Точный
Недействующий

СТО БР ИББС-1.2-2009 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008 (утратило силу на основании распоряжения Банка России от 21.06.2010 N Р-705)

Групповой показатель M28 "Оценка деятельности руководства организации БС РФ по поддержке планирования СОИБ"

Обозначение

Частный показатель ИБ

Обязательность

Оценка частного показателя ИБ

Коэффициент

Вычисленное

частного показателя ИБ

выполнения

0

0,25

0,5

0,75

1

н/о

значимости частного показателя ИБ

значение показателя ИБ

М28.1 (аналог М10.1)

Определена ли в документах организации и корректируется ли опись структурированных по классам защищаемых информационных активов (типов информационных активов - типов информации)?

обязательный

0,0386

М28.2 (аналог М10.6)

Определены ли в документах организации роли по определению/коррекции области действия СОИБ и по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ?

обязательный

0,0364

М28.3 (аналог М10.7)

Назначены ли в организации ответственные за выполнение ролей по определению/коррекции области действия СОИБ и по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ?

обязательный

0,0364

М28.4 (аналог М11.1)

Принята ли в организации и корректируется ли методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ?

обязательный

0,0386

М28.5 (аналог М11.2)

Определены ли в организации критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ?

обязательный

0,0386

М28.6 (аналог М11.4)

Определяет ли порядок оценки рисков нарушения ИБ необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения?

обязательный

0,0345

М28.7 (аналог М11.9)

Определены ли в документах организации роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке риска нарушения ИБ?

обязательный

0,0364

М28.8 (аналог М11.10)

Назначены ли ответственные за выполнение ролей, связанных с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке риска нарушения ИБ?

обязательный

0,0364

М28.9 (аналог М11.11)

Определены ли в документах организации роли по оценке рисков нарушения ИБ?

обязательный

0,0345

М28.10 (аналог М11.12)

Назначены ли ответственные за выполнение ролей по оценке рисков нарушения ИБ?

обязательный

0,0345

М28.11 (аналог М12.3)

Утверждены ли руководством организации планы обработки рисков нарушения ИБ?

обязательный

0,0364

М28.12 (аналог М12.5)

Определены ли в документах организации роли по разработке планов обработки рисков нарушения ИБ?

обязательный

0,0345

М28.13 (аналог М12.6)

Назначены ли ответственные за выполнение ролей по разработке планов обработки рисков нарушения ИБ?

обязательный

0,0364

М28.14 (аналог М13.2)

Разработана ли политика ИБ организации? Утверждена ли политика ИБ руководством?

обязательный

0,0408

М28.15 (аналог М13.3)

Корректируется ли политика ИБ организации?

обязательный

0,0386

М28.16 (аналог М13.4)

Разработаны ли частные политики ИБ организации?

обязательный

0,0408

М28.17 (аналог М13.5)

Корректируются ли частные политики ИБ организации?

обязательный

0,0364

М28.18 (аналог М13.9)

Определены ли в политике ИБ (частных политиках ИБ) организации:

- цели и задачи обеспечения ИБ;

- основные области обеспечения ИБ;

- типы основных защищаемых информационных активов;

- модели угроз и нарушителей;

- совокупность правил, требований и руководящих принципов в области ИБ;

- основные требования к обеспечению ИБ;

- принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;

- основные принципы повышения уровня осознания и осведомленности в области ИБ;

- принципы реализации и контроля выполнения требований политики ИБ?

обязательный

0,0386

М28.19 (аналог М13.10)

Корректируются ли в политике ИБ (частных политиках ИБ) организации:

- цели и задачи обеспечения ИБ;

- основные области обеспечения ИБ;

- типы основных защищаемых информационных активов;

- модели угроз и нарушителей;

- совокупность правил, требований и руководящих принципов в области ИБ;

- основные требования к обеспечению ИБ;

- принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;

- основные принципы повышения уровня осознания и осведомленности в области ИБ;

- принципы реализации и контроля выполнения требований политики ИБ?

обязательный

0,0364

М28.20 (аналог М13.11)

Разрабатываются ли внутренние документы, регламентирующие деятельность в области обеспечения ИБ на основе:

- законодательства Российской Федерации;

- комплекса БР ИББС, в частности требования 7-го и 8-го разделов стандарта СТО БР ИББС-1.0;

- нормативных актов и предписаний регулирующих и надзорных органов;

- договорных требований организации со сторонними организациями;

- результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов)?

обязательный

0,0408

М28.21 (аналог М13.12)

Корректируются ли внутренние документы, регламентирующие деятельность в области обеспечения ИБ на основе:

- законодательства Российской Федерации;

- комплекса БР ИББС, в частности требования 7-го и 8-го разделов стандарта СТО БР ИББС-1.0;

- нормативных актов и предписаний регулирующих и надзорных органов;

- договорных требований организации со сторонними организациями;

- результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов)?

обязательный

0,0386

М28.22 (аналог М13.16)

Утвержден ли руководством организации порядок взаимодействия (координирования работы) службы ИБ с работниками, ответственными за обеспечение ИБ в структурных подразделениях организации (в случае наличия в структурных подразделениях организации работников, ответственных за обеспечение ИБ)?

обязательный

0,0345

М28.23 (аналог М13.18)

Определены ли в документах организации процедуры выделения и распределения ролей в области обеспечения ИБ?

обязательный

0,0345

М28.24 (аналог М13.20)

Определены ли в документах организации роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?

обязательный

0,0386

М28.25 (аналог М13.21)

Назначены ли ответственные за выполнение ролей по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?

обязательный

0,0364

М28.26 (аналог М15.3)

Определены ли в документах организации роли, связанные с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер?

обязательный

0,0364

М28.27 (аналог М15.4)

Назначены ли ответственные за выполнение ролей, связанных с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер?

обязательный

0,0364

Итоговая оценка группового показателя М28