Приложение A. Показатели информационной безопасности. Стандарт Банка России СТО БР ИББС-1.2-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006" (введен в действие распоряжением ЦБР от 28.04.2007 N Р-346) (не действует)

ГАРАНТ:

См. данную форму в редакторе MS-Excel

Приложение A

(обязательное)

Показатели информационной безопасности

Групповой показатель M1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M1.1	Определены ли роли персонала организации БС РФ (далее - организации)?							0,09
M1.2	Персонифицированы ли роли в организации?							0,09
M1.3	Установлена ли ответственность за исполнение ролей, зафиксированная в должностных инструкциях персонала?							0,09
M1.4	Отсутствуют ли в организации роли, концентрирующие в себе все или большинство наиболее важных функций, необходимых для реализации одной из целей организации?							0,09
M1.5	Отсутствует ли совмещение в одном лице ролей исполнителя и администратора, администратора и контролера, исполнителя и контролера и подобное?							0,09
M1.6	Все ли роли в организации обеспечены ресурсами, необходимыми и достаточными для их выполнения?							0,09
M1.7	Возложена ли на руководство (уполномоченного менеджера, высшего менеджера и т.п.) обязанность по координации своевременности и качества выполнения сотрудниками своих ролей?							0,09
M1.8	Существуют ли в организации выделенные роли для контроля за качеством выполнения требований ИБ?							0,09
M1.9	Выполняются ли при приеме на работу проверки идентичности личности, точности и полноты биографических фактов и заявляемой квалификации?							0,0724
M1.10	Проводятся ли проверки профессиональных навыков и оценка профессиональной пригодности кандидатов при приеме на работу, связанную с защищаемыми активами и операциями?							0,0724
M1.11	Имеются ли письменные обязательства сотрудников о соблюдении конфиденциальности всей защищаемой информации, доверенной или ставшей им известной в процессе выполнения служебных обязанностей, а также о приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов?							0,045
M1.12	Обеспечивается ли компетентность персонала в области ИБ с помощью процессов обучения, осведомленности персонала, а также периодической проверки его компетентности в области ИБ?							0,045
M1.13	Определены ли в трудовых контрактах всех сотрудников обязанности по выполнению требований ИБ?							0,0452
Итоговая оценка группового показателя M1

Групповой показатель M2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M2.1	Всегда ли выдвижение технических требований, разработка технических заданий, проектирование, создание, тестирование и приемка средств обеспечения ИБ АБС осуществляются по согласованию с подразделениями (лицами) в организации, ответственными за обеспечение ИБ?							0,1087
M2.2	Всегда ли ввод в действие, эксплуатация, снятие с эксплуатации АБС осуществляются при участии подразделений (лиц) в организации, ответственных за обеспечение ИБ?							0,1087
M2.3	Применяются (применялись) ли на стадии разработки АБС разработчиками меры для защиты от угроз ИБ: - принятия неверных проектных решений; - внесения дефектов на уровне архитектурных решений; - внесения недокументированных возможностей в АБС; - неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АБС; - угрозы разработки некачественной документации; - сборки АБС разработчиком/производителем с нарушением требований; - неверного конфигурирования АБС; - приемки АБС, не отвечающей требованиям заказчика; - внесения недокументированных возможностей в АБС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ?							0,098
M2.4	Имеют ли соответствующие лицензии организации, которые привлекаются на договорной основе для разработки и/или производства средств обеспечения ИБ АБС?							0,086
M2.5	Получает ли организация документацию по всем приобретаемым АБС и их компонентам, содержащую описание защитных мер, предпринятых разработчиком АБС и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, и оценку уязвимостей?							0,1086
M2.6	Обеспечивают ли на стадии эксплуатации применяемые меры и средства обеспечения ИБ защиту от угроз несанкционированного раскрытия, модификации или уничтожения информации, недоставки или ошибочной доставки информации, отказа в обслуживании или ухудшения обслуживания, отказа от авторства сообщений?							0,098
M2.7	Обеспечивается ли возможность сопровождения всех АБС организации и их компонентов (наличием договоров сопровождения или полным комплектом рабочей конструкторской документации)?							0,098
M2.8	Применяются ли на стадии сопровождения меры для защиты от угрозы внесения изменений в АБС, приводящих к нарушению функциональности АБС либо к появлению недокументированных возможностей, а также для защиты от угрозы невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и состояния АБС?							0,098
M2.9	Применяются ли на стадии снятия с эксплуатации меры для защиты от угроз ненадежного удаления информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей?							0,098
M2.10	Включаются ли требования ИБ во все договоры и контракты на проведение работ или оказание услуг на всех стадиях жизненного цикла АБС?							0,098
Итоговая оценка группового показателя M2

Групповой показатель M3 "Обеспечение информационной безопасности при управлении доступом и регистрации"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M3.1	Соблюдаются ли при распределении прав доступа к активам организации принципы: - "знать своего клиента"; - "знать своего служащего"; - "необходимо знать"; - "двойное управление"?							0,069
M3.2	Применяются ли в составе АБС встроенные механизмы защиты информации и/или сертифицированные (или разрешенные к применению) средства защиты информации от НСД?							0,133
M3.3	Применяется ли парольная защита или другие средства аутентификации для всех ЭВМ и ЛВС, задействованных в технологических процессах?							0,133
M3.4	Проводится ли назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и/или ЛВС только с санкции руководителя функционального подразделения организации?							0,133
M3.5	Выполняется ли контроль доступа пользователей к ресурсам всех ЭВМ и/или ЛВС, задействованных в технологических процессах?							0,133
M3.6	Формируются ли уникальные идентификаторы для всех пользователей, задействованных в технологических процессах?							0,133
M3.7	Регистрируются ли действия сотрудников и пользователей, влияющие на ИБ, в специальном электронном журнале либо регистрация обеспечивается организационными и/или административными мерами?							0,133
M3.8	Предоставлен ли доступ к электронному журналу регистрации действий пользователей и сотрудников только администратору ИБ и отсутствует ли возможность редактирования записей данного электронного журнала?							0,133
Итоговая оценка группового показателя M3

Групповой показатель M4 "Обеспечение информационной безопасности средствами антивирусной защиты"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M4.1	Применяются ли в организации только официально приобретенные средства антивирусной защиты?							0,1064
M4.2	Осуществляется ли установка средств антивирусной защиты на автоматизированных рабочих местах и серверах АБС администраторами АБС?							0,1064
M4.3	Осуществляется ли регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АБС автоматически или администраторами АБС?							0,1064
M4.4	Разработаны ли и введены ли в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов?							0,0845
M4.5	Всегда ли проводится антивирусная фильтрация трафика электронного почтового обмена?							0,1064
M4.6	Применяются ли защитные меры, не допускающие присутствия и использования в ЭВМ и АБС программного обеспечения и данных, не связанных с выполнением конкретных функций в банковских технологических процессах организации?							0,0964
М4.7	Всегда ли проводится антивирусная проверка до и после установки или изменения программного обеспечения?							0,1064
M4.8	Указаны ли в инструкциях по антивирусной защите действия сотрудников при обнаружении компьютерного вируса?							0,1064
М4.9	Контролируются ли установка и обновление антивирусных средств представителями подразделений или лицами, ответственными за ИБ?							0,0964
M4.10	Возложена ли обязанность по выполнению мер антивирусной защиты на каждого сотрудника организации, имеющего доступ к ЭВМ и/или АБС, а ответственность за выполнение сотрудниками инструкций по антивирусной защите - на руководителей функциональных подразделений?							0,0843
Итоговая оценка группового показателя M4

Групповой показатель M5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M5.1	Используются ли ресурсы сети Интернет не более чем для ведения дистанционного банковского обслуживания, получения и распространения информации, связанной с банковской деятельностью, информационно-аналитической работы в интересах организации, обмена почтовыми сообщениями исключительно с внешними организациями, а также ведения собственной хозяйственной деятельности?							0,131
M5.2	Применяются ли при осуществлении дистанционного банковского обслуживания через сеть Интернет средства защиты информации, которые обеспечивают прием и передачу информации только в установленном формате и только по конкретной технологии?							0,131
M5.3	Применяются ли защитные меры для осуществления безопасного электронного почтового обмена через сеть Интернет?							0,131
M5.4	Осуществляется ли архивирование сообщений электронной почты?							0,131
M5.5	Применяются ли защитные меры, запрещающие изменение архива сообщений электронной почты и разрешающие доступ к нему только подразделению (лицу), ответственному за обеспечение ИБ?							0,131
M5.6	Используются ли при взаимодействии с сетью Интернет средства, позволяющие обеспечивать противодействие атакам и распространению спама?							0,12
M5.7	Контролируется ли подразделениями (лицами) в организации, ответственными за обеспечение ИБ, подключение и использование ресурсов сети Интернет?							0,105
M5.8	Санкционируется ли руководством функционального подразделения организации любое подключение и использование сети Интернет?							0,12
Итоговая оценка группового показателя M5

Групповой показатель M6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M6.1	Поставлены ли СКЗИ разработчиками с полным комплектом эксплуатационной документации, включающей описание ключевой системы, правила работы с ней и обоснование необходимого организационно-штатного обеспечения?							0,1111
M6.2	Реализованы ли СКЗИ на основе алгоритмов, соответствующих стандартам РФ, условиям договора с контрагентом и/или стандартам организации?							0,1111
M6.3	Существует ли регламент использования ключей, предполагающий контроль со стороны администратора ИБ за действиями пользователя при получении ключевого носителя, вводе ключей, использовании ключей и сдаче ключевого носителя?							0,1111
M6.4	Обеспечивают ли СКЗИ реализацию процедур сброса ключей при отсутствии штатной активности пользователей в соответствии с регламентом использования ключей или при переходе АБС в нештатный режим работы?							0,1111
M6.5	Поддерживается ли непрерывность процессов протоколирования работы СКЗИ при применении СКЗИ в АБС?							0,1111
M6.6	Поддерживается ли непрерывность процессов обеспечения целостности программного обеспечения СКЗИ для всех звеньев АБС?							0,1111
M6.7	Обеспечивается ли ИБ процессов изготовления ключевых документов СКЗИ комплексом технологических, организационных, технических и программных мер и средств защиты?							0,1111
M6.8	Содержит ли внутренний порядок применения СКЗИ в АБС описание процессов ввода в действие, эксплуатации, восстановления работоспособности в аварийных случаях, внесения изменений, снятия с эксплуатации, управления ключевой системой, обращения с носителями ключевой информации?							0,1111
M6.9	Самостоятельно ли в организации изготавливаются ключи кодов аутентификации и/или электронной цифровой подписи (если нет, зафиксировано ли в договоре согласие организации считать данные ключи своими)?							0,1112
Итоговая оценка группового показателя M6

Групповой показатель M7 "Обеспечение информационной безопасности банковских платежных технологических процессов"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значи- мости частно- го показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M7.1	Определен (отражен) ли однозначно в нормативно-методических документах организации банковский платежный технологический процесс?							0,13
M7.2	Зафиксирован ли порядок обмена платежной информацией в договорах между участниками данного обмена?							0,13
M7.3	Отсутствуют ли сотрудники, обладающие всеми полномочиями на бесконтрольное создание, авторизацию, уничтожение и изменение платежной информации, а также проведение операций по изменению состояния банковских счетов?							0,13
M7.4	Контролируются ли и удостоверяются ли результаты технологических операций по обработке платежной информации обязательными процедурами контроля, независимыми от процесса обработки?							0,13
M7.5	Назначены ли на каждом технологическом участке ответственные за администрирование средств защиты платежной информации (администраторы ИБ)?							0,13
M7.6	Существует ли нормативный документ (документы), которым руководствуются администраторы ИБ в своей деятельности?							0,118
М7.7	Предусматривает ли комплекс мер по обеспечению ИБ: - защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов; - минимально необходимый, гарантированный доступ сотрудника только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации?							0,102
M7.8	Включает ли комплекс мер по обеспечению ИБ: - контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации; - аутентификацию платежной информации; - двустороннюю аутентификацию участников обмена платежной информацией и двустороннюю аутентификацию автоматизированных рабочих мест; - восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники; - авторизованный ввод платежной информации в АБС двумя сотрудниками с последующей программной сверкой результатов ввода на совпадение; - сверку выходных платежных сообщений с соответствующими поступившими сообщениями; - гарантированную доставку платежных сообщений участникам обмена?							0,13
Итоговая оценка группового показателя M7

Групповой показатель M8 "Обеспечение информационной безопасности банковских информационных технологических процессов"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значи- мости частно- го показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M8.1	Определено ли руководством, какая информация, не являющаяся платежной, подлежит защите, и классифицирована ли данная информация?							0,0848
M8.2	Изолированы ли АБС, обрабатывающие информацию, относящуюся к сведениям, составляющим государственную тайну, и сведениям ограниченного распространения, полученным из федеральных органов исполнительной власти (если такие АБС имеются), от прочих АБС организации?							0,0848
M8.3	Назначен ли в АБС администратор ИБ, если в АБС обрабатывается информация, требующая по решению руководства защиты?							0,0848
M8.4	Отсутствует ли совмещение в одном лице функций администратора АБС и администратора ИБ?							0,0848
M8.5	Отсутствуют ли в роли администратора ИБ правила, пересекающиеся с правилами роли администратора АБС?							0,0848
M8.6	Осуществляет ли администратор ИБ контроль над действиями администраторов АБС и пользователей?							0,0848
M8.7	Назначаются ли права доступа к информации подразделением, ответственным за эту информацию (владельцем информационного актива)?							0,0848
M8.8	Определен ли порядок контроля функционирования каждой АБС лицами, отвечающими за ИБ?							0,0848
M8.9	Регламентированы ли и согласованы ли со службой ИБ процессы подготовки, ввода, обработки и хранения информации, а также порядок установки, настройки, эксплуатации и восстановления технических и программных средств?							0,0848
M8.10	Регламентировано ли и согласовано ли со службой ИБ тестирование всех функций по обеспечению ИБ, реализованных программно-техническими средствами?							0,076
M8.11	Проводится ли периодическое тестирование всех реализованных программно-техническими средствами функций по обеспечению ИБ?							0,076
M8.12	Регламентирована ли в организации процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ?							0,0848
Итоговая оценка группового показателя M8

Групповой показатель М9 "Определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М9.1	Существуют ли документы, в которых определена область действия СМИБ?							0,1321
М9.2	Обосновано ли в документах, определяющих область действия СМИБ, ограничение области действия, если таковое имеется?							0,1471
М9.3	Учитывается ли в документах, определяющих область действия СМИБ, значимость информационных активов организации?							0,1471
М9.4	Пересматривается ли область действия СМИБ при изменении перечня информационных активов или их значимости для целей бизнеса организации?							0,1321
М9.5	Учитывается ли в документах организации, определяющих область действия СМИБ, обязательность непрерывности бизнеса организации?							0,1471
М9.6	Установлен ли в документах организации, определяющих область действия СМИБ, подход к оценке рисков ИБ, включающий: - оценку последствий неисполнения требований СТО БР ИББС-1.0 и нормативных актов Банка России по обеспечению ИБ; - оценку угроз нарушения процессов управления ИБ или вследствие реализации иных угроз?							0,1471
М9.7	Реализуются ли в организации основные процессы СМИБ, связанные с планированием процессов выполнения требований ИБ, с реализацией и эксплуатацией защитных мер, с проверкой процессов выполнения требований ИБ и с совершенствованием процессов выполнения требований ИБ?							0,1474
Итоговая оценка группового показателя M9

Групповой показатель М10 "Анализ и оценка рисков ИБ, варианты обработки рисков ИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М10.1	Осуществляется ли в организации оценка рисков ИБ, в том числе связанных с неисполнением требований нормативных актов Банка России, имеющих отношение к ИБ, а также связанных с угрозами нарушения процессов управления ИБ?							0,0794
М10.2	Существует ли документ (документы), в котором (которых) отражены результаты анализа и оценки рисков ИБ?							0,0714
М10.3	Определены ли роли в части деятельности по оценке и обработке рисков ИБ и определена ли ответственность исполнителей, выполняющих данные роли?							0,0794
М10.4	Назначены ли в организации лица, ответственные за управление рисками ИБ?							0,0794
М10.5	Выполнена ли идентификация информационных активов и их уязвимостей?							0,0794
М10.6	Выполнена ли оценка потенциального ущерба бизнесу организации в случае реализации угроз ИБ?							0,0794
М10.7	Анализируется ли и учитывается ли при оценке рисков ИБ степень актуальности угроз?							0,0714
М10.8	Пересматриваются ли перечень актуальных угроз информационным активам организации и степень их актуальности?							0,0714
М10.9	Анализируется ли и учитывается ли при оценке рисков ИБ степень актуальности уязвимостей информационных активов?							0,0714
М10.10	Пересматривается ли перечень уязвимостей информационных активов организации и степень их актуальности?							0,0714
М10.11	Оценивается ли возможность переноса информационных рисков на другие стороны (например, страховщиков, поставщиков, органы сертификации и т.п.)?							0,0644
М10.12	Учитываются ли данные об инцидентах ИБ при оценке рисков ИБ?							0,0644
М10.13	Проводятся ли в организации обсуждения деятельности по оценке и обработке рисков ИБ с участием высшего руководства и руководителя службы ИБ?							0,0714
М10.14	Определены ли в организации критерии для принятия рисков ИБ и уровни приемлемых рисков ИБ?							0,0458
Итоговая оценка группового показателя M10

Групповой показатель М11 "Определение/уточнение политики ИБ организации"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М11.1	Существует ли утвержденный руководством организации документ, определяющий политику ИБ организации (цели ИБ, общие задачи управления ИБ, основные области обеспечения ИБ, объекты защиты ИБ, принципы реализации и контроля политики ИБ и т.д.)?							0,12
М11.2	Существуют ли утвержденные руководством организации документы, определяющие частные политики ИБ?							0,12
М11.3	Определен ли порядок пересмотра документов, определяющих политику ИБ организации и частные политики?							0,11
М11.4	Определены ли требования по регулярной отчетности должностному лицу в организации, утвердившему политику ИБ организации, о реализации положений данной политики?							0,095
М11.5	Существует ли нормативно-методический документ (документы) по обеспечению ИБ, определяющий (определяющие) требования по реализации положений политик# ИБ организации?							0,095
М11.6	Учитываются ли в положениях политики ИБ организации результаты оценки рисков ИБ?							0,12
М11.7	Есть ли в организации лицо (орган), ответственное за реализацию и контроль политики ИБ организации?							0,12
М11.8	Зафиксированы ли его обязанности и ответственность за реализацию и контроль политики ИБ организации документально?							0,11
М11.9	Имеются ли в организации отчетные документы о реализации положений политики ИБ организации?							0,11
Итоговая оценка группового показателя M11

Групповой показатель М12 "Выбор/уточнение целей ИБ и защитных мер"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М12.1	Существуют ли документы, в которых определен порядок внедрения защитных мер, выбранных в соответствии с требованиями раздела 8 СТО БР ИББС-1.0 и другими действующими нормативными актами организации?							0,215
М12.2	Существуют ли документы, в которых определен план выбора защитных мер, описанных в СТО БР ИББС-1.0 и других действующих нормативных актах организации?							0,19
М12.3	Проводятся ли в организации обсуждения по выбору защитных мер по обеспечению ИБ с участием экспертов в областях ИБ, в области финансов и в области управления персоналом?							0,19
М12.4	Проводятся ли обсуждения по выбору новых (модернизации существующих) защитных мер по обеспечению ИБ при выявлении новых угроз и уязвимостей информационных активов организации?							0,19
М12.5	Согласован ли выбор поставляемых (разрабатываемых) защитных мер со службой ИБ организации?							0,215
Итоговая оценка группового показателя M12

Групповой показатель М13 "Принятие менеджментом организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М13.1	Существует ли документ, в котором отражено принятие руководством организации остаточных рисков?							0,105
М13.2	Имеется ли административное и кадровое обеспечение комплекса средств управления ИБ организации?							0,105
М13.3	Существует ли в организации служба ИБ (ответственный за ИБ)?							0,116
М13.4	Определены ли роли по обеспечению ИБ во всех структурных подразделениях организации?							0,105
М13.5	Существуют ли документы, утвержденные руководством организации, определяющие перечень целей и задач службы ИБ, включающий: - управление всеми планами по обеспечению ИБ организации; - разработку и внесение предложений по изменению политики ИБ организации; - изменение существующих и принятие новых нормативно-методических документов по обеспечению ИБ организации; - выбор средств управления и обеспечения ИБ организации; - контроль пользователей, в первую очередь пользователей, имеющих максимальные полномочия; - контроль активности, связанной с доступом и использованием средств антивирусной защиты, а также с применением других средств обеспечения ИБ организации; - осуществление мониторинга событий, связанных с ИБ организации; - расследование событий, связанных с нарушениями ИБ, и в случае необходимости выхода с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации; - участие в действиях по восстановлению работоспособности АБС после сбоев и аварий; - создание, поддержку и совершенствование системы управления ИБ организации?							0,116
М13.6	Выделен ли собственный бюджет службы ИБ организации в рамках бюджета организации?							0,116
М13.7	Имеет ли служба ИБ организации собственного куратора на уровне первых лиц в руководстве организации?							0,105
М13.8	Взаимодействует ли служба ИБ организации с сотрудниками, ответственными за ИБ в структурных подразделениях?							0,116
М13.9	Обеспечена ли служба ИБ организации необходимыми и достаточными полномочиями для выполнения установленных целей и задач?							0,116
Итоговая оценка группового показателя M13

Групповой показатель М14 "Разработка плана обработки рисков ИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М14.1	Имеются ли в организации планы по внедрению и развитию СМИБ (план обработки или минимизации рисков ИБ), определяющие совокупность мероприятий, методов и средств, создаваемых и поддерживаемых для обеспечения требуемого уровня безопасности информационных активов?							0,172
М14.2	Утвержден ли план минимизации рисков ИБ руководством организации?							0,172
М14.3	Есть ли в организации лицо (орган), ответственное за реализацию плана минимизации рисков ИБ?							0,172
М14.4	Зафиксированы ли документально обязанности ответственного за реализацию плана минимизации рисков ИБ?							0,156
М14.5	Согласован ли план минимизации рисков ИБ с планами инвестирования в обеспечение ИБ организации?							0,156
М14.6	Корректируется ли план минимизации рисков ИБ при изменении рисков ИБ и выявлении новых рисков ИБ?							0,172
Итоговая оценка группового показателя M14

Групповой показатель М15 "Реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значи- мости частно- го показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М15.1	Существуют ли свидетельства реализации плана обработки (минимизации) рисков?							0,18
М15.2	Существуют ли план поставки/установки/сопровождения оборудования, АБС и их компонентов и/или план проведения НИОКР, соответствующие плану внедрения и развития СМИБ организации?							0,16
М15.3	Контролирует ли руководство организации выполнение плана поставки/установки/сопровождения оборудования, АБС и их компонентов и/или плана проведения НИОКР?							0,14
М15.4	Имеются ли в договорах на поставку/установку/сопровождение оборудования, АБС и их компонентов, включая средства ИБ, требования по обеспечению ИБ?							0,18
М15.5	Отвечают ли процессы СМИБ по выбору, реализации и эксплуатации защитных мер требованиям, определенным разделом 8 СТО БР ИББС-1.0?							0,18
М15.6	Предоставляются ли руководству организации отчетные документы о реализации плана внедрения и развития СМИБ?							0,16
Итоговая оценка группового показателя M15

Групповой показатель M16 "Реализация программ по обучению и осведомлению ИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значи- мости частно- го показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M16.1	Существует ли программа по обучению ИБ?							0,1234
M16.2	Существуют ли свидетельства реализации программы по обучению ИБ?							0,1234
M16.3	Проводится ли обучение ИБ персонала организации по установленному графику?							0,1
M16.4	Проводится ли обучение ИБ сотрудника, получившего новую роль?							0,11
M16.5	Соответствует ли программа обучения ИБ существующим политикам ИБ, применяемым защитным мерам и средствам управления ИБ?							0,1232
M16.6	Проводится ли проверка результатов обучения ИБ сотрудников организации?							0,11
M16.7	Имеют ли руководители и сотрудники организации документы, подтверждающие прохождение обучения ИБ?							0,11
M16.8	Поддерживается ли осведомленность сотрудников организации о политиках и требованиях ИБ, в том числе о значимости и важности их деятельности по обеспечению ИБ?							0,1
M16.9	Проводится ли проверка осведомленности об ИБ в организации?							0,1
Итоговая оценка группового показателя M16

Групповой показатель М17 "Обнаружение и реагирование на инциденты безопасности"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М17.1	Существуют ли документы, в которых определены процедуры обнаружения и регистрации инцидентов ИБ?							0,17
М17.2	Существуют ли документы, в которых определены процедуры анализа и реагирования на инциденты ИБ?							0,17
М17.3	Осведомлены ли сотрудники о порядке действий при обнаружении нетипичных событий ИБ и порядке информирования о данных событиях?							0,17
М17.4	Существует ли документ, в котором определены процедуры оценки ущерба, нанесенного инцидентом ИБ?							0,135
М17.5	Поддерживается ли в организации централизованная база инцидентов ИБ?							0,135
М17.6	Существуют ли в организации при выявлении инцидентов ИБ процедуры, допускающие обсуждение и расследование инцидентов с участием внешних экспертов в области ИБ?							0,085
М17.7	Осуществляется ли периодический контроль наличия уязвимостей в программных и технических средствах АБС?							0,135
Итоговая оценка группового показателя M17

Групповой показатель М18 "Обеспечение непрерывности бизнеса и восстановления после прерываний"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М18.1	Существует ли в организации документ, содержащий план восстановления бизнеса после прерываний?							0,18
М18.2	Реализована ли в организации программа обучения пользователей и персонала по обеспечению непрерывности бизнес-процессов и их восстановлению после сбоев?							0,14
М18.3	Проходит ли весь персонал и службы/подразделения обеспечения непрерывности бизнеса периодическое обучение процедурам действий в чрезвычайных ситуациях?							0,14
М18.4	Определены ли в организации роли, обязанности и полномочия персонала и служб/подразделений в части обеспечения непрерывности бизнеса?							0,18
М18.5	Назначены ли лица, выполняющие роли в части реализации плана восстановления бизнеса после прерываний?							0,18
М18.6	Обладает ли организация БС необходимым резервным комплектом оборудования, предназначенным для реализации процедур оперативного восстановления нарушенных бизнес-процессов?							0,18
Итоговая оценка группового показателя M18

Групповой показатель М19 "Мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М19.1	Существуют ли документы, определяющие процедуры мониторинга и контроля защитных мер, включая регистрацию действий и событий, связанных со СМИБ?							0,0926
М19.2	Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля изменений и использования прав доступа пользователей?							0,0926
М19.3	Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля средств и подсистем управления доступом и регистрации?							0,0926
М19.4	Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля использования оборудования и выявления нештатных (или злоумышленных) действий в организации, а также выявления потенциальных нарушений ИБ?							0,0926
М19.5	Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля функционирования средств антивирусной защиты?							0,0926
М19.6	Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля использования ресурсов сети Интернет?							0,0926
М19.7	Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля использования средств криптографической защиты информации?							0,0926
М19.8	Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля банковских платежных технологических процессов?							0,0926
М19.9	Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля банковских информационных технологических процессов?							0,0926
М19.10	Осуществляется ли мониторинг выполнения соглашений о качестве услуг, предоставляемых по договору сторонними организациями (при наличии таких услуг)?							0,0833
М19.11	Осуществляются ли в организации процедуры по управлению данными мониторинга и контроля?							0,0833
Итоговая оценка группового показателя M19

Групповой показатель М20 "Анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значи- мости частно- го показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М20.1	Определены ли в документах организации и выполняются ли процедуры по анализу эффективности СМИБ (полноте и адекватности процессов менеджмента ИБ)?							0,2
М20.2	Используются ли при анализе эффективности СМИБ результаты мониторинга ИБ и сведения относительно инцидентов ИБ?							0,2
М20.3	Используются ли результаты оценки рисков ИБ при анализе эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ?							0,2
М20.4	Определены ли в документах организации и выполняются ли процедуры по подготовке отчетности для руководства по вопросам эффективности СМИБ?							0,2
М20.5	Отражаются ли в отчетах руководству по вопросам эффективности СМИБ результаты оценки рисков ИБ при изменениях в процессах и технологиях?							0,2
Итоговая оценка группового показателя M20

Групповой показатель М21 "Внутренний аудит СМИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М21.1	Определен ли документально порядок проведения внутреннего аудита ИБ в организации?							0,104
М21.2	Выполняются ли при внутреннем аудите ИБ в организации все следующие действия: - документальная проверка; - опрос и интервью с руководством и персоналом; - проверка на местах?							0,115
М21.3	Используются ли при проведении внутреннего аудита ИБ данные мониторинга ИБ (в том числе журналы регистрации инцидентов ИБ)?							0,115
М 21.4	Определен ли документально и выполняется ли порядок подготовки и предоставления исходных данных (источников свидетельств аудита ИБ, свидетельств аудита ИБ) при проведении внутреннего аудита ИБ?							0,115
М21.5	Определено ли документально руководством организации, что при проведении внутреннего аудита ИБ должно быть обеспечено документально и (при необходимости) технически подтверждено, что: - положения внутренних документов по обеспечению ИБ выполняются; - защитные меры настроены и используются правильно; - замечания (рекомендации) предшествующих аудитов ИБ выполнены?							0,115
М21.6	Установлена ли форма представления результатов внутреннего аудита ИБ?							0,103
М21.7	Сообщаются ли результаты внутреннего аудита ИБ руководству организации?							0,115
М21.8	Используются ли результаты внутреннего аудита ИБ для уточнения планов внедрения и развития СМИБ организации?							0,115
М21.9	Определен ли порядок хранения, доступа и использования материалов, получаемых в процессе проведения внутреннего аудита?							0,103
Итоговая оценка группового показателя M21

Групповой показатель М22 "Анализ СМИБ со стороны высшего руководства"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М22.1	Определен ли в организации минимальный перечень документов (данных), предоставляемых высшему руководству организации для проведения анализа СМИБ?							0,2564
М22.2	Имеются ли в нормативно-распорядительных документах (приказах, распоряжениях, решениях, протоколах и т.п.), принимаемых (утверждаемых) руководством организации по предоставленным ему материалам, положения и указания, определяющие требования: - по совершенствованию СМИБ; - по изменению процедур, влияющих на ИБ; - по выделению ресурсов для целей СМИБ?							0,2564
М22.3	Используются ли при подготовке нормативно-распорядительных документов организации, касающихся СМИБ, отчеты службы ИБ, в том числе по выявленным инцидентам ИБ?							0,2564
М22.4	Определены ли в документах организации процедуры, допускающие привлечение к анализу функционирования СМИБ организации внешних экспертов и специалистов в данной области?							0,2308
Итоговая оценка группового показателя M22

Групповой показатель М23 "Внешний аудит СМИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М23.1	Включает ли программа аудита ИБ организации описание деятельности, необходимой для планирования, организации, проведения и совершенствования внешнего аудита ИБ?							0,11
М23.2	Определен ли документально и выполняется ли порядок подготовки и предоставления исходных данных (источников свидетельств аудита ИБ, свидетельств аудита ИБ) при проведении внешнего аудита ИБ?							0,137
М23.3	Используются ли результаты внешнего аудита ИБ для уточнения планов внедрения и развития СМИБ организации?							0,137
М23.4	Определено ли документально руководством организации, что при проведении внешнего аудита ИБ должно быть обеспечено документально и (при необходимости) технически подтверждено, что: - политика ИБ отражает требования бизнес-целей организации; - организационная структура управления ИБ создана; - процессы выполнения требований ИБ исполняются и удовлетворяют поставленным целям; - защитные меры (например, межсетевые экраны, средства управления физическим доступом) настроены и используются правильно; - остаточные риски оценены и остаются приемлемыми для организации; - система управления ИБ соответствует определенному уровню зрелости управления ИБ; - рекомендации предшествующих аудитов ИБ реализованы?							0,137
М23.5	Проводится ли внешний аудит ИБ на соответствие требованиям СТО БР ИББС-1.0?							0,137
М23.6	Установлены ли в организации процедуры взаимодействия аудиторской группы и руководства организации, позволяющие представителям аудиторской группы при необходимости непосредственно обращаться к руководству организации?							0,11
М 23.7	Проводятся ли совещания руководства организации с представителями аудиторской группы, посвященные обсуждению вопроса совершенствования СМИБ по результатам проведения аудита ИБ?							0,122
М23.8	Определен ли порядок хранения, доступа и использования аудиторского отчета?							0,11
Итоговая оценка группового показателя M23

Групповой показатель М24 "Реализация тактических улучшений в СМИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М24.1	Основываются ли принимаемые службой ИБ решения по совершенствованию СМИБ на результатах аудита ИБ, мониторинга, обработки инцидентов ИБ и потребностях в корректирующих и превентивных действиях?							0,208
М24.2	Регистрируются ли принимаемые службой ИБ решения, направленные на совершенствование СМИБ?							0,208
М24.3	Контролируется ли выполнение принятых службой ИБ решений, направленных на совершенствование СМИБ?							0,208
М24.4	Выполняется ли анализ результатов реализации принятых службой ИБ решений по совершенствованию СМИБ?							0,188
М24.5	Осуществляет ли служба ИБ согласование планов развития СМИБ с планами развития бизнеса организации?							0,188
Итоговая оценка группового показателя M24

Групповой показатель М25 "Реализация стратегических улучшений СМИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М25.1	Осуществляется ли руководством организации анализ соответствия реализации и/или эксплуатации СМИБ политике ИБ?							0,176
М25.2	Существуют ли документы (база данных), содержащие описание изменений, внесенных в политику ИБ (частные политики ИБ) и план обработки рисков ИБ?							0,14
М25.3	Основаны ли решения, принимаемые руководством, о реализации корректирующих и превентивных действий в отношении СМИБ организации на результатах оценки рисков ИБ?							0,176
М25.4	Используются ли руководством при принятии решений о реализации корректирующих и превентивных действий в отношении СМИБ успешные практики (собственные и других организаций)?							0,156
М25.5	Поддерживается ли руководством организации процесс оценки эффективности результатов реализации принятых решений по совершенствованию СМИБ?							0,176
М25.6	Назначены ли ответственные за реализацию решений о стратегических улучшениях СМИБ?							0,176
Итоговая оценка группового показателя M25

Групповой показатель М26 "Информирование об изменениях СМИБ и их согласование с заинтересованными сторонами"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М26.1	Определены ли в документах организации и выполняются ли процедуры информирования заинтересованных сторон об изменениях в СМИБ (в политиках ИБ, процедурах, относящихся к ИБ, ответственности в области ИБ, требованиях ИБ и т.п.) в части, их касающейся?							0,167
М26.2	Определены ли в документах организации и выполняются ли процедуры согласования изменений в СМИБ с заинтересованными сторонами в части, их касающейся?							0,167
М26.3	Определены ли в документах организации роли по исполнению процедур информирования и согласования изменений СМИБ с заинтересованными сторонами?							0,333
М26.4	Назначены ли лица, выполняющие роли по исполнению процедур информирования и согласования изменений СМИБ с заинтересованными сторонами?							0,333
Итоговая оценка группового показателя M26

Групповой показатель М27 "Оценка достижения поставленных целей"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
М27.1	Рассматриваются ли (обсуждаются ли) варианты реализации задач по совершенствованию СМИБ (например, с целью минимизации затрат) и имеется ли соответствующее документальное подтверждение?							0,28
М27.2	Осуществляется ли оценка того, что поставленные цели по совершенствованию СМИБ приведут к решению выявленных проблем?							0,28
М27.3	Определен ли перечень предоставляемых руководству документов, позволяющих оценить достижение поставленных целей и выявить несоответствия в реализации и/или эксплуатации СМИБ этим целям?							0,16
М27.4	Осуществляется ли руководством оценка того, что поставленные цели по совершенствованию СМИБ достигнуты?							0,28
Итоговая оценка группового показателя M27

Групповой показатель М28 "Своевременность обнаружения, прогноз развития проблем ИБ и оценка их влияния на бизнес-цели организации"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M28.1	Определена ли в организации классификация ресурсов по степени их критичности для обеспечения непрерывности бизнеса?							0,117
M28.2	Определены ли в организации модель угроз и модель нарушителя, обеспечивающие прогнозирование развития возможных проблем, связанных с ИБ?							0,117
M28.3	Определены ли в организации процедуры обработки инцидентов ИБ?							0,0905
M28.4	Установлены ли процедуры обработки инцидентов ИБ в соответствии с классами ресурсов, затронутых при инцидентах ИБ?							0,0905
M28.5	Доводится ли службой ИБ до руководства организации информация по инцидентам ИБ?							0,117
M28.6	Принимаются ли решения по всем инцидентам ИБ?							0,117
M28.7	Выполняются ли все решения, принятые по инцидентам ИБ?							0,117
M28.8	Организует ли руководство организации деятельность по управлению рисками ИБ?							0,117
M28.9	Приняты ли руководством организации решения по обоснованным предложениям службы ИБ по учету и внедрению требований ИБ в бизнес-процессы организации?							0,117
Итоговая оценка группового показателя M28

Групповой показатель М29 "Определенность целей, адекватность выбора защитных мер, их эффективность и контролируемость"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M29.1	Зафиксированы ли документально цели и задачи обеспечения ИБ организации?							0,0833
M29.2	Осуществляется ли при необходимости или периодически уточнение/пересмотр целей и задач обеспечения ИБ организации при изменениях целей и задач бизнеса организации?							0,0833
M29.3	Осуществляется ли при необходимости или периодически уточнение/пересмотр целей и задач обеспечения ИБ организации при изменениях процедур, технологий?							0,0833
M29.4	Осуществляется ли при необходимости или периодически уточнение/пересмотр целей и задач обеспечения ИБ организации при изменении угроз ИБ?							0,0833
М29.5	Выбираются ли защитные меры в соответствии с моделями угроз и нарушителей?							0,0833
M29.6	Выбираются ли защитные меры с учетом оценки затрат на реализацию защитных мер и объема возможных потерь от выполнения угроз?							0,0833
M29.7	Существует ли утвержденный план реализации защитных мер, включающий порядок тестирования реализованных защитных мер и порядок оценивания достигнутого уровня снижения рисков ИБ организации?							0,0667
М29.8	Оценивалось ли руководством или службой ИБ организации влияние защитных мер на цели бизнеса организации?							0,0667
M29.9	Все ли защитные меры, используемые в организации, позволяют осуществлять контроль правильности их реализации и эксплуатации?							0,0667
M29.10	Определен ли в организации порядок периодического тестирования комплекса защитных мер?							0,0667
M29.11	Применяются ли в организации механизмы, позволяющие определять ущерб от инцидентов ИБ?							0,0667
M29.12	Установлена ли в организации ответственность по контролю защитных мер и оценке адекватности и эффективности их реализации?							0,0833
M29.13	Осуществляется ли в организации контроль за реализацией действующих положений и требований по обеспечению ИБ?							0,0834
Итоговая оценка группового показателя M29

Групповой показатель М30 "Непрерывность обеспечения ИБ и использование опыта при принятии и реализации решений"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычис- ленное значе- ние показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M30.1	Используется ли опыт организации, других организаций при принятии решений и их реализации (например, опыт, накопленный организацией и другими организациями и отраженный в нормативных актах)?							0,08
M30.2	Есть ли в организации служба ИБ как отдельная функциональная структура?							0,08
M30.3	Существует ли отдельная статья бюджета организации для финансирования обеспечения ИБ?							0,08
M30.4	Имеет ли служба ИБ куратора в руководстве организации?							0,08
M30.5	Назначены ли лица, ответственные за реализацию политики ИБ организации и поддержание ее в актуальном состоянии?							0,08
M30.6	Осуществляется ли анализ отсутствия разрывов в технологических процессах обеспечения ИБ организации, представляющих собой, например, нахождение защищаемых активов вне защищаемой оболочки, вне защитных мер, а также несогласованность защитных мер?							0,056
M30.7	Определены ли процедуры контроля за изменением конфигурации АБС организации?							0,08
M30.8	Анализируется ли влияние на ИБ организации изменений, коснувшихся бизнес-процессов организации?							0,056
M30.9	Анализируется ли влияние на ИБ организации изменений технологий?							0,056
M30.10	Анализируется ли влияние на ИБ организации изменений внешних событий (изменения законодательства, социального климата)?							0,056
M30.11	Предусматривает ли план действий в нештатных ситуациях возможные последствия нештатных ситуаций?							0,08
M30.12	Предусматривает ли план обеспечения непрерывности бизнеса организации возможные способы возобновления бизнеса?							0,08
M30.13	Определены ли документально процедуры, которые должны быть реализованы в нештатных ситуациях для каждого сотрудника?							0,08
M30.14	Регулярно ли проверяется руководством организации отработка плана действий в нештатных ситуациях и других планов, связанных с восстановлением и непрерывностью бизнеса организации с целью обеспечения их актуальности и эффективности?							0,056
Итоговая оценка группового показателя M30

Групповой показатель М32 "Доступность услуг и сервисов, наблюдаемость и оцениваемость обеспечения ИБ"

Обозначе- ние частного показателя ИБ	Частный показатель ИБ	Оценка частного показателя ИБ						Коэффи- циент значимо- сти частного показа- теля ИБ	Вычисле- нное значение показа- теля ИБ
		0	0,25	0,5	0,75	1	н/о
M32.1	Определен ли в соответствующих договорах (соглашениях) с клиентами и контрагентами порядок обеспечения им доступности банковских услуг и сервисов?							0,1316
M32.2	Выполняется ли порядок обеспечения доступности банковских услуг и сервисов для клиентов и контрагентов в установленные сроки, если это определено в договорах?							0,1316
M32.3	Контролируется ли обеспечение доступности услуг и сервисов для клиентов и контрагентов?							0,1316
M32.4	Определены ли документально требования по наблюдаемости (видимости, регистрации) результатов применения защитных мер, используемых в организации?							0,1316
M32.5	Выполняются ли рекомендации внутреннего и внешнего аудитов ИБ?							0,1053
M32.6	Разработана ли и утверждена в организации программа аудита ИБ, включающая процессы внутреннего аудита ИБ и самооценки ИБ?							0,1316
M32.7	Выполняется ли в организации программа аудита ИБ, включающая процессы внутреннего аудита ИБ и самооценки ИБ?							0,1316
M32.8	Контролируется (подтверждается) ли руководством организации достоверность свидетельств аудита ИБ, предъявляемых при проведении аудита ИБ?							0,1051
Итоговая оценка группового показателя M32