СТО БР ИББС-1.2-2009 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008 (утратило силу на основании распоряжения Банка России от 21.06.2010 N Р-705)

Обозначение

Частный показатель ИБ

Обязательность

Оценка частного показателя ИБ

Коэффициент

Вычисленное

частного показателя ИБ

выполнения

0

0,25

0,5

0,75

1

н/о

значимости частного показателя ИБ

значение показателя ИБ

М11.1

Принята ли в организации и корректируется ли методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ?

обязательный

0,1154

М11.2

Определены ли в организации критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ?

обязательный

0,1070

М11.3

Определяет ли методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ организации способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:

- степени возможности реализации угроз ИБ выявленными и(или) предполагаемыми источниками угроз ИБ, зафиксированных в моделях угроз и нарушителей, в результате их воздействия на объекты среды информационных активов организации (типов информационных активов);

- степени тяжести последствий от потери свойств ИБ, в частности свойств доступности, целостности и конфиденциальности для рассматриваемых информационных активов (типов информационных активов)?

обязательный

0,0854

М11.4

Определяет ли порядок оценки рисков нарушения ИБ необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения?

обязательный

0,0854

М11.5

Проводится ли оценка рисков нарушения ИБ для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ?

обязательный

0,0676

М11.6

Создан ли и поддерживается ли в актуальном состоянии единый информационный ресурс (база данных), содержащий информацию об инцидентах ИБ?

рекомендуемый

0,0688

М11.7

Соотносятся ли величины рисков, полученные в результате оценивания рисков нарушения ИБ, с уровнем допустимого риска, принятого в организации?

обязательный

0,0766

М11.8

Определен ли в документах организации перечень недопустимых рисков нарушения ИБ, сформированный на основе сравнения полученных в результате оценивания рисков нарушения ИБ величин рисков с уровнем допустимого риска, принятого в организации?

обязательный

0,0766

М11.9

Определены ли в документах организации роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке риска нарушения ИБ?

обязательный

0,0782

М11.10

Назначены ли ответственные за выполнение ролей, связанных с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке риска нарушения ИБ?

обязательный

0,0782

М11.11

Определены ли в документах организации роли по оценке рисков нарушения ИБ?

обязательный

0,0782

М11.12

Назначены ли ответственные за выполнение ролей по оценке рисков нарушения ИБ?

обязательный

0,0826

Итоговая оценка группового показателя М11