st12_09 (1027744), страница 5
Текст из файла (страница 5)
Аудит информационной безопасности” и настоящегостандарта?М21.2Определена ли в документах организации и реализуется ли программа аудитов ИБ,содержащая информацию, необходимую для планирования и организации аудитов ИБ, ихконтроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимымидля эффективного и результативного проведения указанных аудитов ИБ в заданные сроки?М21.3Оформлен ли в документах организации для каждого проводимого в организации аудита ИБплан аудита, определяющий:— цель аудита ИБ;— критерии аудита ИБ;— область аудита ИБ;— дату и продолжительность проведения аудита ИБ;— состав аудиторской группы;— описание деятельности и мероприятий по проведению аудита ИБ;— распределение ресурсов при проведении аудита ИБ?М21.4Оформлены ли договоры с аудиторскими организациями и определены лив соответствующих документах:— порядок хранения, доступа и использования материалов, получаемых в процессепроведения аудита ИБ;— порядок взаимодействия с аудиторской организацией в процессе проведения аудита ИБ;— порядок взаимодействия аудиторской группы и руководства, позволяющий представителямаудиторской группы при необходимости непосредственно обращаться к руководству;— порядок организации опроса работников;— порядок организации наблюдения за деятельностью работников организации со стороныпредставителей аудиторской организации?М21.5Подготавливаются ли по результатам аудитов ИБ отчеты?М21.6Доводятся ли результаты аудитов ИБ и соответствующие отчеты до руководства организации?М21.7Определен ли в документах организации порядок хранения, доступа и использованияматериалов, получаемых в процессе проведения аудитов, в частности отчетов аудитов?М21.8Определены ли в документах организации роли, связанные с организацией выполненияпрограмм аудитов и планов отдельных аудитов?М21.9Назначены ли ответственные за выполнение ролей, связанных с организацией выполненияпрограмм аудитов и планов отдельных внешних аудитов?Итоговая оценка группового показателя М21Групповой показатель M22 “Анализ функционирования СОИБ”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1274обязательный0,1058обязательный0,1002обязательный0,0946обязательныйобязательный0,09460,0930обязательный0,0822обязательныйобязательный0,10260,0998обязательный0,0998СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ22.1Проводится ли в организации анализ функционирования СОИБ, использующий в том числе:— результаты мониторинга СОИБ и контроля защитных мер;— сведения об инцидентах ИБ;— результаты проведения аудитов ИБ, самооценок ИБ;— данные об угрозах, возможных нарушителях и уязвимостях ИБ;— данные об изменениях внутри организации, например данные об изменениях в процессахи технологиях, реализуемых в рамках основного процессного потока, измененияхво внутренних документах организации;— данные об изменениях вне организации, например данные об измененияхв законодательстве Российской Федерации, изменениях в требованиях комплекса БР ИББС,изменениях в договорных обязательствах организации?М22.2Проводится ли анализ соответствия комплекса внутренних документов, регламентирующихдеятельность по обеспечению ИБ в организации, требованиям законодательства РФ,требованиям стандартов Банка России, контрактным требованиям организации?М22.3Проводится ли анализ соответствия внутренних документов нижних уровней иерархии,регламентирующих деятельность по обеспечению ИБ в организации, требованиям политикИБ организации?М22.4Проводится ли оценка рисков в области ИБ организации, включая оценку уровня остаточногои допустимого рисков?М22.5Проводится ли проверка адекватности модели угроз организации существующим угрозам ИБ?М22.6Проводится ли оценка адекватности используемых защитных мер требованиям внутреннихдокументов организации и результатам оценки рисков?М22.7Проводится ли анализ отсутствия разрывов в технологических процессах обеспечения ИБ,а также несогласованности в использовании защитных мер?М22.8Документируются ли результаты анализа функционирования СОИБ?М22.9Определены ли в документах организации роли, связанные с процедурами анализафункционирования СОИБ?М22.10Назначены ли ответственные за выполнение ролей, связанных с процедурами анализафункционирования СОИБ?Итоговая оценка группового показателя М224344Групповой показатель M23 “Анализ СОИБ со стороны руководства организации БС РФ”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1376обязательный0,1464обязательный0,1318обязательный0,1154обязательный0,1228обязательный0,1104обязательный0,1178обязательный0,1178СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ23.1Утвержден ли в организации перечень документов (данных), необходимых для формированияинформации, предоставляемой руководству с целью проведения анализа СОИБ?М23.2Входят ли в перечень документов, необходимых для формирования информации,предоставляемой руководству с целью проведения анализа СОИБ, отчеты с результатами:— мониторинга СОИБ и контроля защитных мер;— анализа функционирования СОИБ;— аудитов ИБ;— самооценок ИБ?М23.3Входят ли в перечень документов, необходимых для формирования информации,предоставляемой руководству с целью проведения анализа СОИБ, документы,содержащие информацию:— о способах и методах защиты, защитных мерах или процедурах их использования,которые могли бы использоваться для улучшения функционирования СОИБ;— о новых выявленных уязвимостях и угрозах ИБ;— о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленныхруководством;— об изменениях, которые могли бы повлиять на организацию СОИБ, например измененияв законодательстве Российской Федерации и(или) в положениях стандартов Банка России;— о выявленных инцидентах ИБ?М23.4Входят ли в перечень документов, необходимых для формирования информации,предоставляемой руководству с целью проведения анализа СОИБ, документы,подтверждающие выполнение требуемой деятельности по обеспечению ИБ, напримервыполнение планов обработки рисков?М23.5Входят ли в перечень документов, необходимых для формирования информации,предоставляемой руководству с целью проведения анализа СОИБ, документы,подтверждающие выполнение требований непрерывности бизнеса и его восстановления послепрерывания?М23.6Определен ли в организации и утвержден ли руководством план выполнения деятельностипо контролю и анализу СОИБ, содержащий, в частности, положения по проведению совещанийна уровне руководства, на которых в том числе производятся поиск и анализ проблем ИБ,влияющих на бизнес организации?М23.7Определены ли в документах организации роли, связанные с подготовкой информации,необходимой для анализа СОИБ руководством?М23.8Назначены ли ответственные за выполнение ролей, связанных с подготовкой информации,необходимой для анализа СОИБ руководством?Итоговая оценка группового показателя М23Групповой показатель M24 “Принятие решений по тактическим улучшениям СОИБ”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1354обязательный0,1354обязательный0,1216обязательныйобязательный0,13540,1272обязательный0,1300обязательный0,0934обязательный0,1216СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ24.1Рассматриваются ли при принятии решений, связанных с тактическими улучшениями СОИБ,документально оформленные результаты:— аудитов ИБ;— самооценок ИБ;— мониторинга СОИБ и контроля защитных мер;— анализа функционирования СОИБ;— обработки инцидентов ИБ;— выявления новых угроз и уязвимостей ИБ;— оценки рисков;— анализа перечня защитных мер, возможных для применения;— стратегических улучшений СОИБ;— анализа СОИБ со стороны руководства;— анализа успешных практик в области ИБ (собственных или других организаций)?М24.2Оформляются ли документально решения по тактическим улучшениям СОИБ, содержащие либовыводы об отсутствии необходимости тактических улучшений СОИБ, либо направлениятактических улучшений СОИБ?М24.3Формируются ли направления тактических улучшений СОИБ в виде корректирующихи превентивных действий?М24.4Определены ли в документах организации планы реализации тактических улучшений СОИБ?М24.5Существуют ли в организации документы, в которых фиксируются результаты выполненияпланов реализации тактических улучшений СОИБ?М24.6Санкционирует и контролирует ли руководство службы ИБ организации деятельность,связанную с реализацией тактических улучшений СОИБ?М24.7Определены ли в документах организации и выполняются ли процедуры согласованияи информирования заинтересованных сторон о тактических улучшениях СОИБ, в частностиоб изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ,к требованиям ИБ? Фиксируются ли результаты выполнения указанных процедур?М24.8Назначаются ли ответственные за реализацию решений по тактическим улучшениям СОИБ?Итоговая оценка группового показателя М2445Групповой показатель M25 “Принятие решений по стратегическим улучшениям СОИБ”Обязательностьвыполнения00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1130обязательный0,1058обязательный0,0984обязательный0,0984обязательныйобязательный0,10160,0962обязательный0,1108обязательный0,1058обязательный0,0822обязательный0,0878СТО БР ИББС1.22009обязательныйОценка частного показателя ИБ46ОбозначениечастногоЧастный показатель ИБпоказателяИБМ25.1Рассматриваются ли при принятии решений, связанных со стратегическими улучшениямиСОИБ, документально оформленные результаты:— аудитов ИБ;— самооценок ИБ;— мониторинга СОИБ и контроля защитных мер;— анализа функционирования СОИБ;— обработки инцидентов ИБ;— выявления новых информационных активов организации или их типов;— выявления новых угроз и уязвимостей ИБ;— оценки рисков;— пересмотра основных рисков ИБ;— анализа СОИБ со стороны руководства;— анализа успешных практик в области ИБ (собственных или других организаций)?М25.2Рассматриваются ли при принятии решений, связанных со стратегическими улучшениямиСОИБ, изменения интересов, целей и задач бизнеса организации, контрактных обязательстворганизации, а также изменения в законодательстве РФ и нормативных актах Банка России?М25.3Оформляются ли документально решения по стратегическим улучшениям СОИБ, содержащиелибо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо направлениястратегических улучшений СОИБ?М25.4Формируются ли направления стратегических улучшений СОИБ в виде корректирующихили превентивных действий, например:— уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ(частных политик ИБ) организации;— изменения в области действия СОИБ;— уточнение описи типов информационных активов;— пересмотр моделей угроз и нарушителей;— изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ?М25.5Определены ли в документах организации планы реализации стратегических улучшений СОИБ?М25.6Существуют ли в организации документы, в которых фиксируются результаты выполненияпланов реализации стратегических улучшений СОИБ?М25.7Санкционирует и контролирует ли руководство организации деятельность, связаннуюс реализацией стратегических улучшений СОИБ?М25.8В случае стратегических улучшений СОИБ выполняется ли деятельность по реализациисоответствующих тактических улучшений СОИБ для всех необходимых процедур обеспеченияИБ, используемых защитных мер и соответствующих внутренних документов, в частности,выполняются ли:— выработка планов тактических улучшений СОИБ;— уточнение планов обработки рисков;— уточнение программы внедрения защитных мер;— уточнение процедур использования защитных мер?М25.9Определены ли в документах организации и выполняются ли процедуры согласованияи информирования заинтересованных сторон о стратегических улучшениях СОИБ,в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ,к требованиям ИБ? Фиксируются ли документально результаты выполненияуказанных процедур?М25.10Назначаются ли ответственные за реализацию решений по стратегическим улучшениям СОИБ?Итоговая оценка группового показателя М25Групповой показатель M26 “Оценка деятельности руководства организации БС РФпо поддержке функционирования службы ИБ организации БС РФ”ОбозначениечастногопоказателяИБМ26.1(аналог М9.1)М26.2(аналог М9.2)М26.3(аналог М9.3)М26.4(аналог М9.4)М26.5(аналог М9.5)Частный показатель ИБСформирована ли руководством служба ИБ (назначено ли уполномоченное лицо)для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ,утверждены ли цели и задачи ее деятельности?Имеет ли служба ИБ утвержденные руководством полномочия и ресурсы, необходимыедля выполнения установленных целей и задач?Имеет ли служба ИБ назначенного из числа руководства куратора, который при этомне является куратором службы информатизации (автоматизации)?Наделена ли служба ИБ собственным бюджетом?обязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0816обязательный0,0753обязательный0,0750рекомендуемый0,0530рекомендуемый0,0615обязательный0,0694обязательный0,0725обязательный0,0725обязательный0,0781обязательный0,0725обязательный0,0725обязательный0,0787обязательный0,0587обязательный0,0787СТО БР ИББС1.2200947Сформированы ли для организаций, имеющих сеть филиалов или региональныхпредставительств, подразделения ИБ (уполномоченные лица) на местах и обеспечены лиэти подразделения необходимыми ресурсами и нормативной базой?М26.6Наделена ли служба ИБ (уполномоченное лицо) полномочиями организовывать(аналог М9.6) составление и контролировать выполнение всех планов по обеспечению ИБ организации?М26.7Наделена ли служба ИБ (уполномоченное лицо) полномочиями разрабатывать и вносить(аналог М9.7) предложения по изменению политик ИБ организации?М26.8Наделена ли служба ИБ (уполномоченное лицо) полномочиями организовывать изменения(аналог М9.8) существующих и принятие руководством новых внутренних документов, регламентирующихдеятельность по обеспечению ИБ организации?М26.9Наделена ли служба ИБ (уполномоченное лицо) полномочиями определять требования(аналог М9.9) к мерам обеспечения ИБ организации?М26.10Наделена ли служба ИБ (уполномоченное лицо) полномочиями контролировать работников(аналог М9.10) организации в части выполнения ими требований внутренних документов,регламентирующих деятельность в области обеспечения ИБ, в первую очередьработников, имеющих максимальные полномочия по доступу к защищаемыминформационным активам?М26.11Наделена ли служба ИБ (уполномоченное лицо) полномочиями осуществлять мониторинг(аналог М9.11) событий, связанных с обеспечением ИБ?М26.12Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать(аналог М9.12) в расследовании событий, связанных с инцидентами ИБ, и выходить в случаенеобходимости с предложениями по применению санкций в отношении лиц,осуществивших НСД и НРД (например, нарушивших требования инструкций,руководств по обеспечению ИБ организации)?М26.13Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в действиях(аналог М9.13) по восстановлению работоспособности АБС после сбоев и аварий?М26.14Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в создании,(аналог М9.14) поддержании, эксплуатации и совершенствовании СОИБ организации?Итоговая оценка группового показателя М26Обязательностьвыполнения48ОбозначениечастногопоказателяИБМ27.1(аналог М14.1)Частный показатель ИБОформлены ли документально и утверждены ли руководством решения о реализациии эксплуатации СОИБ, в частности решения:— об анализе и принятии остаточных рисков нарушения ИБ;— о планировании этапов внедрения СОИБ, в частности требований ИБ, изложенныхв 7м и 8м разделах СТО БР ИББС1.0;— о распределении ролей в области обеспечения ИБ организации;— о принятии со стороны руководства планов внедрения защитных мер, направленныхна реализацию требований 7го и 8го разделов СТО БР ИББС1.0 и снижение рисков ИБ;— о выделении ресурсов, необходимых для реализации и эксплуатации функционированияСОИБ?М27.2Утверждены ли руководством все планы внедрения СОИБ, в частности планы реализаций(аналог М14.2) требований 7го и 8го разделов СТО БР ИББС1.0, планы обработки рисков нарушенияИБ и внедрения защитных мер, в которых документально зафиксированы:— последовательность выполнения мероприятий в рамках указанных планов;— сроки начала и окончания запланированных мероприятий;— должностные лица (подразделения), ответственные за выполнение каждого указанногомероприятия?М27.3Определен ли документально порядок разработки, пересмотра и контроля исполнения(аналог М14.3) планов по обеспечению ИБ организации?М27.4Оформлены ли документально решения руководства, связанные с назначением(аналог М14.4) и распределением ролей для всех структурных подразделений в соответствиис положениями внутренних документов, регламентирующих деятельность по обеспечениюИБ организации?Итоговая оценка группового показателя М27ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,2752обязательный0,2812обязательный0,2096обязательный0,2340СТО БР ИББС1.22009Групповой показатель M27 “Оценка деятельности руководства организации БС РФпо принятию решений о реализации и эксплуатации СОИБ”Групповой показатель M28 “Оценка деятельности руководства организации БС РФпо поддержке планирования СОИБ”ОбозначениечастногопоказателяИБМ28.1(аналог М10.1)Частный показатель ИБобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0386обязательный0,0364обязательный0,0364обязательный0,0386обязательный0,0386обязательный0,0345обязательный0,0364обязательный0,0364обязательный0,0345обязательный0,0345обязательный0,0364обязательный0,0345обязательный0,0364обязательный0,0408обязательный0,0386СТО БР ИББС1.2200949Определена ли в документах организации и корректируется ли опись структурированныхпо классам защищаемых информационных активов (типов информационных активов —типов информации)?М28.2Определены ли в документах организации роли по определению/коррекции области(аналог М10.6) действия СОИБ и по составлению и пересмотру описи информационных активов(типов информационных активов), находящихся в области действия СОИБ?М28.3Назначены ли в организации ответственные за выполнение ролей по определению/коррекции(аналог М10.7) области действия СОИБ и по составлению и пересмотру описи информационных активов(типов информационных активов), находящихся в области действия СОИБ?М28.4Принята ли в организации и корректируется ли методика оценки рисков нарушения(аналог М11.1) ИБ / подход к оценке рисков нарушения ИБ?М28.5Определены ли в организации критерии принятия рисков нарушения ИБ и уровень(аналог М11.2) допустимого риска нарушения ИБ?М28.6Определяет ли порядок оценки рисков нарушения ИБ необходимые процедуры оценки(аналог М11.4) рисков нарушения ИБ, а также последовательность их выполнения?М28.7Определены ли в документах организации роли, связанные с деятельностью(аналог М11.9) по определению/коррекции методики оценки рисков нарушения ИБ / подхода к оценкериска нарушения ИБ?М28.8Назначены ли ответственные за выполнение ролей, связанных с деятельностью(аналог М11.10) по определению/коррекции методики оценки рисков нарушения ИБ / подхода к оценкериска нарушения ИБ?М28.9Определены ли в документах организации роли по оценке рисков нарушения ИБ?(аналог М11.11)М28.10Назначены ли ответственные за выполнение ролей по оценке рисков нарушения ИБ?(аналог М11.12)М28.11Утверждены ли руководством организации планы обработки рисков нарушения ИБ?(аналог М12.3)М28.12Определены ли в документах организации роли по разработке планов обработки рисков(аналог М12.5) нарушения ИБ?М28.13Назначены ли ответственные за выполнение ролей по разработке планов обработки рисков(аналог М12.6) нарушения ИБ?М28.14Разработана ли политика ИБ организации? Утверждена ли политика ИБ руководством?(аналог М13.2)М28.15Kорректируется ли политика ИБ организации?(аналог М13.3)ОбязательностьвыполненияЧастный показатель ИБОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0408Разработаны ли частные политики ИБ организации?обязательныйKорректируются ли частные политики ИБ организации?обязательный0,0364обязательный0,0386обязательный0,0364обязательный0,0408обязательный0,0386Определены ли в политике ИБ (частных политиках ИБ) организации:— цели и задачи обеспечения ИБ;— основные области обеспечения ИБ;— типы основных защищаемых информационных активов;— модели угроз и нарушителей;— совокупность правил, требований и руководящих принципов в области ИБ;— основные требования к обеспечению ИБ;— принципы противодействия угрозам ИБ по отношению к типам основных защищаемыхинформационных активов;— основные принципы повышения уровня осознания и осведомленности в области ИБ;— принципы реализации и контроля выполнения требований политики ИБ?М28.19Kорректируются ли в политике ИБ (частных политиках ИБ) организации:(аналог М13.10) — цели и задачи обеспечения ИБ;— основные области обеспечения ИБ;— типы основных защищаемых информационных активов;— модели угроз и нарушителей;— совокупность правил, требований и руководящих принципов в области ИБ;— основные требования к обеспечению ИБ;— принципы противодействия угрозам ИБ по отношению к типам основных защищаемыхинформационных активов;— основные принципы повышения уровня осознания и осведомленности в области ИБ;— принципы реализации и контроля выполнения требований политики ИБ?М28.20Разрабатываются ли внутренние документы, регламентирующие деятельность в области(аналог М13.11) обеспечения ИБ на основе:— законодательства Российской Федерации;— комплекса БР ИББС, в частности требования 7го и 8го разделов стандартаСТО БР ИББС1.0;— нормативных актов и предписаний регулирующих и надзорных органов;— договорных требований организации со сторонними организациями;— результатов оценки рисков, выполненной с соответствующей уровню разрабатываемогодокумента детализацией рассматриваемых информационных активов(типов информационных активов)?М28.21Kорректируются ли внутренние документы, регламентирующие деятельность в области(аналог М13.12) обеспечения ИБ на основе:— законодательства Российской Федерации;— комплекса БР ИББС, в частности требования 7го и 8го разделов стандартаСТО БР ИББС1.0;— нормативных актов и предписаний регулирующих и надзорных органов;— договорных требований организации со сторонними организациями;— результатов оценки рисков, выполненной с соответствующей уровню разрабатываемогодокумента детализацией рассматриваемых информационных активов(типов информационных активов)?СТО БР ИББС1.22009Обязательностьвыполнения50ОбозначениечастногопоказателяИБМ28.16(аналог М13.4)М28.17(аналог М13.5)М28.18(аналог М13.9)ОбозначениечастногоЧастный показатель ИБпоказателяИБМ28.22Утвержден ли руководством организации порядок взаимодействия (координирования(аналог М13.16) работы) службы ИБ с работниками, ответственными за обеспечение ИБ в структурныхподразделениях организации (в случае наличия в структурных подразделенияхорганизации работников, ответственных за обеспечение ИБ)?М28.23Определены ли в документах организации процедуры выделения и распределения ролей(аналог М13.18) в области обеспечения ИБ?М28.24Определены ли в документах организации роли по разработке, поддержке, пересмотру(аналог М13.20) и контролю исполнения внутренних документов, регламентирующих деятельностьпо обеспечению ИБ организации?М28.25Назначены ли ответственные за выполнение ролей по разработке, поддержке, пересмотру(аналог М13.21) и контролю исполнения внутренних документов, регламентирующих деятельностьпо обеспечению ИБ организации?М28.26Определены ли в документах организации роли, связанные с реализацией планов(аналог М15.3) обработки рисков нарушения ИБ и с реализацией требуемых защитных мер?М28.27Назначены ли ответственные за выполнение ролей, связанных с реализацией планов(аналог М15.4) обработки рисков нарушения ИБ и с реализацией требуемых защитных мер?Итоговая оценка группового показателя М28ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0345обязательный0,0345обязательный0,0386обязательный0,0364обязательный0,0364обязательный0,0364СТО БР ИББС1.220095152ОбозначениечастногопоказателяИБМ29.1(аналог М16.1)Частный показатель ИБОрганизована ли документально оформленная работа с персоналом организациив направлении повышения осведомленности и обучения в области ИБ, включая разработкуи реализацию планов и программ обучения и повышения осведомленности в области ИБи контроля результатов выполнения указанных планов? Утверждена ли руководствомуказанная работа?М29.2Определены ли в документах организации роли по разработке, реализации планов(аналог М16.6) и программ обучения и повышения осведомленности в области ИБ и по контролюих результатов?М29.3Назначены ли ответственные за выполнение ролей по разработке, реализации планов(аналог М16.7) и программ обучения и повышения осведомленности в области ИБ и по контролюих результатов?М29.4Определены ли в документах организации роли по обнаружению, классификации,(аналог М17.8) реагированию, анализу и расследованию инцидентов ИБ?М29.5Назначены ли ответственные за выполнение ролей по обнаружению, классификации,(аналог М17.9) реагированию, анализу и расследованию инцидентов ИБ?М29.6Определен ли в документах организации план обеспечения непрерывности бизнеса(аналог М18.3) и его восстановления после возможного прерывания, содержащий инструкции и порядокдействий работников организации, в состав которого включены:— условия активизации плана;— порядок действий, которые должны быть предприняты после инцидента ИБ(инструкции персонала);— процедуры восстановления;— процедуры тестирования и проверки плана;— план обучения и повышения осведомленности работников организации;— обязанности работников организации с указанием ответственных за выполнениекаждого из положений плана?М29.7Определены ли в документах организации роли по разработке плана обеспечения(аналог М18.13) непрерывности бизнеса и его восстановления после прерывания?М29.8Назначены ли ответственные за выполнение ролей по разработке плана обеспечения(аналог М18.14) непрерывности бизнеса и его восстановления после прерывания?Итоговая оценка группового показателя М29ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1442обязательный0,1024обязательный0,1024обязательный0,1404обязательный0,1268обязательный0,1442обязательный0,1198обязательный0,1198СТО БР ИББС1.22009Групповой показатель M29 “Оценка деятельности руководства организации БС РФпо поддержке реализации СОИБ”Групповой показатель M30 “Оценка деятельности руководства организации БС РФпо поддержке проверки СОИБ”ОбозначениечастногопоказателяИБМ30.1(аналог М19.7)М30.2(аналог М19.8)М30.3(аналог М20.3)Частный показатель ИБобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0921обязательный0,0921обязательный0,0848обязательный0,0943обязательный0,0734обязательный0,0734обязательный0,0808обязательный0,0969обязательный0,0805обязательный0,0805обязательный0,0756обязательный0,0756СТО БР ИББС1.22009Определены ли в документах организации роли, связанные с выполнением процедурмониторинга СОИБ и контроля защитных мер, а также с пересмотром указанных процедур?Назначены ли ответственные за выполнение ролей, связанных с выполнением процедурмониторинга СОИБ и контроля защитных мер, а также с пересмотром указанных процедур?Определена ли в документах организации и реализована ли программа самооценок ИБ,содержащая информацию, необходимую для планирования и организации самооценок ИБ,их контроля, анализа и совершенствования, а также обеспечения их ресурсами,необходимыми для эффективного и результативного проведения указанных самооценокИБ в заданные сроки?М30.4Доводятся ли результаты самооценок ИБ и соответствующие отчеты до руководства(аналог М20.7) организации?М30.5Определены ли в документах организации роли, связанные с выполнением программы(аналог М20.8) самооценок ИБ?М30.6Назначены ли ответственные за выполнение ролей, связанных с выполнением программы(аналог М20.9) самооценок ИБ?М30.7Определена ли в документах организации и реализована ли программа аудитов ИБ,(аналог М21.2) содержащая информацию, необходимую для планирования и организации аудитов ИБ,их контроля, анализа и совершенствования, а также обеспечения их ресурсами,необходимыми для эффективного и результативного проведения указанных аудитов ИБв заданные сроки?М30.8Доводятся ли результаты аудитов ИБ и соответствующие отчеты до руководства(аналог М21.6) организации?М30.9Определены ли в документах организации роли, связанные с организацией выполнения(аналог М21.8) программ аудитов и планов отдельных аудитов?М30.10Назначены ли ответственные за выполнение ролей, связанных с организацией выполнения(аналог М21.9) программ аудитов и планов отдельных внешних аудитов?М30.11Определены ли в документах организации роли, связанные с процедурами анализа(аналог М22.9) функционирования СОИБ?М30.12Назначены ли ответственные за выполнение ролей, связанных с процедурами анализа(аналог М22.10) функционирования СОИБ?Итоговая оценка группового показателя М30Обязательностьвыполнения5354ОбозначениечастногопоказателяИБМ31.1(аналог М23.1)Частный показатель ИБУтвержден ли в организации перечень документов (данных), необходимыхдля формирования информации, предоставляемой руководству с целью проведенияанализа СОИБ?М31.2Входят ли в перечень документов, необходимых для формирования информации,(аналог М23.2) предоставляемой руководству с целью проведения анализа СОИБ, отчеты с результатами:— мониторинга СОИБ и контроля защитных мер;— анализа функционирования СОИБ;— аудитов ИБ;— самооценок ИБ?М31.3Входят ли в перечень документов, необходимых для формирования информации,(аналог М23.3) предоставляемой руководству с целью проведения анализа СОИБ, документы,содержащие информацию:— о способах и методах защиты, защитных мерах или процедурах их использования,которые могли бы использоваться для улучшения функционирования СОИБ;— о новых выявленных уязвимостях и угрозах ИБ;— о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленныхруководством;— об изменениях, которые могли бы повлиять на организацию СОИБ, например измененияв законодательстве Российской Федерации и(или) в положениях стандартов Банка России;— о выявленных инцидентах ИБ?М31.4Входят ли в перечень документов, необходимых для формирования информации,(аналог М23.4) предоставляемой руководству с целью проведения анализа СОИБ, документы,подтверждающие выполнение требуемой деятельности по обеспечению ИБ,например выполнение планов обработки рисков?М31.5Входят ли в перечень документов, необходимых для формирования информации,(аналог М23.5) предоставляемой руководству с целью проведения анализа СОИБ, документы,подтверждающие выполнение требований непрерывности бизнеса и его восстановленияпосле прерывания?М31.6Определен ли в организации и утвержден ли руководством план выполнения деятельности(аналог М23.6) по контролю и анализу СОИБ, содержащий, в частности, положения по проведениюсовещаний на уровне руководства, на которых в том числе производятся поиск и анализпроблем ИБ, влияющих на бизнес организации?М31.7Определены ли в документах организации роли, связанные с подготовкой информации,(аналог М23.7) необходимой для анализа СОИБ руководством?М31.8Назначены ли ответственные за выполнение ролей, связанных с подготовкой информации,(аналог М23.8) необходимой для анализа СОИБ руководством?Итоговая оценка группового показателя М31ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1376обязательный0,1464обязательный0,1318обязательный0,1154обязательный0,1228обязательный0,1104обязательный0,1178обязательный0,1178СТО БР ИББС1.22009Групповой показатель M31 “Оценка деятельности руководства организации БС РФпо анализу СОИБ”Групповой показатель M32 “Оценка деятельности руководства по поддержке совершенствования СОИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ32.1Санкционирует и контролирует ли руководство службы ИБ организации деятельность,(аналог М24.6) связанную с реализацией тактических улучшений СОИБ?М32.2Назначаются ли ответственные за реализацию решений по тактическим улучшениям(аналог М24.8) СОИБ?М32.3Санкционирует и контролирует ли руководство организации деятельность, связанную(аналог М25.7) с реализацией стратегических улучшений СОИБ?М32.4Назначаются ли ответственные за реализацию решений по стратегическим улучшениям(аналог М25.10) СОИБ?Итоговая оценка группового показателя М32ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,2560обязательный0,2248обязательный0,2816обязательный0,2376СТО БР ИББС1.220095556СТО БР ИББС1.22009Приложение Б(обязательное)Форма листов для сбора свидетельств аудита ИБОбозначение частногопоказателя ИБИсточники свидетельств и свидетельства аудита ИБ(документы, результаты опроса или наблюдений)Kем предоставленысвидетельства аудита ИБПодписьсотрудника/руководителяДата_____________________________________(подпись)_____________________________________(подпись)_____________________________________(подпись)Ключевые слова: банковская система Российской Федерации, информационная безопасность, методика оценки соответствия, показатели информационной безопасности, текущий уровень информационнойбезопасности, система менеджмента информационной безопасности, осознание информационной безопасности, требования информационной безопасности..
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
