Недействующий

СТО БР ИББС-1.2-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006 (утратил силу с 01.06.2009)

Групповой показатель М10 "Анализ и оценка рисков ИБ, варианты обработки рисков ИБ"


Обозна- чение	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент	Вычислен- ное
частного показа- теля ИБ		0	0,25	0,5	0,75	1	н/о	значимо- сти частного показа- теля ИБ	значение показа- теля ИБ
М10.1	Осуществляется ли в организации оценка рисков ИБ, в том числе связанных с неисполнением требований нормативных актов Банка России, имеющих отношение к ИБ, а также связанных с угрозами нарушения процессов управления ИБ?							0,0794
М10.2	Существует ли документ (документы), в котором (которых) отражены результаты анализа и оценки рисков ИБ?							0,0714
М10.3	Определены ли роли в части деятельности по оценке и обработке рисков ИБ и определена ли ответственность исполнителей, выполняющих данные роли?							0,0794
М10.4	Назначены ли в организации лица, ответственные за управление рисками ИБ?							0,0794
М10.5	Выполнена ли идентификация информационных активов и их уязвимостей?							0,0794
М10.6	Выполнена ли оценка потенциального ущерба бизнесу организации в случае реализации угроз ИБ?							0,0794
М10.7	Анализируется ли и учитывается ли при оценке рисков ИБ степень актуальности угроз?							0,0714
М10.8	Пересматриваются ли перечень актуальных угроз информационным активам организации и степень их актуальности?							0,0714
М10.9	Анализируется ли и учитывается ли при оценке рисков ИБ степень актуальности уязвимостей информационных активов?							0,0714
М10.10	Пересматривается ли перечень уязвимостей информационных активов организации и степень их актуальности?							0,0714
М10.11	Оценивается ли возможность переноса информационных рисков на другие стороны (например, страховщиков, поставщиков, органы сертификации и т.п.)?							0,0644
М10.12	Учитываются ли данные об инцидентах ИБ при оценке рисков ИБ?							0,0644
М10.13	Проводятся ли в организации обсуждения деятельности по оценке и обработке рисков ИБ с участием высшего руководства и руководителя службы ИБ?							0,0714
М10.14	Определены ли в организации критерии для принятия рисков ИБ и уровни приемлемых рисков ИБ?							0,0458
Итоговая оценка группового показателя M10