Недействующий

СТО БР ИББС-1.2-2009 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008 (утратило силу на основании распоряжения Банка России от 21.06.2010 N Р-705)

Групповой показатель M25 "Принятие решений по стратегическим улучшениям СОИБ"

Обозначение

Частный показатель ИБ

Обязательность

Оценка частного показателя ИБ

Коэффициент

Вычисленное

частного показателя ИБ

выполнения

0

0,25

0,5

0,75

1

н/о

значимости частного показателя ИБ

значение показателя ИБ

М25.1

Рассматриваются ли при принятии решений, связанных со стратегическими улучшениями СОИБ, документально оформленные результаты:

- аудитов ИБ;

- самооценок ИБ;

- мониторинга СОИБ и контроля защитных мер;

- анализа функционирования СОИБ;

- обработки инцидентов ИБ;

- выявления новых информационных активов организации или их типов;

- выявления новых угроз и уязвимостей ИБ;

- оценки рисков;

- пересмотра основных рисков ИБ;

- анализа СОИБ со стороны руководства;

- анализа успешных практик в области ИБ (собственных или других организаций)?

обязательный

0,1130

М25.2

Рассматриваются ли при принятии решений, связанных со стратегическими улучшениями СОИБ, изменения интересов, целей и задач бизнеса организации, контрактных обязательств организации, а также изменения в законодательстве РФ и нормативных актах Банка России?

обязательный

0,1058

М25.3

Оформляются ли документально решения по стратегическим улучшениям СОИБ, содержащие либо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо направления стратегических улучшений СОИБ?

обязательный

0,0984

М25.4

Формируются ли направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например:

- уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ (частных политик ИБ) организации;

- изменения в области действия СОИБ;

- уточнение описи типов информационных активов;

- пересмотр моделей угроз и нарушителей;

- изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ?

обязательный

0,0984

М25.5

Определены ли в документах организации планы реализации стратегических улучшений СОИБ?

обязательный

0,1016

М25.6

Существуют ли в организации документы, в которых фиксируются результаты выполнения планов реализации стратегических улучшений СОИБ?

обязательный

0,0962

М25.7

Санкционирует и контролирует ли руководство организации деятельность, связанную с реализацией стратегических улучшений СОИБ?

обязательный

0,1108

М25.8

В случае стратегических улучшений СОИБ выполняется ли деятельность по реализации соответствующих тактических улучшений СОИБ для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов, в частности, выполняются ли:

- выработка планов тактических улучшений СОИБ;

- уточнение планов обработки рисков;

- уточнение программы внедрения защитных мер;

- уточнение процедур использования защитных мер?

обязательный

0,1058

М25.9

Определены ли в документах организации и выполняются ли процедуры согласования и информирования заинтересованных сторон о стратегических улучшениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям ИБ? Фиксируются ли документально результаты выполнения указанных процедур?

обязательный

0,0822

М25.10

Назначаются ли ответственные за реализацию решений по стратегическим улучшениям СОИБ?

обязательный

0,0878

Итоговая оценка группового показателя М25