.8Используются ли результаты внутреннего аудита ИБдля уточнения планов внедрения и развития СМИБорганизации?М21.9Определен ли порядок хранения, доступа и использованияматериалов, получаемых в процессе проведениявнутреннего аудита?Итоговая оценка группового показателя M21Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1040,1150,1150,1150,1150,1030,1150,1150,10332СТО БР ИББС1.22007Групповой показатель М22 “Анализ СМИБ со стороны высшего руководства”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ22.1Определен ли в организации минимальный переченьдокументов (данных), предоставляемых высшемуруководству организации для проведения анализа СМИБ?М22.2Имеются ли в нормативнораспорядительных документах(приказах, распоряжениях, решениях, протоколах и т.п.),принимаемых (утверждаемых) руководством организациипо предоставленным ему материалам, положенияи указания, определяющие требования:— по совершенствованию СМИБ;— по изменению процедур, влияющих на ИБ;— по выделению ресурсов для целей СМИБ?М22.3Используются ли при подготовке нормативнораспорядительных документов организации, касающихсяСМИБ, отчеты службы ИБ, в том числе по выявленныминцидентам ИБ?М22.4Определены ли в документах организации процедуры,допускающие привлечение к анализу функционированияСМИБ организации внешних экспертов и специалистовв данной области?Итоговая оценка группового показателя M22Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,25640,25640,25640,2308СТО БР ИББС1.2200733Групповой показатель М23 “Внешний аудит СМИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ23.1Включает ли программа аудита ИБ организации описаниедеятельности, необходимой для планирования,организации, проведения и совершенствованиявнешнего аудита ИБ?М23.2Определен ли документально и выполняется ли порядокподготовки и предоставления исходных данных(источников свидетельств аудита ИБ, свидетельств аудитаИБ) при проведении внешнего аудита ИБ?М23.3Используются ли результаты внешнего аудита ИБдля уточнения планов внедрения и развития СМИБорганизации?М 23.4Определено ли документально руководством организации,что при проведении внешнего аудита ИБ должно бытьобеспечено документально и (при необходимости)технически подтверждено, что:— политика ИБ отражает требования бизнесцелейорганизации;— организационная структура управления ИБ создана;— процессы выполнения требований ИБ исполняютсяи удовлетворяют поставленным целям;— защитные меры (например, межсетевые экраны,средства управления физическим доступом) настроеныи используются правильно;— остаточные риски оценены и остаются приемлемымидля организации;— система управления ИБ соответствует определенномууровню зрелости управления ИБ;— рекомендации предшествующих аудитов ИБреализованы?М23.5Проводится ли внешний аудит ИБ на соответствиетребованиям СТО БР ИББС1.0?М23.6Установлены ли в организации процедуры взаимодействияаудиторской группы и руководства организации,позволяющие представителям аудиторской группыпри необходимости непосредственно обращатьсяк руководству организации?М 23.7Проводятся ли совещания руководства организациис представителями аудиторской группы, посвященныеобсуждению вопроса совершенствования СМИБпо результатам проведения аудита ИБ?М23.8Определен ли порядок хранения, доступа и использованияаудиторского отчета?Итоговая оценка группового показателя M23Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,110,1370,1370,1370,1370,110,1220,1134СТО БР ИББС1.22007Групповой показатель М24 “Реализация тактических улучшений в СМИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ24.1Основываются ли принимаемые службой ИБ решенияпо совершенствованию СМИБ на результатах аудита ИБ,мониторинга, обработки инцидентов ИБ и потребностяхв корректирующих и превентивных действиях?М24.2Регистрируются ли принимаемые службой ИБ решения,направленные на совершенствование СМИБ?М24.3Kонтролируется ли выполнение принятых службой ИБрешений, направленных на совершенствование СМИБ?М24.4Выполняется ли анализ результатов реализации принятыхслужбой ИБ решений по совершенствованию СМИБ?М24.5Осуществляет ли служба ИБ согласование плановразвития СМИБ с планами развития бизнеса организации?Итоговая оценка группового показателя M24Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,2080,2080,2080,1880,188Групповой показатель М25 “Реализация стратегических улучшений СМИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ25.1Осуществляется ли руководством организации анализсоответствия реализации и/или эксплуатации СМИБполитике ИБ?М25.2Существуют ли документы (база данных), содержащиеописание изменений, внесенных в политику ИБ(частные политики ИБ) и план обработки рисков ИБ?М25.3Основаны ли решения, принимаемые руководством,о реализации корректирующих и превентивных действийв отношении СМИБ организации на результатах оценкирисков ИБ?М25.4Используются ли руководством при принятии решенийо реализации корректирующих и превентивных действийв отношении СМИБ успешные практики (собственныеи других организаций)?М25.5Поддерживается ли руководством организации процессоценки эффективности результатов реализации принятыхрешений по совершенствованию СМИБ?М25.6Назначены ли ответственные за реализацию решенийо стратегических улучшениях СМИБ?Итоговая оценка группового показателя M25Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1760,140,1760,1560,1760,176СТО БР ИББС1.2200735Групповой показатель М26 “Информирование об изменениях СМИБи их согласование с заинтересованными сторонами”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ26.1Определены ли в документах организации и выполняютсяли процедуры информирования заинтересованных стороноб изменениях в СМИБ (в политиках ИБ, процедурах,относящихся к ИБ, ответственности в области ИБ,требованиях ИБ и т.п.) в части, их касающейся?М26.2Определены ли в документах организации и выполняютсяли процедуры согласования изменений в СМИБс заинтересованными сторонами в части, их касающейся?М26.3Определены ли в документах организации ролипо исполнению процедур информирования и согласованияизменений СМИБ с заинтересованными сторонами?М26.4Назначены ли лица, выполняющие роли по исполнениюпроцедур информирования и согласования измененийСМИБ с заинтересованными сторонами?Итоговая оценка группового показателя M26Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1670,1670,3330,333Групповой показатель М27 “Оценка достижения поставленных целей”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ27.1Рассматриваются ли (обсуждаются ли) вариантыреализации задач по совершенствованию СМИБ(например, с целью минимизации затрат) и имеется лисоответствующее документальное подтверждение?М27.2Осуществляется ли оценка того, что поставленные целипо совершенствованию СМИБ приведут к решениювыявленных проблем?М27.3Определен ли перечень предоставляемых руководствудокументов, позволяющих оценить достижениепоставленных целей и выявить несоответствияв реализации и/или эксплуатации СМИБ этим целям?М27.4Осуществляется ли руководством оценка того,что поставленные цели по совершенствованию СМИБдостигнуты?Итоговая оценка группового показателя M27Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,280,280,160,2836СТО БР ИББС1.22007Групповой показатель М28 “Своевременность обнаружения, прогноз развития проблем ИБи оценка их влияния на бизнесцели организации”ОбозначениечастногоЧастный показатель ИБпоказателяИБM28.1Определена ли в организации классификация ресурсовпо степени их критичности для обеспечениянепрерывности бизнеса?M28.2Определены ли в организации модель угроз и модельнарушителя, обеспечивающие прогнозирование развитиявозможных проблем, связанных с ИБ?M28.3Определены ли в организации процедуры обработкиинцидентов ИБ?M28.4Установлены ли процедуры обработки инцидентов ИБв соответствии с классами ресурсов, затронутыхпри инцидентах ИБ?M28.5Доводится ли службой ИБ до руководства организацииинформация по инцидентам ИБ?M28.6Принимаются ли решения по всем инцидентам ИБ?M28.7Выполняются ли все решения, принятыепо инцидентам ИБ?M28.8Организует ли руководство организации деятельностьпо управлению рисками ИБ?M28.9Приняты ли руководством организации решенияпо обоснованным предложениям службы ИБ по учетуи внедрению требований ИБ в бизнеспроцессыорганизации?Итоговая оценка группового показателя M28Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1170,1170,09050,09050,1170,1170,1170,1170,117СТО БР ИББС1.2200737Групповой показатель М29 “Определенность целей, адекватность выбора защитных мер,их эффективность и контролируемость”ОбозначениечастногоЧастный показатель ИБпоказателяИБM29.1Зафиксированы ли документально цели и задачиобеспечения ИБ организации?M29.2Осуществляется ли при необходимости или периодическиуточнение/пересмотр целей и задач обеспечения ИБорганизации при изменениях целей и задач бизнесаорганизации?M29.3Осуществляется ли при необходимости или периодическиуточнение/пересмотр целей и задач обеспечения ИБорганизации при изменениях процедур, технологий?M29.4Осуществляется ли при необходимости или периодическиуточнение/пересмотр целей и задач обеспечения ИБорганизации при изменении угроз ИБМ29.5Выбираются ли защитные меры в соответствиис моделями угроз и нарушителей?M29.6Выбираются ли защитные меры с учетом оценки затратна реализацию защитных мер и объема возможных потерьот выполнения угроз?M29.7Существует ли утвержденный план реализации защитныхмер, включающий порядок тестирования реализованныхзащитных мер и порядок оценивания достигнутого уровняснижения рисков ИБ организации?М29.8Оценивалось ли руководством или службой ИБорганизации влияние защитных мер на цели бизнесаорганизации?M29.9Все ли защитные меры, используемые в организации,позволяют осуществлять контроль правильностиих реализации и эксплуатации?M29.10Определен ли в организации порядок периодическоготестирования комплекса защитных мер?M29.11Применяются ли в организации механизмы,позволяющие определять ущерб от инцидентов ИБ?M29.12Установлена ли в организации ответственностьпо контролю защитных мер и оценке адекватностии эффективности их реализации?M29.13Осуществляется ли в организации контрольза реализацией действующих положений и требованийпо обеспечению ИБ?Итоговая оценка группового показателя M29Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,08330,08330,08330,08330,08330,08330,06670,06670,06670,06670,06670,08330,083438СТО БР ИББС1.22007Групповой показатель М30 “Непрерывность обеспечения ИБ и использование опытапри принятии и реализации решений”ОбозначениечастногоЧастный показатель ИБпоказателяИБM30.1Используется ли опыт организации, других организацийпри принятии решений и их реализации (например, опыт,накопленный организацией и другими организациямии отраженный в нормативных актах)?M30.2Есть ли в организации служба ИБ как отдельнаяфункциональная структура?M30.3Существует ли отдельная статья бюджета организациидля финансирования обеспечения ИБ?M30.4Имеет ли служба ИБ куратора в руководстве организации?M30.5Назначены ли лица, ответственные за реализациюполитики ИБ организации и поддержание ее в актуальномсостоянии?M30.6Осуществляется ли анализ отсутствия разрывовв технологических процессах обеспечения ИБорганизации, представляющих собой, например,нахождение защищаемых активов вне защищаемойоболочки, вне защитных мер, а также несогласованностьзащитных мер?M30.7Определены ли процедуры контроля за изменениемконфигурации АБС организации?M30.8Анализируется ли влияние на ИБ организации изменений,коснувшихся бизнеспроцессов организации?M30.9Анализируется ли влияние на ИБ организации измененийтехнологий?M30.10Анализируется ли влияние на ИБ организации измененийвнешних событий (изменения законодательства,социального климата)?M30.11Предусматривает ли план действий в нештатныхситуациях возможные последствия нештатных ситуаций?M30.12Предусматривает ли план обеспечения непрерывностибизнеса организации возможные способывозобновления бизнеса?M30.13Определены ли документально процедуры, которыедолжны быть реализованы в нештатных ситуацияхдля каждого сотрудника?M30.14Регулярно ли проверяется руководством организацииотработка плана действий в нештатных ситуацияхи других планов, связанных с восстановлениеми непрерывностью бизнеса организации с цельюобеспечения их актуальности и эффективности?Итоговая оценка группового показателя M30Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,080,080,080,080,080,0560,080,0560,0560,0560,080,080,080,056СТО БР ИББС1.2200739Групповой показатель М31 “Знание своих клиентов и служащих, персонификация и адекватноеразделение ролей и ответственности и адекватность ролей функциям и процедурам”ОбозначениечастногоЧастный показатель ИБпоказателяИБM31.1Проводятся ли проверки квалификации при приемеи отборе претендентов на рабочие места?M31.2Заключает ли администрация соглашение об обязанностяхи ответственности по ИБ с каждым сотрудником?M31.3Разработаны ли и поддерживаются ли в организацииправила корпоративной этики?M31.4Включает ли организация в договоры со своимиклиентами требования по ИБ, в том числе контрольэтих требований со стороны организации?М.31.5Персонифицированы ли все роли обеспечения ИБ?М.31.6Установлена ли ответственность за исполнение ролейобеспечения ИБ?M31.7Отсутствует ли в организации пересечение ролейсотрудников по обеспечению ИБ?M31.8Персонифицирована ли ответственность за защитуотдельных активов организации?M31.9Персонифицирована ли ответственность руководителейструктурных подразделений за обеспечение ИБ в своемструктурном подразделении?M31.10Соответствуют ли роли обеспечения ИБ всем принятымв организации функциям, связанным с ИБ?Итоговая оценка группового показателя M31Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,10420,10420,08320,10420,10420,10420,10420,08320,10420,1042Групповой показатель М32 “Доступность услуг и сервисов, наблюдаемостьи оцениваемость обеспечения ИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБM32.1Определен ли в соответствующих договорах(соглашениях) с клиентами и контрагентами порядокобеспечения им доступности банковских услуги сервисов?M32.2Выполняется ли порядок обеспечения доступностибанковских услуг и сервисов для клиентов и контрагентовв установленные сроки, если это определено в договорах?M32.3Kонтролируется ли обеспечение доступности услуги сервисов для клиентов и контрагентов?M32.4Определены ли документально требованияпо наблюдаемости (видимости, регистрации) результатовприменения защитных мер, используемых в организации?M32.5Выполняются ли рекомендации внутреннего и внешнегоаудитов ИБ?M32.6Разработана ли и утверждена в организации программааудита ИБ, включающая процессы внутреннего аудита ИБи самооценки ИБ?M32.7Выполняется ли в организации программа аудита ИБ,включающая процессы внутреннего аудита ИБи самооценки ИБ?M32.8Kонтролируется (подтверждается) ли руководствоморганизации достоверность свидетельств аудита ИБ,предъявляемых при проведении аудита ИБ?Итоговая оценка группового показателя M32Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,13160,13160,13160,13160,10530,13160,13160,105140СТО БР ИББС1.22007Приложение Б(обязательное)Форма листов для сбора свидетельств аудита ИБОбозначение частногопоказателя ИБИсточники свидетельств и свидетельства аудита ИБ(документы, результаты опроса или наблюдений)Kем предоставленысвидетельства аудита ИБПодписьсотрудника/руководителяДата_____________________________________(подпись)_____________________________________(подпись)_____________________________________(подпись)Ключевые слова: банковская система Российской Федерации, информационная безопасность, методика оценки соответствия, показатели информационной безопасности, текущий уровень информационнойбезопасности, система менеджмента информационной безопасности, осознание информационной безопасности, требования информационной безопасности..
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
