st12_09 (1027744), страница 4
Текст из файла (страница 4)
открытой) на ЭВМ, с помощью которой осуществляется взаимодействие с сетьюИнтернет в режиме online?М5.22Всегда ли наличие банковской информации на ЭВМ, с помощью которых осуществляетсявзаимодействие с сетью Интернет в режиме online, определяется бизнесцелями организациии документально санкционируется ее руководством?М5.23Определены ли документально и используются ли защитные меры, позволяющие обеспечитьпротиводействие атакам хакеров и распространению спама?Итоговая оценка группового показателя М5Групповой показатель M6 “Обеспечение информационной безопасностипри использовании средств криптографической защиты информации”Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,07760,06940,06910,06910,09190,09360,07550,07550,08470,07550,07450,06630,0773СТО БР ИББС1.2200925ОбозначениеОбязательностьчастногоЧастный показатель ИБпоказателявыполненияИБМ6.1Проводится ли применение СKЗИ в АБС в соответствии с моделью нарушителя,обязательныйпринятой в организации, с целью защиты информации при ее обработке,хранении и передаче по каналам связи?М6.2Утверждена ли политика (концепция) применения СKЗИ в организации?рекомендуемыйМ6.3Допускают ли СKЗИ возможность встраивания в технологическую схему обработкиобязательныйэлектронных сообщений?М6.4Обеспечивают ли СKЗИ взаимодействие с прикладным программным обеспечением на уровнеобязательныйобработки запросов на криптографические преобразования и выдачи результатов?М6.5Поставляются ли СKЗИ разработчиками с полным комплектом эксплуатационнойобязательныйдокументации, включающей описание ключевой системы, правила работы с ней и обоснованиенеобходимого организационноштатного обеспечения?М6.6Выполняется ли как минимум одна из трех альтернатив:обязательный— сертифицированы ли СKЗИ уполномоченным государственным органом;— реализованы ли СKЗИ на основе рекомендованных уполномоченным государственныморганом алгоритмов либо алгоритмов, определенных условиями договора с контрагентом(клиентом) организации;— соответствуют ли СKЗИ стандартам организации, взаимодействующей с проверяемойорганизацией?М6.7Поддерживается ли непрерывность процессов протоколирования работы СKЗИобязательныйпри применении СKЗИ в АБС?М6.8Поддерживается ли непрерывность процессов обеспечения целостности программногообязательныйобеспечения для всех звеньев АБС, взаимодействующих со СKЗИ?М6.9Обеспечивается ли ИБ процессов изготовления ключевых документов СKЗИ комплексомобязательныйтехнологических, организационных, технических и программных мер и средств защиты?М6.10Реализованы ли процедуры мониторинга, предусматривающие регистрацию всех значимыхрекомендуемыйсобытий, состоявшихся в процессе обмена электронными сообщениями, и всех инцидентов ИБ?обязательныйМ6.11Определен ли руководством порядок применения СKЗИ в АБС, включающий:— порядок ввода в действие, включая процедуры встраивания СKЗИ в АБС;— порядок эксплуатации;— порядок восстановления работоспособности в аварийных случаях;— порядок внесения изменений;— порядок снятия с эксплуатации;— порядок управления ключевой системой;— порядок обращения с носителями ключевой информации, включая действия при сменеи компрометации ключей?М6.12Самостоятельно ли изготавливаются в организации и(или) физическим лицом ключи ЭЦПобязательныйи(или) иных СKЗИ?М6.13Отражены ли в соответствующих договорах правовые и организационные последствияобязательныйизготовления ключей СKЗИ для одной организации в другой организации?Итоговая оценка группового показателя М626ОбозначениечастногоЧастный показатель ИБпоказателяИБМ7.1Определен ли в документах организации банковский платежный технологический процесс?М7.2Определены ли документально перечни программного обеспечения, устанавливаемогои(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретныхбанковских платежных технологических процессов?М7.3Соответствует ли состав установленного и используемого в ЭВМ и АБС программногообеспечения определенному перечню?М7.4Kонтролируется ли выполнение требований, оцениваемых в частных показателяхМ7.2, М7.3 с документированием результатов контроля?М7.5Зафиксирован ли порядок обмена платежной информацией в договорах между участникамиданного обмена?М7.6Отсутствуют ли в организации работники, обладающие полномочиями для бесконтрольногосоздания, авторизации, уничтожения и изменения платежной информации, а такжепроведения несанкционированных операций по изменению состояния банковских счетов?М7.7Kонтролируются (проверяются) ли и удостоверяются ли результаты технологических операцийпо обработке платежной информации лицами/автоматизированными процессами?М7.8Осуществляются ли обработка платежной информации и контроль (проверка) результатовобработки разными работниками / автоматизированными процессами?М7.9Возложены ли обязанности по администрированию средств защиты платежной информацииприказами или распоряжениями по организации на администраторов ИБ с отражениемэтих обязанностей в должностных инструкциях?М7.10Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса защиту платежной информации от искажения, фальсификации,переадресации, несанкционированного уничтожения, ложной авторизации электронныхплатежных сообщений?М7.11Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса доступ работника организации только к тем ресурсам банковскогоплатежного технологического процесса, которые необходимы ему для исполнения должностныхобязанностей или реализации прав, предусмотренных технологией обработки платежнойинформации?М7.12Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса контроль (мониторинг) исполнения установленной технологииподготовки, обработки, передачи и хранения платежной информации?М7.13Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса аутентификацию входящих электронных платежных сообщений?М7.14Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса двустороннюю аутентификацию автоматизированных рабочих мест(рабочих станций и серверов), участников обмена электронными платежными сообщениями?М7.15Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса возможность ввода платежной информации в АБС толькодля авторизованных пользователей?ОбязательностьвыполненияобязательныйобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,04050,0365обязательный0,0389обязательный0,0319обязательный0,0451обязательный0,0448обязательный0,0458рекомендуемый0,0442рекомендуемый0,0365обязательный0,0436обязательный0,0384обязательный0,0389обязательный0,0412обязательный0,0412обязательный0,0436СТО БР ИББС1.22009Групповой показатель M7 “Обеспечение информационной безопасностибанковских платежных технологических процессов”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0436обязательный0,0392обязательный0,0436обязательный0,0408рекомендуемый0,0364обязательный0,0337обязательный0,0364обязательный0,0368обязательный0,0392обязательный0,0392СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ7.16Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса контроль, направленный на исключение возможности совершениязлоумышленных действий (двойной ввод, сверка, установление ограничений в зависимостиот суммы совершения операций и т.д.)?М7.17Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса восстановление платежной информации в случае ее умышленного(случайного) разрушения (искажения) или выхода из строя средств вычислительной техники?М7.18Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса при осуществлении межбанковских расчетов сверку выходныхэлектронных платежных сообщений с соответствующими входными и обработаннымиэлектронными платежными сообщениями?М7.19Предусматривает ли комплекс мер по обеспечению ИБ банковского платежноготехнологического процесса доставку электронных платежных сообщений участникам обмена?М7.20Организован ли в организации авторизованный ввод платежной информации в АБС двумяработниками с последующей программной сверкой результатов ввода на совпадение(принцип “двойного управления”)?М7.21Определены ли в документах организации и выполняются ли при проектировании, разработке,эксплуатации систем дистанционного банковского обслуживания процедуры, реализующиемеханизмы:— снижения вероятности выполнения непреднамеренных или случайных операцийили транзакций авторизованными клиентами;— доведения информации о возможных рисках, связанных с выполнением операцийили транзакций до клиентов?М7.22Обеспечены ли клиенты систем дистанционного банковского обслуживания детальнымиинструкциями, описывающими процедуры выполнения операций или транзакций?М7.23Определены ли в документах организации и выполняются ли процедуры обслуживания средстввычислительной техники, используемых в банковском платежном технологическом процессе,включая замену их программных и(или) аппаратных частей?М7.24Определена ли в документах организации, согласована ли со службой либо лицом,отвечающим в организации за обеспечение ИБ, и выполняется ли процедура периодическогоконтроля всех реализованных программнотехническими средствами функций (требований)по обеспечению ИБ платежной информации?М7.25Определена ли в документах организации, согласована ли со службой либо лицом,отвечающим в организации за обеспечение ИБ, и выполняется ли процедура восстановлениявсех реализованных программнотехническими средствами функций по обеспечению ИБплатежной информации?Итоговая оценка группового показателя М72728ОбозначениечастногоЧастный показатель ИБпоказателяИБМ8.1Проведена ли в организации классификация неплатежной информации?М8.2Проводится ли классификация неплатежной информации в соответствии со степенью тяжестипоследствий потери ее свойств ИБ, в частности свойств доступности, целостностии конфиденциальности?М8.3Определен ли документально набор требований по защите каждого из типов неплатежныхинформационных активов (типов неплатежной информации), полученных в результатеклассификации?М8.4Возложены ли обязанности по администрированию средств защиты неплатежной информацииприказами или распоряжениями по организации на администраторов ИБ с отражениемэтих обязанностей в должностных инструкциях?М8.5Определен ли документально порядок контроля функционирования со стороны лиц,отвечающих за ИБ, для каждой АБС организации?М8.6Определены ли в документах организации банковские информационные технологическиепроцессы, согласованы ли эти документы со службой ИБ организации?М8.7Реализованы ли банковские информационные технологические процессы в рамках созданныхдля этих целей АБС?М8.8Изолированы ли серверы, офисные ЭВМ и другое оборудование, не входящее в состав АБС,реализующих банковские информационные технологические процессы, от указанных АБСна уровне локальных вычислительных сетей способом, согласованным со службой либо лицом,отвечающим в организации за ИБ?М8.9Определены ли документально перечни программного обеспечения, устанавливаемогои(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковскихинформационных технологических процессов?М8.10Соответствует ли состав установленного и используемого в ЭВМ и АБС программногообеспечения определенному перечню?М8.11Kонтролируется ли выполнение требований частных показателей М8.9, М8.10с документированием результатов контроля?М8.12Регламентирована ли в документах организации, согласована ли со службой ИБ либо лицом,отвечающим за обеспечение ИБ, и выполняется ли процедура периодического контроля всехреализованных программнотехническими средствами и организационными мерами функций(требований) по обеспечению ИБ неплатежной информации?М8.13Регламентирована ли в документах организации, согласована ли со службой ИБ либо лицом,отвечающим за обеспечение ИБ, и выполняется ли процедура восстановления всехреализованных программнотехническими средствами и организационными мерами функцийпо обеспечению ИБ неплатежной информации?Итоговая оценка группового показателя М8ОбязательностьвыполнениярекомендуемыйрекомендуемыйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,08520,0779обязательный0,0970рекомендуемый0,0814обязательный0,0777обязательный0,0740обязательный0,0639рекомендуемый0,0758обязательный0,0646обязательный0,0646обязательный0,0676обязательный0,0889обязательный0,0814СТО БР ИББС1.22009Групповой показатель M8 “Обеспечение информационной безопасностибанковских информационных технологических процессов”Групповой показатель M9 “Организация и функционирование службы ИБ организации БС РФ”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0816обязательный0,0753обязательный0,0750рекомендуемыйрекомендуемый0,05300,0615обязательный0,0694обязательный0,0725обязательный0,0725обязательный0,0781обязательный0,0725обязательный0,0725обязательный0,0787обязательный0,0587обязательный0,0787СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ9.1Сформирована ли руководством служба ИБ (назначено ли уполномоченное лицо)для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ,утверждены ли цели и задачи ее деятельности?М9.2Имеет ли служба ИБ утвержденные руководством полномочия и ресурсы, необходимыедля выполнения установленных целей и задач?М9.3Имеет ли служба ИБ назначенного из числа руководства куратора, который при этомне является куратором службы информатизации (автоматизации)?М9.4Наделена ли служба ИБ собственным бюджетом?М9.5Сформированы ли для организаций, имеющих сеть филиалов или региональныхпредставительств, подразделения ИБ (уполномоченные лица) на местах и обеспечены лиэти подразделения необходимыми ресурсами и нормативной базой?М9.6Наделена ли служба ИБ (уполномоченное лицо) полномочиями организовывать составлениеи контролировать выполнение всех планов по обеспечению ИБ организации?М9.7Наделена ли служба ИБ (уполномоченное лицо) полномочиями разрабатывать и вноситьпредложения по изменению политик ИБ организации?М9.8Наделена ли служба ИБ (уполномоченное лицо) полномочиями организовывать изменениясуществующих и принятие руководством новых внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?М9.9Наделена ли служба ИБ (уполномоченное лицо) полномочиями определять требованияк мерам обеспечения ИБ организации?М9.10Наделена ли служба ИБ (уполномоченное лицо) полномочиями контролировать работниковорганизации в части выполнения ими требований внутренних документов, регламентирующихдеятельность в области обеспечения ИБ, в первую очередь работников, имеющихмаксимальные полномочия по доступу к защищаемым информационным активам?М9.11Наделена ли служба ИБ (уполномоченное лицо) полномочиями осуществлять мониторингсобытий, связанных с обеспечением ИБ?М9.12Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в расследованиисобытий, связанных с инцидентами ИБ, и выходить в случае необходимости с предложениямипо применению санкций в отношении лиц, осуществивших НСД и НРД (например, нарушившихтребования инструкций, руководств по обеспечению ИБ организации)?М9.13Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в действияхпо восстановлению работоспособности АБС после сбоев и аварий?М9.14Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в создании,поддержании, эксплуатации и совершенствовании СОИБ организации?Итоговая оценка группового показателя М92930ОбозначениечастногоЧастный показатель ИБпоказателяИБМ10.1Определена ли в документах организации и корректируется ли опись структурированныхпо классам защищаемых информационных активов (типов информационных активов —типов информации)?М10.2Проводится ли классификация информационных активов по типам на основании оценокценности информационных активов для интересов (целей) организации, например,в соответствии с тяжестью последствий потери свойств ИБ информационных активов?М10.3Содержит ли опись информационных активов информацию о принадлежности конкретногоинформационного актива к выделенным типам информационных активов (в случае наличияв организации классификации информационных активов)?М10.4Содержит ли опись информационных активов (типов информационных активов) переченьих объектов среды, покрывающий все уровни информационной инфраструктуры организации,определенной в разделе 6 стандарта СТО БР ИББС1.0?М10.5Определены ли в документах организации процедуры анализа и пересмотра области действияСОИБ (в частности, процедуры пересмотра при изменении перечня информационных активоворганизации или типов информационных активов)?М10.6Определены ли в документах организации роли по определению/коррекции области действияСОИБ и по составлению и пересмотру описи информационных активов(типов информационных активов), находящихся в области действия СОИБ?М10.7Назначены ли в организации ответственные за выполнение ролей по определению/коррекцииобласти действия СОИБ и по составлению и пересмотру описи информационных активов(типов информационных активов), находящихся в области действия СОИБ?Итоговая оценка группового показателя М10ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1956рекомендуемый0,1614обязательный0,1352обязательный0,1098обязательный0,1276обязательный0,1352обязательный0,1352СТО БР ИББС1.22009Групповой показатель M10 “Определение/коррекция области действия СОИБ”Групповой показатель M11 “Выбор/коррекция подхода к оценке рисков нарушения ИБи проведению оценки рисков нарушения ИБ”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1154обязательный0,1070обязательный0,0854обязательный0,0854обязательный0,0676рекомендуемый0,0688обязательный0,0766обязательный0,0766обязательный0,0782обязательный0,0782обязательныйобязательный0,07820,0826СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ11.1Принята ли в организации и корректируется ли методика оценки рисков нарушенияИБ / подход к оценке рисков нарушения ИБ?М11.2Определены ли в организации критерии принятия рисков нарушения ИБ и уровеньдопустимого риска нарушения ИБ?М11.3Определяет ли методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБорганизации способ и порядок качественного или количественного оценивания рисканарушения ИБ на основании оценивания:— степени возможности реализации угроз ИБ выявленными и(или) предполагаемымиисточниками угроз ИБ, зафиксированных в моделях угроз и нарушителей, в результатеих воздействия на объекты среды информационных активов организации(типов информационных активов);— степени тяжести последствий от потери свойств ИБ, в частности свойств доступности,целостности и конфиденциальности для рассматриваемых информационных активов(типов информационных активов)?М11.4Определяет ли порядок оценки рисков нарушения ИБ необходимые процедуры оценки рисковнарушения ИБ, а также последовательность их выполнения?М11.5Проводится ли оценка рисков нарушения ИБ для свойств ИБ всех информационных активов(типов информационных активов) области действия СОИБ?М11.6Создан ли и поддерживается ли в актуальном состоянии единый информационный ресурс(база данных), содержащий информацию об инцидентах ИБ?М11.7Соотносятся ли величины рисков, полученные в результате оценивания рисков нарушения ИБ,с уровнем допустимого риска, принятого в организации?М11.8Определен ли в документах организации перечень недопустимых рисков нарушения ИБ,сформированный на основе сравнения полученных в результате оценивания рисков нарушенияИБ величин рисков с уровнем допустимого риска, принятого в организации?М11.9Определены ли в документах организации роли, связанные с деятельностьюпо определению/коррекции методики оценки рисков нарушения ИБ / подходак оценке риска нарушения ИБ?М11.10Назначены ли ответственные за выполнение ролей, связанных с деятельностьюпо определению/коррекции методики оценки рисков нарушения ИБ / подходак оценке риска нарушения ИБ?М11.11Определены ли в документах организации роли по оценке рисков нарушения ИБ?М11.12Назначены ли ответственные за выполнение ролей по оценке рисков нарушения ИБ?Итоговая оценка группового показателя М113132ОбозначениечастногоЧастный показатель ИБпоказателяИБМ12.1Определен ли в документах организации по каждому из недопустимых рисков нарушения ИБплан, определяющий один из возможных способов обработки риска:— перенос риска на сторонние организации (например, путем страхования указанного риска);— уход от риска (например, путем отказа от деятельности, выполнение которой приводитк появлению риска);— осознанное принятие риска;— формирование требований ИБ, снижающих риск до допустимого уровня, и формированиепланов по их реализации?М12.2Согласованы ли планы обработки рисков нарушения ИБ с руководителем службы ИБлибо лицом, отвечающим в организации за обеспечение ИБ?М12.3Утверждены ли руководством организации планы обработки рисков нарушения ИБ?М12.4Содержат ли планы реализации требований ИБ последовательность и сроки реализациии внедрения организационных, технических и иных защитных мер?М12.5Определены ли в документах организации роли по разработке планов обработки рисковнарушения ИБ?М12.6Назначены ли ответственные за выполнение ролей по разработке планов обработки рисковнарушения ИБ?Итоговая оценка группового показателя М12ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1814обязательный0,1814обязательныйобязательный0,18140,1702обязательный0,1428обязательный0,1428СТО БР ИББС1.22009Групповой показатель M12 “Разработка планов обработки рисков нарушения ИБ”Групповой показатель M13 “Определение/коррекция внутренних документов,регламентирующих деятельность в области обеспечения ИБ”ОбязательностьвыполнениярекомендуемыйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0406обязательныйобязательныйобязательныйобязательныйобязательный0,06280,05570,05800,05570,0510обязательный0,0489обязательный0,0407обязательный0,0510обязательный0,0486СТО БР ИББС1.2200933ОбозначениечастногоЧастный показатель ИБпоказателяИБМ13.1Проводится ли разработка и коррекция внутренних документов, регламентирующихдеятельность в области обеспечения ИБ в организации, с учетом рекомендацийпо стандартизации Банка России РС БР ИББС2.0 “Обеспечение информационнойбезопасности организаций банковской системы Российской Федерации.Методические рекомендации по документации в области обеспечения информационнойбезопасности в соответствии с требованиями СТО БР ИББС1.0”?М13.2Разработана ли политика ИБ организации? Утверждена ли политика ИБ руководством?М13.3Kорректируется ли политика ИБ организации?М13.4Разработаны ли частные политики ИБ организации?М13.5Kорректируются ли частные политики ИБ организации?М13.6Разработаны ли в организации документы, регламентирующие процедуры выполненияотдельных видов деятельности, связанных с обеспечением ИБ?М13.7Kорректируются ли в организации документы, регламентирующие процедуры выполненияотдельных видов деятельности, связанных с обеспечением ИБ?М13.8Определены ли в организации перечень и формы документов, являющихся свидетельствомвыполнения деятельности по обеспечению ИБ?М13.9Определены ли в политике ИБ (частных политиках ИБ) организации:— цели и задачи обеспечения ИБ;— основные области обеспечения ИБ;— типы основных защищаемых информационных активов;— модели угроз и нарушителей;— совокупность правил, требований и руководящих принципов в области ИБ;— основные требования к обеспечению ИБ;— принципы противодействия угрозам ИБ по отношению к типам основных защищаемыхинформационных активов;— основные принципы повышения уровня осознания и осведомленности в области ИБ;— принципы реализации и контроля выполнения требований политики ИБ?М13.10Kорректируются ли в политике ИБ (частных политиках ИБ) организации:— цели и задачи обеспечения ИБ;— основные области обеспечения ИБ;— типы основных защищаемых информационных активов;— модели угроз и нарушителей;— совокупность правил, требований и руководящих принципов в области ИБ;— основные требования к обеспечению ИБ;— принципы противодействия угрозам ИБ по отношению к типам основных защищаемыхинформационных активов;— основные принципы повышения уровня осознания и осведомленности в области ИБ;— принципы реализации и контроля выполнения требований политики ИБ?Обязательностьвыполнения00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0519обязательный0,0510обязательный0,0501обязательный0,0510обязательный0,0426обязательный0,0354обязательный0,0426обязательный0,0443обязательный0,0406обязательный0,0382обязательный0,0393СТО БР ИББС1.22009обязательныйОценка частного показателя ИБ34ОбозначениечастногоЧастный показатель ИБпоказателяИБМ13.11Разрабатываются ли внутренние документы, регламентирующие деятельность в областиобеспечения ИБ на основе:— законодательства Российской Федерации;— комплекса БР ИББС, в частности требования 7го и 8го разделов стандартаСТО БР ИББС1.0;— нормативных актов и предписаний регулирующих и надзорных органов;— договорных требований организации со сторонними организациями;— результатов оценки рисков, выполненной с соответствующей уровню разрабатываемогодокумента детализацией рассматриваемых информационных активов(типов информационных активов)?М13.12Kорректируются ли внутренние документы, регламентирующие деятельность в областиобеспечения ИБ на основе:— законодательства Российской Федерации;— комплекса БР ИББС, в частности требования 7го и 8го разделов стандартаСТО БР ИББС1.0;— нормативных актов и предписаний регулирующих и надзорных органов;— договорных требований организации со сторонними организациями;— результатов оценки рисков, выполненной с соответствующей уровню разрабатываемогодокумента детализацией рассматриваемых информационных активов(типов информационных активов)?М13.13Содержит ли совокупность внутренних документов, регламентирующих деятельность в областиобеспечения ИБ, требования по обеспечению ИБ всех выявленных информационных активов(типов информационных активов), находящихся в области действия СОИБ организации?М13.14Не противоречат ли документы, регламентирующие процедуры выполнения отдельных видовдеятельности, связанных с обеспечением ИБ, положениям политики ИБ и частных политик ИБ?М13.15Детализируют ли документы, регламентирующие процедуры выполнения отдельных видовдеятельности, связанных с обеспечением ИБ, положения политики ИБ и частных политик ИБ?М13.16Утвержден ли руководством организации порядок взаимодействия (координирования работы)службы ИБ с работниками, ответственными за обеспечение ИБ в структурных подразделенияхорганизации (в случае наличия в структурных подразделениях организации работников,ответственных за обеспечение ИБ)?М13.17Определены ли в составе документов, регламентирующих деятельность в области обеспеченияИБ, перечень свидетельств выполнения указанной деятельности и ответственность работниковорганизации за выполнение этой деятельности?М13.18Определены ли в документах организации процедуры выделения и распределения ролейв области обеспечения ИБ?М13.19Определен ли в документах организации порядок разработки, поддержки, пересмотраи контроля исполнения внутренних документов, регламентирующих деятельностьпо обеспечению ИБ организации?М13.20Определены ли в документах организации роли по разработке, поддержке, пересмотруи контролю исполнения внутренних документов, регламентирующих деятельностьпо обеспечению ИБ организации?М13.21Назначены ли ответственные за выполнение ролей по разработке, поддержке, пересмотруи контролю исполнения внутренних документов, регламентирующих деятельностьпо обеспечению ИБ организации?Итоговая оценка группового показателя М13Групповой показатель M14 “Принятие руководством организации БС РФ решений о реализации и эксплуатации СОИБ”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,2752обязательный0,2812обязательный0,2096обязательный0,2340СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ14.1Оформлены ли документально и утверждены ли руководством решения о реализациии эксплуатации СОИБ, в частности решения:— об анализе и принятии остаточных рисков нарушения ИБ;— о планировании этапов внедрения СОИБ, в частности требований ИБ, изложенныхв 7м и 8м разделах СТО БР ИББС1.0;— о распределении ролей в области обеспечения ИБ организации;— о принятии со стороны руководства планов внедрения защитных мер, направленныхна реализацию требований 7го и 8го разделов СТО БР ИББС1.0 и снижение рисков ИБ;— о выделении ресурсов, необходимых для реализации и эксплуатации функционированияСОИБ?М14.2Утверждены ли руководством все планы внедрения СОИБ, в частности планы реализацийтребований 7го и 8го разделов СТО БР ИББС1.0, планы обработки рисков нарушения ИБи внедрения защитных мер, в которых документально зафиксированы:— последовательность выполнения мероприятий в рамках указанных планов;— сроки начала и окончания запланированных мероприятий;— должностные лица (подразделения), ответственные за выполнение каждогоуказанного мероприятия?М14.3Определен ли документально порядок разработки, пересмотра и контроля исполнения плановпо обеспечению ИБ организации?М14.4Оформлены ли документально решения руководства, связанные с назначениеми распределением ролей для всех структурных подразделений в соответствии с положениямивнутренних документов, регламентирующих деятельность по обеспечению ИБ организации?Итоговая оценка группового показателя М143536СТО БР ИББС1.22009Групповой показатель M15 “Организация реализации планов внедрения СОИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ15.1Определены ли в документах организации и выполняются ли проектирование/приобретение/развертывание, внедрение, эксплуатация, контроль и сопровождение эксплуатации защитныхмер (СИБ), предусмотренных планами реализации требований ИБ?М15.2Реализуются ли при построении элементов СИБ (применительно к конкретной областиили сфере деятельности организации) защитные меры, применяемые к объектам среды,в соответствии с существующими в организации требованиями обеспечения ИБ,сформулированными в политике ИБ и других внутренних документах организации?М15.3Определены ли в документах организации роли, связанные с реализацией планов обработкирисков нарушения ИБ и с реализацией требуемых защитных мер?М15.4Назначены ли ответственные за выполнение ролей, связанных с реализацией плановобработки рисков нарушения ИБ и с реализацией требуемых защитных мер?Итоговая оценка группового показателя М15ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,2540обязательный0,2688обязательный0,2412обязательный0,2360Групповой показатель M16 “Разработка и организация реализации программпо обучению и повышению осведомленности в области ИБ”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1898обязательный0,1378обязательный0,1536обязательный0,1164обязательный0,1396обязательный0,1290обязательный0,1338СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ16.1Организована ли документально оформленная работа с персоналом организациив направлении повышения осведомленности и обучения в области ИБ, включая разработкуи реализацию планов и программ обучения и повышения осведомленности в области ИБи контроля результатов выполнения указанных планов? Утверждена ли руководством указаннаяработа?М16.2Установлены ли в планах обучения и повышения осведомленности требования к периодичностиобучения и повышения осведомленности?М16.3Включена ли в программы обучения и повышения осведомленности информация:— по существующим политикам ИБ;— по применяемым в организации защитным мерам;— по правильному использованию защитных мер в соответствии с внутренними документамиорганизации;— о значимости и важности деятельности работников для обеспечения ИБ организации?М16.4Определен ли в организации перечень документов, являющихся свидетельством выполненияпрограмм обучения и повышения осведомленности в области ИБ, в частности:— документы (журналы), подтверждающие прохождение руководителями и работникамиорганизации обучения в области ИБ с указанием уровня образования, навыков, опытаи квалификации обучаемых;— документы, содержащие результаты проверок обучения работников организации;— документы, содержащие результаты проверок осведомленности в области ИБв организации?М16.5Организуется ли для работника, получившего новую роль, обучение или инструктажв области ИБ, соответствующий полученной роли?М16.6Определены ли в документах организации роли по разработке, реализации планов и программобучения и повышения осведомленности в области ИБ и по контролю их результатов?М16.7Назначены ли ответственные за выполнение ролей по разработке, реализации планови программ обучения и повышения осведомленности в области ИБ и по контролюих результатов?Итоговая оценка группового показателя М163738ОбозначениечастногоЧастный показатель ИБпоказателяИБМ17.1Существуют ли в организации документы, регламентирующие процедуры обработкиинцидентов, включающие:— процедуры обнаружения инцидентов ИБ;— процедуры информирования об инцидентах;— процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;— процедуры реагирования на инцидент;— процедуры анализа причин инцидентов ИБ и оценки результатов реагированияна инциденты ИБ (при необходимости — с участием внешних экспертов в области ИБ)?М17.2Сформирована и поддерживается ли в актуальном состоянии централизованная базаинцидентов ИБ?М17.3Определены ли в документах организации процедуры по хранению информации:— об инцидентах ИБ;— о практиках анализа инцидентов ИБ;— о результатах реагирования на инциденты ИБ?М17.4Определены ли в документах организации порядок действий работников организациипри обнаружении нетипичных событий, связанных с ИБ, и порядок информированияо данных событиях?М17.5Осведомлены ли работники организации о порядке действий при обнаружении нетипичныхсобытий, связанных с ИБ, и порядке информирования о данных событиях?М17.6Учитывают ли процедуры расследования инцидентов действующее законодательствоРоссийской Федерации, положения нормативных актов Банка России, а также внутреннихдокументов организации в области ИБ?М17.7Принимаются и выполняются ли в организации документально оформленные решенияпо всем выявленным инцидентам ИБ?М17.8Определены ли в документах организации роли по обнаружению, классификации,реагированию, анализу и расследованию инцидентов ИБ?М17.9Назначены ли ответственные за выполнение ролей по обнаружению, классификации,реагированию, анализу и расследованию инцидентов ИБ?Итоговая оценка группового показателя М17ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1372рекомендуемый0,1152обязательный0,1152обязательный0,1124обязательный0,1124обязательный0,0948обязательный0,1076обязательный0,1026обязательный0,1026СТО БР ИББС1.22009Групповой показатель M17 “Организация обнаружения и реагирования на инциденты безопасности”Групповой показатель M18 “Организация обеспечения непрерывности бизнеса и его восстановления после прерываний”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,08760,0888обязательный0,0907обязательный0,0673обязательный0,0801обязательный0,0758обязательный0,0593обязательный0,0550обязательный0,0587обязательный0,0699обязательный0,0593обязательный0,0717обязательный0,0679обязательный0,067939обязательныйСТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ18.1Выделены ли в описи защищаемых информационных активов организации активы,существенные для обеспечения непрерывности бизнеса организации?М18.2Определены ли документально в организации требования обеспечения ИБ, регламентирующиевопросы обеспечения непрерывности бизнеса и его восстановления после прерывания?М18.3Определен ли в документах организации план обеспечения непрерывности бизнеса и еговосстановления после возможного прерывания, содержащий инструкции и порядок действийработников организации, в состав которого включены:— условия активизации плана;— порядок действий, которые должны быть предприняты после инцидента ИБ(инструкции персонала);— процедуры восстановления;— процедуры тестирования и проверки плана;— план обучения и повышения осведомленности работников организации;— обязанности работников организации с указанием ответственных за выполнение каждогоиз положений плана?М18.4Основывается ли разработка планов обеспечения непрерывности бизнеса и еговосстановления после прерываний на документально оформленных результатах оценки рисковнарушения ИБ организации применительно к информационным активам, существеннымдля обеспечения непрерывности бизнеса и его восстановления после прерывания?М18.5Определены ли документально, реализованы и эксплуатируются ли защитные меры обеспечениянепрерывности бизнеса применительно к информационным активам, существеннымдля обеспечения непрерывности бизнеса и его восстановления после прерывания?М18.6Основываются ли реализация и использование защитных мер обеспечения непрерывностибизнеса и его восстановления после прерывания на соответствующих требованияхобеспечения ИБ?М18.7Согласован ли план обеспечения непрерывности бизнеса и его восстановления послепрерываний с существующими в организации процедурами обработки инцидентов ИБ?М18.8Определено ли в документах организации и выполняется ли периодическое тестированиеплана обеспечения непрерывности бизнеса и его восстановления после прерывания?М18.9Составлен ли сценарий тестирования плана обеспечения непрерывности бизнеса и еговосстановления после прерывания с учетом существующей в организации модели угрози нарушителей, а также результатов оценки рисков?М18.10Проводится ли при необходимости корректировка плана обеспечения непрерывности бизнесаи его восстановления после прерывания по результатам тестирования?М18.11Реализована ли в организации программа обучения и повышения осведомленности работниковв области обеспечения непрерывности бизнеса и его восстановления после прерываний?М18.12Определены ли в документах организации и выполняются ли процедуры регулярногопересмотра и обновления плана обеспечения непрерывности бизнеса и его восстановленияпосле прерывания (для обеспечения уверенности в их эффективности), учитывающиеизменения в приоритетах, целях и интересах бизнеса организации; пересмотр моделей угроз;оценку рисков нарушения ИБ?М18.13Определены ли в документах организации роли по разработке плана обеспечениянепрерывности бизнеса и его восстановления после прерывания?М18.14Назначены ли ответственные за выполнение ролей по разработке плана обеспечениянепрерывности бизнеса и его восстановления после прерывания?Итоговая оценка группового показателя М1840ОбозначениечастногоЧастный показатель ИБпоказателяИБМ19.1Определены ли в документах организации процедуры мониторинга СОИБ и контроля защитныхмер, которые охватывают все реализованные и эксплуатируемые защитные меры, входящиев СИБ, проводятся персоналом организации, ответственным за обеспечение ИБ?М19.2Фиксируются ли документально результаты выполнения процедур мониторинга СОИБи контроля защитных мер?М19.3Определены ли в документах организации и выполняются ли процедуры сбора и храненияинформации о действиях работников организации, событиях и параметрах, имеющихотношение к функционированию защитных мер?М19.4Включается ли в базу данных инцидентов информация обо всех инцидентах ИБ,выявленных в процессе мониторинга СОИБ и контроля защитных мер?М19.5Подвергаются ли процедуры мониторинга СОИБ и контроля защитных мер регулярными документально зафиксированным пересмотрам в связи с изменениями в составе и способахиспользования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основеданных об инцидентах ИБ?М19.6Определен ли в документах организации порядок пересмотра процедур мониторинга СОИБи контроля защитных мер?М19.7Определены ли в документах организации роли, связанные с выполнением процедурмониторинга СОИБ и контроля защитных мер, а также с пересмотром указанных процедур?М19.8Назначены ли ответственные за выполнение ролей, связанных с выполнением процедурмониторинга СОИБ и контроля защитных мер, а также с пересмотром указанных процедур?Итоговая оценка группового показателя М19ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1482обязательный0,1352обязательный0,1068обязательный0,1352обязательный0,1312обязательный0,1066обязательный0,1184обязательный0,1184СТО БР ИББС1.22009Групповой показатель M19 “Мониторинг и контроль защитных мер”Групповой показатель M20 “Проведение самооценки ИБ”ОбязательностьвыполненияобязательныйрекомендуемыйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,13400,1118обязательный0,1026обязательный0,1098обязательный0,0978обязательныйобязательный0,11500,1262обязательный0,1014обязательный0,1014СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ20.1Проводится ли самооценка ИБ в соответствии с настоящим стандартом?М20.2Организован ли порядок проведения самооценки ИБ в соответствии с рекомендациямипо стандартизации Банка России РС БР ИББС2.1 “Обеспечение информационнойбезопасности организаций банковской системы Российской Федерации.Руководство по самооценке соответствия информационной безопасности организацийбанковской системы Российской Федерации требованиям СТО БР ИББС1.0”?М20.3Определена ли в документах организации и реализована ли программа самооценок ИБ,содержащая информацию, необходимую для планирования и организации самооценок ИБ, ихконтроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимымидля эффективного и результативного проведения указанных самооценок ИБ в заданные сроки?М20.4Определены ли в документах организации:— порядок формирования, сбора и хранения свидетельств самооценки ИБ;— периодичность проведения самооценки ИБ;— порядок хранения и использования результатов самооценки ИБ?М20.5Оформлен ли в документах организации для каждой проводимой в организациисамооценки ИБ план ее проведения, определяющий:— цель самооценки ИБ;— объекты и деятельность, подвергающиеся самооценке ИБ;— порядок и сроки выполнения мероприятий самооценки ИБ;— распределение ролей среди работников организации, связанных с проведениемсамооценки ИБ?М20.6Подготавливаются ли по результатам самооценок ИБ отчеты?М20.7Доводятся ли результаты самооценок ИБ и соответствующие отчеты до руководстваорганизации?М20.8Определены ли в документах организации роли, связанные с выполнением программысамооценок ИБ?М20.9Назначены ли ответственные за выполнение ролей, связанных с выполнением программысамооценок ИБ?Итоговая оценка группового показателя М204142Групповой показатель M21 “Проведение аудита ИБ”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1192обязательный0,0974обязательный0,1112обязательный0,1246обязательныйобязательныйобязательный0,11860,13120,0886обязательный0,1046обязательный0,1046СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ21.1Проводится ли аудит ИБ организации в соответствии с требованиями стандарта Банка РоссииСТО БР ИББС1.1 “Обеспечение информационной безопасности организаций банковскойсистемы Российской Федерации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
