Точный
Недействующий

СТО БР ИББС-1.2-2009 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008 (утратило силу на основании распоряжения Банка России от 21.06.2010 N Р-705)

Групповой показатель M13 "Определение/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ"

Обозначение

Частный показатель ИБ

Обязательность

Оценка частного показателя ИБ

Коэффициент

Вычисленное

частного показателя ИБ

выполнения

0

0,25

0,5

0,75

1

н/о

значимости частного показателя ИБ

значение показателя ИБ

М13.1

Проводится ли разработка и коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации, с учетом рекомендаций по стандартизации Банка России РС БР ИББС-2.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0"?

рекомендуемый

0,0406

М13.2

Разработана ли политика ИБ организации? Утверждена ли политика ИБ руководством?

обязательный

0,0628

М13.3

Корректируется ли политика ИБ организации?

обязательный

0,0557

М13.4

Разработаны ли частные политики ИБ организации?

обязательный

0,0580

М13.5

Корректируются ли частные политики ИБ организации?

обязательный

0,0557

М13.6

Разработаны ли в организации документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ?

обязательный

0,0510

М13.7

Корректируются ли в организации документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ?

обязательный

0,0489

М13.8

Определены ли в организации перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ?

обязательный

0,0407

М13.9

Определены ли в политике ИБ (частных политиках ИБ) организации:

- цели и задачи обеспечения ИБ;

- основные области обеспечения ИБ;

- типы основных защищаемых информационных активов;

- модели угроз и нарушителей;

- совокупность правил, требований и руководящих принципов в области ИБ;

- основные требования к обеспечению ИБ;

- принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;

- основные принципы повышения уровня осознания и осведомленности в области ИБ;

- принципы реализации и контроля выполнения требований политики ИБ?

обязательный

0,0510

М13.10

Корректируются ли в политике ИБ (частных политиках ИБ) организации:

- цели и задачи обеспечения ИБ;

- основные области обеспечения ИБ;

- типы основных защищаемых информационных активов;

- модели угроз и нарушителей;

- совокупность правил, требований и руководящих принципов в области ИБ;

- основные требования к обеспечению ИБ;

- принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;

- основные принципы повышения уровня осознания и осведомленности в области ИБ;

- принципы реализации и контроля выполнения требований политики ИБ?

обязательный

0,0486

М13.11

Разрабатываются ли внутренние документы, регламентирующие деятельность в области обеспечения ИБ на основе:

- законодательства Российской Федерации;

- комплекса БР ИББС, в частности требования 7-го и 8-го разделов стандарта СТО БР ИББС-1.0;

- нормативных актов и предписаний регулирующих и надзорных органов;

- договорных требований организации со сторонними организациями;

- результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов)?

обязательный

0,0519

М13.12

Корректируются ли внутренние документы, регламентирующие деятельность в области обеспечения ИБ на основе:

- законодательства Российской Федерации;

- комплекса БР ИББС, в частности требования 7-го и 8-го разделов стандарта СТО БР ИББС-1.0;

- нормативных актов и предписаний регулирующих и надзорных органов;

- договорных требований организации со сторонними организациями;

- результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов)?

обязательный

0,0510

М13.13

Содержит ли совокупность внутренних документов, регламентирующих деятельность в области обеспечения ИБ, требования по обеспечению ИБ всех выявленных информационных активов (типов информационных активов), находящихся в области действия СОИБ организации?

обязательный

0,0501

М13.14

Не противоречат ли документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, положениям политики ИБ и частных политик ИБ?

обязательный

0,0510

М13.15

Детализируют ли документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, положения политики ИБ и частных политик ИБ?

обязательный

0,0426

М13.16

Утвержден ли руководством организации порядок взаимодействия (координирования работы) службы ИБ с работниками, ответственными за обеспечение ИБ в структурных подразделениях организации (в случае наличия в структурных подразделениях организации работников, ответственных за обеспечение ИБ)?

обязательный

0,0354

М13.17

Определены ли в составе документов, регламентирующих деятельность в области обеспечения ИБ, перечень свидетельств выполнения указанной деятельности и ответственность работников организации за выполнение этой деятельности?

обязательный

0,0426

М13.18

Определены ли в документах организации процедуры выделения и распределения ролей в области обеспечения ИБ?

обязательный

0,0443

М13.19

Определен ли в документах организации порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?

обязательный

0,0406

М13.20

Определены ли в документах организации роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?

обязательный

0,0382

М13.21

Назначены ли ответственные за выполнение ролей по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?

обязательный

0,0393

Итоговая оценка группового показателя М13