Приложение A (обязательное). Показатели информационной безопасности. Стандарт Банка России СТО БР ИББС-1.2-2009 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008" (введен в действие распоряжением ЦБР от 07.05.2009 N Р-496) (утратил силу)

Приложение A

(обязательное)

Показатели
информационной безопасности

Групповой показатель M1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М1.1	Определены ли в документах организации роли ее работников?	обязательный							0,0581
М1.2	Формируются ли роли, связанные с выполнением деятельности по обеспечению ИБ, на основании требований разделов 7 и 8 стандарта СТО БР ИББС-1.0?	обязательный							0,0291
М1.3	Персонифицированы ли роли в организации с установлением ответственности за их выполнение?	обязательный							0,0502
М1.4	Зафиксирована ли документально в должностных инструкциях ответственность за выполнение ролей?	обязательный							0,0461
М1.5	Отсутствуют ли в организации роли, совмещающие функции разработки и сопровождения системы/ПО?	рекомендуемый	х	х	х	х			0,0522
М1.6	Отсутствуют ли в организации роли, совмещающие функции разработки и эксплуатации системы/ПО?	рекомендуемый	х	х	х	х			0,0610
М1.7	Отсутствуют ли в организации роли, совмещающие функции сопровождения и эксплуатации?	рекомендуемый	х	х	х	х			0,0522
М1.8	Отсутствуют ли в организации роли, совмещающие функции администратора системы и администратора информационной безопасности?	рекомендуемый	х	х	х	х			0,0661
М1.9	Отсутствуют ли в организации роли, совмещающие функции по выполнению операций в системе и контроля их выполнения?	рекомендуемый	х	х	х	х			0,0661
М1.10	Определены ли документально в организации и выполняются ли процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации?	обязательный							0,1001
М1.11	Определены ли в документах организации процедуры приема на работу, влияющую на обеспечение ИБ, включающие: - проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических навыков; - проверку в части профессиональных навыков и оценку профессиональной пригодности?	обязательный							0,0513
М1.12	Предусматривают ли указанные в частном показателе М1.11 процедуры документальную фиксацию результатов проводимых проверок?	обязательный							0,0371
М1.13	Определены ли в документах организации процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников?	рекомендуемый	х	х	х	х			0,0302
М1.14	Предусматривают ли указанные в частном показателе М1.13 процедуры документальную фиксацию результатов проводимых проверок?	рекомендуемый	х	х	х	х			0,0302
М1.15	Определены ли в документах организации процедуры внеплановой проверки работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии?	рекомендуемый	х	х	х	х			0,0433
М1.16	Предусматривают ли указанные в частном показателе М1.15 процедуры документальную фиксацию результатов проводимых проверок?	рекомендуемый	х	х	х	х			0,0391
М1.17	Обязаны ли все работники организации давать письменные обязательства о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов?	обязательный							0,0383
М1.18	Регламентируются ли положениями, включенными в договоры (соглашения) с внешними организациями и клиентами, требования по ИБ?	обязательный							0,0449
М1.19	Определены ли в трудовых контрактах (соглашениях, договорах) и(или) должностных инструкциях обязанности персонала по выполнению требований ИБ?	обязательный							0,0582
М1.20	Приравнивается ли невыполнение работниками организации требований ИБ к невыполнению должностных обязанностей и приводит ли как минимум к дисциплинарной ответственности?	обязательный							0,0462
Итоговая оценка группового показателя М1

Групповой показатель M2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М2.1	Рассматриваются ли при формировании требований ИБ следующие стадии модели ЖЦ АБС: - разработка технических заданий; - проектирование; - создание и тестирование; - приемка и ввод в действие; - эксплуатация; - сопровождение и модернизации; - снятие с эксплуатации?	рекомендуемый	х	х	х	х			0,0504
М2.2	Осуществляются ли разработка технических заданий и приемка АБС по согласованию и при участии подразделения (лиц) в организации, ответственных за обеспечение ИБ?	обязательный							0,0616
М2.3	Осуществляются ли ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации АБС под контролем подразделений (лиц) в организации, ответственных за обеспечение ИБ?	обязательный							0,0591
М2.4	Имеют ли соответствующие лицензии организации, которые привлекаются на договорной основе для разработки и(или) производства средств и систем защиты АБС?	обязательный							0,0563
М2.5	Снабжены ли разрабатываемые АБС и(или) их компоненты документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз ИБ (источников угроз), описанных в модели угроз организации?	обязательный							0,0646
М2.6	Снабжены ли приобретаемые организацией АБС и(или) их компоненты документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз ИБ (источников угроз), описанных в модели угроз организации?	рекомендуемый	х	х	х	х			0,0604
М2.7	Содержит ли документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки?	обязательный							0,0450
М2.8	Реализуется ли при взаимодействии организации с разработчиком АБС и их компонентов одна из трех альтернатив: 1) в договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов включаются положения по сопровождению поставляемых изделий на весь срок их службы; 2) организация приобретает полный комплект рабочей конструкторской документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика; 3) руководство организации оценивает и документально оформляет допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов?	обязательный							0,0604
М2.9	Учитывается ли при разработке технических заданий на системы дистанционного банковского обслуживания, что защита данных должна обеспечиваться в условиях: - попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования; - возможности ошибок авторизованных пользователей систем; - возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями?	обязательный							0,0596
М2.10	Обеспечиваются ли на стадии тестирования анонимность данных и проверка адекватности разграничения доступа?	обязательный							0,0474
М2.11	Определены ли в документах организации и выполняются ли на стадии эксплуатации АБС процедуры контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер?	обязательный							0,0700
М2.12	Предусматривают ли указанные в частном показателе М2.11 процедуры документальную фиксацию результатов контроля?	обязательный							0,0626
М2.13	Определены ли в документах организации и выполняются ли на стадии сопровождения (модернизации) АБС процедуры контроля, обеспечивающие защиту от: - умышленного несанкционированного раскрытия, модификации или уничтожения информации; - неумышленной модификации, раскрытия или уничтожения информации; - отказа в обслуживании или ухудшения обслуживания?	обязательный							0,0596
М2.14	Предусматривают ли указанные в частном показателе М2.13 процедуры документальную фиксацию результатов контроля?	обязательный							0,0533
М2.15	Проводятся ли на стадии сопровождения (модернизации) при любом внесении изменений в АБС процедуры проверки функциональности, результаты которых документируются?	обязательный							0,0646
М2.16	Определены ли документально и выполняются ли на стадии снятия с эксплуатации процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС и с внешних носителей (за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрены соответствующими нормативными и(или) договорными документами)?	обязательный							0,0675
М2.17	Предусматривают ли указанные в частном показателе М2.16 процедуры документальную фиксацию результатов их выполнения?	обязательный							0,0576
Итоговая оценка группового показателя М2

Групповой показатель M3 "Обеспечение информационной безопасности при управлении доступом и регистрации"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М3.1	Определен ли в документах организации перечень информационных активов (их типов)?	обязательный							0,0356
М3.2	Зафиксированы ли документально права доступа работников и клиентов к информационным активам организации?	обязательный							0,0360
М3.3	Применяются ли в составе АБС встроенные защитные меры?	обязательный							0,0345
М3.4	Применяются ли в составе АБС сертифицированные или разрешенные к применению руководством организации средства защиты информации от НСД и НРД и средства криптографической защиты информации?	рекомендуемый	х	х	х	х			0,0334
М3.5	Определены ли в документах организации, утверждены ли руководством организации, выполняются ли и контролируются ли процедуры идентификации, аутентификации и авторизации?	обязательный							0,0366
М3.6	Документируются ли результаты контроля процедур, указанных в частном показателе М3.5?	обязательный							0,0345
М3.7	Определены ли в документах организации, выполняются ли и контролируются ли процедуры управления доступом?	обязательный							0,0360
М3.8	Документируются ли результаты контроля процедур, указанных в частном показателе М3.7?	обязательный							0,0334
М3.9	Определены ли в документах организации, выполняются ли и контролируются ли процедуры контроля целостности?	обязательный							0,0340
М3.10	Документируются ли результаты контроля процедур, указанных в частном показателе М3.9?	обязательный							0,0319
М3.11	Определены ли в документах организации, выполняются ли и контролируются ли процедуры регистрации событий и действий?	обязательный							0,0319
М3.12	Документируются ли результаты контроля процедур, указанных в частном показателе М3.11?	обязательный							0,0286
М3.13	Исключают ли процедуры управления доступом возможность "самосанкционирования"?	обязательный							0,0308
М3.14	Определены ли в документах организации процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявить неправомерные или подозрительные операции и транзакции?	обязательный							0,0331
М3.15	Используются ли специализированные программные и(или) технические средства для проведения процедур мониторинга и анализа данных регистрации, действия и операций?	рекомендуемый	х	х	х	х			0,0255
М3.16	Используют ли процедуры мониторинга и анализа документально определенные критерии выявления неправомерных или подозрительных действий и операций?	обязательный							0,0266
М3.17	Применяются ли процедуры мониторинга и анализа на регулярной основе (например, ежедневно) ко всем выполненным операциям и транзакциям?	обязательный							0,0286
М3.18	Регламентирован ли во внутренних документах организации порядок доступа работников организации в помещения, в которых размещаются объекты среды информационных активов?	обязательный							0,0292
М3.19	Контролируется ли выполнение порядка доступа работников организации в помещения, в которых размещаются объекты среды информационных активов?	обязательный							0,0297
М3.20	Оформляются ли документально результаты выполнения контроля порядка доступа работников организации в помещения, в которых размещаются объекты среды информационных активов?	обязательный							0,0263
М3.21	Обеспечивают ли используемые в организации АБС, в том числе системы дистанционного банковского обслуживания, возможность регистрации: - операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов; - проводимых транзакций, имеющих финансовые последствия; - операций, связанных с назначением и распределением прав пользователей?	обязательный							0,0328
М3.22	Реализованы ли в системах дистанционного банковского обслуживания, используемых в организации, защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций (например, ЭЦП)?	обязательный							0,0344
М3.23	Придано ли протоколам операций, выполняемых посредством дистанционного банковского обслуживания, свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание?	рекомендуемый	х	х	х	х			0,0312
М3.24	Производится ли при заключении договоров со сторонними организациями юридическое оформление договоренностей, определяющих необходимый уровень взаимодействия в случае выхода инцидента ИБ за рамки отдельной организации?	рекомендуемый	х	х	х	х			0,0274
М3.25	Определены ли в документах организации процедуры, определяющие действия работников и клиентов организации в случае компрометации информации, необходимой для их идентификации, аутентификации и(или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев?	обязательный							0,0294
М3.26	Доведены ли до сведения работников и клиентов организации процедуры, указанные в частном показателе М3.25?	обязательный							0,0283
М3.27	Предусматривают ли указанные в частном показателе М3.26 процедуры документирование работниками и клиентами своих действий и их результатов?	обязательный							0,0254
М3.28	Реализованы ли в системах дистанционного банковского обслуживания механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени?	обязательный							0,0239
М3.29	Применяются ли в организации защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и(или) авторизации клиентов и работников организации?	обязательный							0,0319
М3.30	Регистрируются ли все попытки НСД и НРД к информации, необходимой для идентификации, аутентификации и(или) авторизации клиентов и сотрудников организации?	обязательный							0,0326
М3.31	Определена ли в документах организации и выполняется ли процедура пересмотра прав доступа при увольнении или изменении должностных обязанностей работников организации, имевших доступ к информации, необходимой для идентификации, аутентификации и(или) авторизации клиентов и сотрудников организации?	обязательный							0,0316
М3.32	Осуществляется ли работа всех пользователей АБС под уникальными учетными записями?	обязательный							0,0349
Итоговая оценка группового показателя М3

Групповой показатель M4 "Обеспечение информационной безопасности средствами антивирусной защиты"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М4.1	Применяются ли на всех автоматизированных рабочих местах и серверах АБС организации, если иное не предусмотрено технологическим процессом, средства антивирусной защиты?	обязательный							0,0744
М4.2	Определены ли в документах организации процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС?	обязательный							0,0721
М4.3	Осуществляются ли установка и регулярное обновление средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС администраторами АБС или иными официально уполномоченными лицами?	обязательный							0,0653
М4.4	Организован ли автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных?	рекомендуемый	х	х	х	х			0,0559
М4.5	Контролируются ли установка и обновление антивирусных средств представителями подразделения (лицами) в организации, ответственными за обеспечение ИБ?	обязательный							0,0688
М4.6	Организовано ли функционирование постоянной антивирусной защиты в автоматическом режиме?	рекомендуемый	х	х	х	х			0,0583
М4.7	Разработаны и введены ли в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов?	обязательный							0,0619
М4.8	Проводится ли антивирусная фильтрация всего трафика электронного почтового обмена?	обязательный							0,0706
М4.9	Построена ли в организации эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах?	рекомендуемый	х	х	х	х			0,0501
М4.10	Определены ли в документах организации и выполняются ли процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов?	обязательный							0,0605
М4.11	Проводится ли антивирусная проверка после установки и изменения программного обеспечения?	обязательный							0,0616
М4.12	Документируются ли результаты установки, изменения программного обеспечения и антивирусной проверки?	обязательный							0,0619
М4.13	Определены ли в документах организации процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых зафиксированы: - необходимые меры по отражению и устранению последствий вирусной атаки; - порядок официального информирования руководства; - порядок приостановления при необходимости работы (на период устранения последствий вирусной атаки)?	обязательный							0,0651
М4.14	Определены ли в документах организации и выполняются ли процедуры контроля за отключением и обновлением антивирусных средств на всех автоматизированных рабочих местах и серверах АБС?	обязательный							0,0557
М4.15	Предусматривают ли указанные в частном показателе М4.14 процедуры документальную фиксацию результатов контроля?	обязательный							0,0513
М4.16	Возложена ли обязанность по выполнению предписанных мер антивирусной защиты на каждого работника организации, имеющего доступ к ЭВМ и(или) АБС, а ответственность за выполнение требований инструкции по антивирусной защите - на руководителей функциональных подразделений организации?	обязательный							0,0665
Итоговая оценка группового показателя М4

Групповой показатель M5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М5.1	Принято ли документально руководством организации решение об использовании сети Интернет для производственной и(или) собственной хозяйственной деятельности, в котором явно перечислены цели использования сети Интернет?	обязательный							0,0586
М5.2	Запрещается ли использование ресурсов сети Интернет в неустановленных целях?	обязательный							0,0512
М5.3	Проведено ли в организации выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей?	рекомендуемый	х	х	х	х			0,0398
М5.4	Проводится ли наделение работников организации правами пользователя конкретного пакета в соответствии с его должностными обязанностями, в частности, в соответствии с назначенными ему ролями?	рекомендуемый	х	х	х	х			0,0355
М5.5	Оформляется ли документально наделение работников организации правами пользователя конкретного пакета?	рекомендуемый	х	х	х	х			0,0398
М5.6	Определен ли документально в организации порядок подключения и использования ресурсов сети Интернет, включающий в том числе положение о контроле со стороны подразделения (лиц) в организации, ответственных за обеспечение ИБ?	обязательный							0,0583
М5.7	Применяются ли при осуществлении дистанционного банковского обслуживания с использованием сети Интернет средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации), которые обеспечивают прием и передачу информации только в установленном формате и только по конкретной технологии?	обязательный							0,0518
М5.8	Выполнено ли выделение и организована ли физическая изоляция от внутренних сетей тех ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line?	рекомендуемый	х	х	х	х			0,0292
М5.9	Применяются ли при осуществлении дистанционного банковского обслуживания защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы?	обязательный							0,0479
М5.10	Регистрируются ли регламентированным образом попытки подмены авторизованного клиента злоумышленником в рамках сеанса работы?	обязательный							0,0440
М5.11	Все ли операции клиентов в течение сеанса работы с системами дистанционного банковского обслуживания выполняются только после проведения процедур идентификации, аутентификации и авторизации?	обязательный							0,0581
М5.12	Обеспечивается ли повторное выполнение процедур идентификации, аутентификации и авторизации в случаях нарушения или разрыва соединения при работе с системами дистанционного банковского обслуживания?	обязательный							0,0415
М5.13	Используется ли специализированное клиентское программное обеспечение для доступа пользователей к системам дистанционного банковского обслуживания?	рекомендуемый	х	х	х	х			0,0331
М5.14	Применяются ли защитные меры для осуществления почтового обмена через сеть Интернет?	обязательный							0,0450
М5.15	Определены ли в документах организации перечень защитных мер и порядок их использования для осуществления почтового обмена через сеть Интернет?	обязательный							0,0491
М5.16	Организован ли почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (интернет-киоски)?	рекомендуемый							0,0331
М5.17	Осуществляется ли архивирование электронной почты?	обязательный							0,0368
М5.18	Доступен ли архив электронной почты подразделению (лицу), ответственному за обеспечение ИБ?	обязательный							0,0368
М5.19	Не допускаются ли изменения в архиве электронной почты?	обязательный							0,0390
М5.20	Определен ли документально порядок доступа к информации архива электронной почты?	обязательный							0,0433
М5.21	Не применяется ли в организации практика хранения и обработки банковской информации (в т.ч. открытой) на ЭВМ, с помощью которой осуществляется взаимодействие с сетью Интернет в режиме on-line?	рекомендуемый	х	х	х	х			0,0436
М5.22	Всегда ли наличие банковской информации на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line, определяется бизнес-целями организации и документально санкционируется ее руководством?	обязательный							0,0430
М5.23	Определены ли документально и используются ли защитные меры, позволяющие обеспечить противодействие атакам хакеров и распространению спама?	обязательный							0,0415
Итоговая оценка группового показателя М5

Групповой показатель M6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М6.1	Проводится ли применение СКЗИ в АБС в соответствии с моделью нарушителя, принятой в организации, с целью защиты информации при ее обработке, хранении и передаче по каналам связи?	обязательный	х	х	х	х			0,0776
М6.2	Утверждена ли политика (концепция) применения СКЗИ в организации?	рекомендуемый							0,0694
М6.3	Допускают ли СКЗИ возможность встраивания в технологическую схему обработки электронных сообщений?	обязательный							0,0691
М6.4	Обеспечивают ли СКЗИ взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов?	обязательный							0,0691
М6.5	Поставляются ли СКЗИ разработчиками с полным комплектом эксплуатационной документации, включающей описание ключевой системы, правила работы с ней и обоснование необходимого организационно-штатного обеспечения?	обязательный							0,0919
М6.6	Выполняется ли как минимум одна из трех альтернатив: - сертифицированы ли СКЗИ уполномоченным государственным органом; - реализованы ли СКЗИ на основе рекомендованных уполномоченным государственным органом алгоритмов либо алгоритмов, определенных условиями договора с контрагентом (клиентом) организации; - соответствуют ли СКЗИ стандартам организации, взаимодействующей с проверяемой организацией?	обязательный							0,0936
М6.7	Поддерживается ли непрерывность процессов протоколирования работы СКЗИ при применении СКЗИ в АБС?	обязательный							0,0755
М6.8	Поддерживается ли непрерывность процессов обеспечения целостности программного обеспечения для всех звеньев АБС, взаимодействующих со СКЗИ?	обязательный							0,0755
М6.9	Обеспечивается ли ИБ процессов изготовления ключевых документов СКЗИ комплексом технологических, организационных, технических и программных мер и средств защиты?	обязательный							0,0847
М6.10	Реализованы ли процедуры мониторинга, предусматривающие регистрацию всех значимых событий, состоявшихся в процессе обмена электронными сообщениями, и всех инцидентов ИБ?	рекомендуемый	х	х	х	х			0,0755
М6.11	Определен ли руководством порядок применения СКЗИ в АБС, включающий: - порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС; - порядок эксплуатации; - порядок восстановления работоспособности в аварийных случаях; - порядок внесения изменений; - порядок снятия с эксплуатации; - порядок управления ключевой системой; - порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей?	обязательный							0,0745
М6.12	Самостоятельно ли изготавливаются в организации и(или) физическим лицом ключи ЭЦП и(или) иных СКЗИ?	обязательный							0,0663
М6.13	Отражены ли в соответствующих договорах правовые и организационные последствия изготовления ключей СКЗИ для одной организации в другой организации?	обязательный							0,0773
Итоговая оценка группового показателя М6

Групповой показатель M7 "Обеспечение информационной безопасности банковских платежных технологических процессов"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М7.1	Определен ли в документах организации банковский платежный технологический процесс?	обязательный							0,0405
М7.2	Определены ли документально перечни программного обеспечения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковских платежных технологических процессов?	обязательный							0,0365
М7.3	Соответствует ли состав установленного и используемого в ЭВМ и АБС программного обеспечения определенному перечню?	обязательный							0,0389
М7.4	Контролируется ли выполнение требований, оцениваемых в частных показателях М7.2, М7.3 с документированием результатов контроля?	обязательный							0,0319
М7.5	Зафиксирован ли порядок обмена платежной информацией в договорах между участниками данного обмена?	обязательный							0,0451
М7.6	Отсутствуют ли в организации работники, обладающие полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов?	обязательный							0,0448
М7.7	Контролируются (проверяются) ли и удостоверяются ли результаты технологических операций по обработке платежной информации лицами/автоматизированными процессами?	обязательный							0,0458
М7.8	Осуществляются ли обработка платежной информации и контроль (проверка) результатов обработки разными работниками / автоматизированными процессами?	рекомендуемый	х	х	х	х			0,0442
М7.9	Возложены ли обязанности по администрированию средств защиты платежной информации приказами или распоряжениями по организации на администраторов ИБ с отражением этих обязанностей в должностных инструкциях?	рекомендуемый	х	х	х	х			0,0365
М7.10	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений?	обязательный							0,0436
М7.11	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса доступ работника организации только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации?	обязательный							0,0384
М7.12	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации?	обязательный							0,0389
М7.13	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса аутентификацию входящих электронных платежных сообщений?	обязательный							0,0412
М7.14	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями?	обязательный							0,0412
М7.15	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса возможность ввода платежной информации в АБС только для авторизованных пользователей?	обязательный							0,0436
М7.16	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, установление ограничений в зависимости от суммы совершения операций и т.д.)?	обязательный							0,0436
М7.17	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники?	обязательный							0,0392
М7.18	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса при осуществлении межбанковских расчетов сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями?	обязательный							0,0436
М7.19	Предусматривает ли комплекс мер по обеспечению ИБ банковского платежного технологического процесса доставку электронных платежных сообщений участникам обмена?	обязательный							0,0408
М7.20	Организован ли в организации авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип "двойного управления")?	рекомендуемый	х	х	х	х			0,0364
М7.21	Определены ли в документах организации и выполняются ли при проектировании, разработке, эксплуатации систем дистанционного банковского обслуживания процедуры, реализующие механизмы: - снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами; - доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов?	обязательный							0,0337
М7.22	Обеспечены ли клиенты систем дистанционного банковского обслуживания детальными инструкциями, описывающими процедуры выполнения операций или транзакций?	обязательный							0,0364
М7.23	Определены ли в документах организации и выполняются ли процедуры обслуживания средств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и(или) аппаратных частей?	обязательный							0,0368
М7.24	Определена ли в документах организации, согласована ли со службой либо лицом, отвечающим в организации за обеспечение ИБ, и выполняется ли процедура периодического контроля всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ платежной информации?	обязательный							0,0392
М7.25	Определена ли в документах организации, согласована ли со службой либо лицом, отвечающим в организации за обеспечение ИБ, и выполняется ли процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации?	обязательный							0,0392
Итоговая оценка группового показателя М7

Групповой показатель M8 "Обеспечение информационной безопасности банковских информационных технологических процессов"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М8.1	Проведена ли в организации классификация неплатежной информации?	рекомендуемый	х	х	х	х			0,0852
М8.2	Проводится ли классификация неплатежной информации в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности свойств доступности, целостности и конфиденциальности?	рекомендуемый	х	х	х	х			0,0779
М8.3	Определен ли документально набор требований по защите каждого из типов неплатежных информационных активов (типов неплатежной информации), полученных в результате классификации?	обязательный							0,0970
М8.4	Возложены ли обязанности по администрированию средств защиты неплатежной информации приказами или распоряжениями по организации на администраторов ИБ с отражением этих обязанностей в должностных инструкциях?	рекомендуемый	х	х	х	х			0,0814
М8.5	Определен ли документально порядок контроля функционирования со стороны лиц, отвечающих за ИБ, для каждой АБС организации?	обязательный							0,0777
М8.6	Определены ли в документах организации банковские информационные технологические процессы, согласованы ли эти документы со службой ИБ организации?	обязательный							0,0740
М8.7	Реализованы ли банковские информационные технологические процессы в рамках созданных для этих целей АБС?	обязательный							0,0639
М8.8	Изолированы ли серверы, офисные ЭВМ и другое оборудование, не входящее в состав АБС, реализующих банковские информационные технологические процессы, от указанных АБС на уровне локальных вычислительных сетей способом, согласованным со службой либо лицом, отвечающим в организации за ИБ?	рекомендуемый	х	х	х	х			0,0758
М8.9	Определены ли документально перечни программного обеспечения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковских информационных технологических процессов?	обязательный							0,0646
М8.10	Соответствует ли состав установленного и используемого в ЭВМ и АБС программного обеспечения определенному перечню?	обязательный							0,0646
М8.11	Контролируется ли выполнение требований частных показателей М8.9, М8.10 с документированием результатов контроля?	обязательный							0,0676
М8.12	Регламентирована ли в документах организации, согласована ли со службой ИБ либо лицом, отвечающим за обеспечение ИБ, и выполняется ли процедура периодического контроля всех реализованных программно-техническими средствами и организационными мерами функций (требований) по обеспечению ИБ неплатежной информации?	обязательный							0,0889
М8.13	Регламентирована ли в документах организации, согласована ли со службой ИБ либо лицом, отвечающим за обеспечение ИБ, и выполняется ли процедура восстановления всех реализованных программно-техническими средствами и организационными мерами функций по обеспечению ИБ неплатежной информации?	обязательный							0,0814
Итоговая оценка группового показателя М8

Групповой показатель M9 "Организация и функционирование службы ИБ организации БС РФ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М9.1	Сформирована ли руководством служба ИБ (назначено ли уполномоченное лицо) для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ, утверждены ли цели и задачи ее деятельности?	обязательный							0,0816
М9.2	Имеет ли служба ИБ утвержденные руководством полномочия и ресурсы, необходимые для выполнения установленных целей и задач?	обязательный							0,0753
М9.3	Имеет ли служба ИБ назначенного из числа руководства куратора, который при этом не является куратором службы информатизации (автоматизации)?	обязательный							0,0750
М9.4	Наделена ли служба ИБ собственным бюджетом?	рекомендуемый	х	х	х	х			0,0530
М9.5	Сформированы ли для организаций, имеющих сеть филиалов или региональных представительств, подразделения ИБ (уполномоченные лица) на местах и обеспечены ли эти подразделения необходимыми ресурсами и нормативной базой?	рекомендуемый	х	х	х	х			0,0615
М9.6	Наделена ли служба ИБ (уполномоченное лицо) полномочиями организовывать составление и контролировать выполнение всех планов по обеспечению ИБ организации?	обязательный							0,0694
М9.7	Наделена ли служба ИБ (уполномоченное лицо) полномочиями разрабатывать и вносить предложения по изменению политик ИБ организации?	обязательный							0,0725
М9.8	Наделена ли служба ИБ (уполномоченное лицо) полномочиями организовывать изменения существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,0725
М9.9	Наделена ли служба ИБ (уполномоченное лицо) полномочиями определять требования к мерам обеспечения ИБ организации?	обязательный							0,0781
М9.10	Наделена ли служба ИБ (уполномоченное лицо) полномочиями контролировать работников организации в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым информационным активам?	обязательный							0,0725
М9.11	Наделена ли служба ИБ (уполномоченное лицо) полномочиями осуществлять мониторинг событий, связанных с обеспечением ИБ?	обязательный							0,0725
М9.12	Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в расследовании событий, связанных с инцидентами ИБ, и выходить в случае необходимости с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД (например, нарушивших требования инструкций, руководств по обеспечению ИБ организации)?	обязательный							0,0787
М9.13	Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий?	обязательный							0,0587
М9.14	Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ организации?	обязательный							0,0787
Итоговая оценка группового показателя М9

Групповой показатель M10 "Определение/коррекция области действия СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М10.1	Определена ли в документах организации и корректируется ли опись структурированных по классам защищаемых информационных активов (типов информационных активов - типов информации)?	обязательный							0,1956
М10.2	Проводится ли классификация информационных активов по типам на основании оценок ценности информационных активов для интересов (целей) организации, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов?	рекомендуемый	х	х	х	х			0,1614
М10.3	Содержит ли опись информационных активов информацию о принадлежности конкретного информационного актива к выделенным типам информационных активов (в случае наличия в организации классификации информационных активов)?	обязательный							0,1352
М10.4	Содержит ли опись информационных активов (типов информационных активов) перечень их объектов среды, покрывающий все уровни информационной инфраструктуры организации, определенной в разделе 6 стандарта СТО БР ИББС-1.0?	обязательный							0,1098
М10.5	Определены ли в документах организации процедуры анализа и пересмотра области действия СОИБ (в частности, процедуры пересмотра при изменении перечня информационных активов организации или типов информационных активов)?	обязательный							0,1276
М10.6	Определены ли в документах организации роли по определению/коррекции области действия СОИБ и по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ?	обязательный							0,1352
М10.7	Назначены ли в организации ответственные за выполнение ролей по определению/коррекции области действия СОИБ и по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ?	обязательный							0,1352
Итоговая оценка группового показателя М10

Групповой показатель M11 "Выбор/коррекция подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М11.1	Принята ли в организации и корректируется ли методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ?	обязательный							0,1154
М11.2	Определены ли в организации критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ?	обязательный							0,1070
М11.3	Определяет ли методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ организации способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания: - степени возможности реализации угроз ИБ выявленными и(или) предполагаемыми источниками угроз ИБ, зафиксированных в моделях угроз и нарушителей, в результате их воздействия на объекты среды информационных активов организации (типов информационных активов); - степени тяжести последствий от потери свойств ИБ, в частности свойств доступности, целостности и конфиденциальности для рассматриваемых информационных активов (типов информационных активов)?	обязательный							0,0854
М11.4	Определяет ли порядок оценки рисков нарушения ИБ необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения?	обязательный							0,0854
М11.5	Проводится ли оценка рисков нарушения ИБ для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ?	обязательный							0,0676
М11.6	Создан ли и поддерживается ли в актуальном состоянии единый информационный ресурс (база данных), содержащий информацию об инцидентах ИБ?	рекомендуемый	х	х	х	х			0,0688
М11.7	Соотносятся ли величины рисков, полученные в результате оценивания рисков нарушения ИБ, с уровнем допустимого риска, принятого в организации?	обязательный							0,0766
М11.8	Определен ли в документах организации перечень недопустимых рисков нарушения ИБ, сформированный на основе сравнения полученных в результате оценивания рисков нарушения ИБ величин рисков с уровнем допустимого риска, принятого в организации?	обязательный							0,0766
М11.9	Определены ли в документах организации роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ / подхода к оценке риска нарушения ИБ?	обязательный							0,0782
М11.10	Назначены ли ответственные за выполнение ролей, связанных с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ / подхода к оценке риска нарушения ИБ?	обязательный							0,0782
М11.11	Определены ли в документах организации роли по оценке рисков нарушения ИБ?	обязательный							0,0782
М11.12	Назначены ли ответственные за выполнение ролей по оценке рисков нарушения ИБ?	обязательный							0,0826
Итоговая оценка группового показателя М11

Групповой показатель M12 "Разработка планов обработки рисков нарушения ИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М12.1	Определен ли в документах организации по каждому из недопустимых рисков нарушения ИБ план, определяющий один из возможных способов обработки риска: - перенос риска на сторонние организации (например, путем страхования указанного риска); - уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска); - осознанное принятие риска; - формирование требований ИБ, снижающих риск до допустимого уровня, и формирование планов по их реализации?	обязательный							0,1814
М12.2	Согласованы ли планы обработки рисков нарушения ИБ с руководителем службы ИБ либо лицом, отвечающим в организации за обеспечение ИБ?	обязательный							0,1814
М12.3	Утверждены ли руководством организации планы обработки рисков нарушения ИБ?	обязательный							0,1814
М12.4	Содержат ли планы реализации требований ИБ последовательность и сроки реализации и внедрения организационных, технических и иных защитных мер?	обязательный							0,1702
М12.5	Определены ли в документах организации роли по разработке планов обработки рисков нарушения ИБ?	обязательный							0,1428
М12.6	Назначены ли ответственные за выполнение ролей по разработке планов обработки рисков нарушения ИБ?	обязательный							0,1428
Итоговая оценка группового показателя М12

Групповой показатель M13 "Определение/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М13.1	Проводится ли разработка и коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации, с учетом рекомендаций по стандартизации Банка России РС БР ИББС-2.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0"?	рекомендуемый	х	х	х	х			0,0406
М13.2	Разработана ли политика ИБ организации? Утверждена ли политика ИБ руководством?	обязательный							0,0628
М13.3	Корректируется ли политика ИБ организации?	обязательный							0,0557
М13.4	Разработаны ли частные политики ИБ организации?	обязательный							0,0580
М13.5	Корректируются ли частные политики ИБ организации?	обязательный							0,0557
М13.6	Разработаны ли в организации документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ?	обязательный							0,0510
М13.7	Корректируются ли в организации документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ?	обязательный							0,0489
М13.8	Определены ли в организации перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ?	обязательный							0,0407
М13.9	Определены ли в политике ИБ (частных политиках ИБ) организации: - цели и задачи обеспечения ИБ; - основные области обеспечения ИБ; - типы основных защищаемых информационных активов; - модели угроз и нарушителей; - совокупность правил, требований и руководящих принципов в области ИБ; - основные требования к обеспечению ИБ; - принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов; - основные принципы повышения уровня осознания и осведомленности в области ИБ; - принципы реализации и контроля выполнения требований политики ИБ?	обязательный							0,0510
М13.10	Корректируются ли в политике ИБ (частных политиках ИБ) организации: - цели и задачи обеспечения ИБ; - основные области обеспечения ИБ; - типы основных защищаемых информационных активов; - модели угроз и нарушителей; - совокупность правил, требований и руководящих принципов в области ИБ; - основные требования к обеспечению ИБ; - принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов; - основные принципы повышения уровня осознания и осведомленности в области ИБ; - принципы реализации и контроля выполнения требований политики ИБ?	обязательный							0,0486
М13.11	Разрабатываются ли внутренние документы, регламентирующие деятельность в области обеспечения ИБ на основе: - законодательства Российской Федерации; - комплекса БР ИББС, в частности требования 7-го и 8-го разделов стандарта СТО БР ИББС-1.0; - нормативных актов и предписаний регулирующих и надзорных органов; - договорных требований организации со сторонними организациями; - результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов)?	обязательный							0,0519
М13.12	Корректируются ли внутренние документы, регламентирующие деятельность в области обеспечения ИБ на основе: - законодательства Российской Федерации; - комплекса БР ИББС, в частности требования 7-го и 8-го разделов стандарта СТО БР ИББС-1.0; - нормативных актов и предписаний регулирующих и надзорных органов; - договорных требований организации со сторонними организациями; - результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов)?	обязательный							0,0510
М13.13	Содержит ли совокупность внутренних документов, регламентирующих деятельность в области обеспечения ИБ, требования по обеспечению ИБ всех выявленных информационных активов (типов информационных активов), находящихся в области действия СОИБ организации?	обязательный							0,0501
М13.14	Не противоречат ли документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, положениям политики ИБ и частных политик ИБ?	обязательный							0,0510
М13.15	Детализируют ли документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, положения политики ИБ и частных политик ИБ?	обязательный							0,0426
М13.16	Утвержден ли руководством организации порядок взаимодействия (координирования работы) службы ИБ с работниками, ответственными за обеспечение ИБ в структурных подразделениях организации (в случае наличия в структурных подразделениях организации работников, ответственных за обеспечение ИБ)?	обязательный							0,0354
М13.17	Определены ли в составе документов, регламентирующих деятельность в области обеспечения ИБ, перечень свидетельств выполнения указанной деятельности и ответственность работников организации за выполнение этой деятельности?	обязательный							0,0426
М13.18	Определены ли в документах организации процедуры выделения и распределения ролей в области обеспечения ИБ?	обязательный							0,0443
М13.19	Определен ли в документах организации порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,0406
М13.20	Определены ли в документах организации роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,0382
М13.21	Назначены ли ответственные за выполнение ролей по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,0393
Итоговая оценка группового показателя М13

Групповой показатель M14 "Принятие руководством организации БС РФ решений о реализации и эксплуатации СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М14.1	Оформлены ли документально и утверждены ли руководством решения о реализации и эксплуатации СОИБ, в частности решения: - об анализе и принятии остаточных рисков нарушения ИБ; - о планировании этапов внедрения СОИБ, в частности требований ИБ, изложенных в 7-м и 8-м разделах СТО БР ИББС-1.0; - о распределении ролей в области обеспечения ИБ организации; - о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований 7-го и 8-го разделов СТО БР ИББС-1.0 и снижение рисков ИБ; - о выделении ресурсов, необходимых для реализации и эксплуатации функционирования СОИБ?	обязательный							0,2752
М14.2	Утверждены ли руководством все планы внедрения СОИБ, в частности планы реализаций требований 7-го и 8-го разделов СТО БР ИББС-1.0, планы обработки рисков нарушения ИБ и внедрения защитных мер, в которых документально зафиксированы: - последовательность выполнения мероприятий в рамках указанных планов; - сроки начала и окончания запланированных мероприятий; - должностные лица (подразделения), ответственные за выполнение каждого указанного мероприятия?	обязательный							0,2812
М14.3	Определен ли документально порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ организации?	обязательный							0,2096
М14.4	Оформлены ли документально решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений в соответствии с положениями внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,2340
Итоговая оценка группового показателя М14

Групповой показатель M15 "Организация реализации планов внедрения СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М15.1	Определены ли в документах организации и выполняются ли проектирование/приобретение/ развертывание, внедрение, эксплуатация, контроль и сопровождение эксплуатации защитных мер (СИБ), предусмотренных планами реализации требований ИБ?	обязательный							0,2540
М15.2	Реализуются ли при построении элементов СИБ (применительно к конкретной области или сфере деятельности организации) защитные меры, применяемые к объектам среды, в соответствии с существующими в организации требованиями обеспечения ИБ, сформулированными в политике ИБ и других внутренних документах организации?	обязательный							0,2688
М15.3	Определены ли в документах организации роли, связанные с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер?	обязательный							0,2412
М15.4	Назначены ли ответственные за выполнение ролей, связанных с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер?	обязательный							0,2360
Итоговая оценка группового показателя М15

Групповой показатель M16 "Разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М16.1	Организована ли документально оформленная работа с персоналом организации в направлении повышения осведомленности и обучения в области ИБ, включая разработку и реализацию планов и программ обучения и повышения осведомленности в области ИБ и контроля результатов выполнения указанных планов? Утверждена ли руководством указанная работа?	обязательный							0,1898
М16.2	Установлены ли в планах обучения и повышения осведомленности требования к периодичности обучения и повышения осведомленности?	обязательный							0,1378
М16.3	Включена ли в программы обучения и повышения осведомленности информация: - по существующим политикам ИБ; - по применяемым в организации защитным мерам; - по правильному использованию защитных мер в соответствии с внутренними документами организации; - о значимости и важности деятельности работников для обеспечения ИБ организации?	обязательный							0,1536
М16.4	Определен ли в организации перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области ИБ, в частности: - документы (журналы), подтверждающие прохождение руководителями и работниками организации обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых; - документы, содержащие результаты проверок обучения работников организации; - документы, содержащие результаты проверок осведомленности в области ИБ в организации?	обязательный							0,1164
М16.5	Организуется ли для работника, получившего новую роль, обучение или инструктаж в области ИБ, соответствующий полученной роли?	обязательный							0,1396
М16.6	Определены ли в документах организации роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю их результатов?	обязательный							0,1290
М16.7	Назначены ли ответственные за выполнение ролей по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю их результатов?	обязательный							0,1338
Итоговая оценка группового показателя М16

Групповой показатель M17 "Организация обнаружения и реагирования на инциденты безопасности"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М17.1	Существуют ли в организации документы, регламентирующие процедуры обработки инцидентов, включающие: - процедуры обнаружения инцидентов ИБ; - процедуры информирования об инцидентах; - процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ; - процедуры реагирования на инцидент; - процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости - с участием внешних экспертов в области ИБ)?	обязательный							0,1372
М17.2	Сформирована и поддерживается ли в актуальном состоянии централизованная база инцидентов ИБ?	рекомендуемый	х	х	х	х			0,1152
М17.3	Определены ли в документах организации процедуры по хранению информации: - об инцидентах ИБ; - о практиках анализа инцидентов ИБ; - о результатах реагирования на инциденты ИБ?	обязательный							0,1152
М17.4	Определены ли в документах организации порядок действий работников организации при обнаружении нетипичных событий, связанных с ИБ, и порядок информирования о данных событиях?	обязательный							0,1124
М17.5	Осведомлены ли работники организации о порядке действий при обнаружении нетипичных событий, связанных с ИБ, и порядке информирования о данных событиях?	обязательный							0,1124
М17.6	Учитывают ли процедуры расследования инцидентов действующее законодательство Российской Федерации, положения нормативных актов Банка России, а также внутренних документов организации в области ИБ?	обязательный							0,0948
М17.7	Принимаются и выполняются ли в организации документально оформленные решения по всем выявленным инцидентам ИБ?	обязательный							0,1076
М17.8	Определены ли в документах организации роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ?	обязательный							0,1026
М17.9	Назначены ли ответственные за выполнение ролей по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ?	обязательный							0,1026
Итоговая оценка группового показателя М17

Групповой показатель M18 "Организация обеспечения непрерывности бизнеса и его восстановления после прерываний"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М18.1	Выделены ли в описи защищаемых информационных активов организации активы, существенные для обеспечения непрерывности бизнеса организации?	обязательный							0,0876
М18.2	Определены ли документально в организации требования обеспечения ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,0888
М18.3	Определен ли в документах организации план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания, содержащий инструкции и порядок действий работников организации, в состав которого включены: - условия активизации плана; - порядок действий, которые должны быть предприняты после инцидента ИБ (инструкции персонала); - процедуры восстановления; - процедуры тестирования и проверки плана; - план обучения и повышения осведомленности работников организации; - обязанности работников организации с указанием ответственных за выполнение каждого из положений плана?	обязательный							0,0907
М18.4	Основывается ли разработка планов обеспечения непрерывности бизнеса и его восстановления после прерываний на документально оформленных результатах оценки рисков нарушения ИБ организации применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,0673
М18.5	Определены ли документально, реализованы и эксплуатируются ли защитные меры обеспечения непрерывности бизнеса применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,0801
М18.6	Основываются ли реализация и использование защитных мер обеспечения непрерывности бизнеса и его восстановления после прерывания на соответствующих требованиях обеспечения ИБ?	обязательный							0,0758
М18.7	Согласован ли план обеспечения непрерывности бизнеса и его восстановления после прерываний с существующими в организации процедурами обработки инцидентов ИБ?	обязательный							0,0593
М18.8	Определено ли в документах организации и выполняется ли периодическое тестирование плана обеспечения непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,0550
М18.9	Составлен ли сценарий тестирования плана обеспечения непрерывности бизнеса и его восстановления после прерывания с учетом существующей в организации модели угроз и нарушителей, а также результатов оценки рисков?	обязательный							0,0587
М18.10	Проводится ли при необходимости корректировка плана обеспечения непрерывности бизнеса и его восстановления после прерывания по результатам тестирования?	обязательный							0,0699
М18.11	Реализована ли в организации программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний?	обязательный							0,0593
М18.12	Определены ли в документах организации и выполняются ли процедуры регулярного пересмотра и обновления плана обеспечения непрерывности бизнеса и его восстановления после прерывания (для обеспечения уверенности в их эффективности), учитывающие изменения в приоритетах, целях и интересах бизнеса организации; пересмотр моделей угроз; оценку рисков нарушения ИБ?	обязательный							0,0717
М18.13	Определены ли в документах организации роли по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,0679
М18.14	Назначены ли ответственные за выполнение ролей по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,0679
Итоговая оценка группового показателя М18

Групповой показатель M19 "Мониторинг и контроль защитных мер"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М19.1	Определены ли в документах организации процедуры мониторинга СОИБ и контроля защитных мер, которые охватывают все реализованные и эксплуатируемые защитные меры, входящие в СИБ, проводятся персоналом организации, ответственным за обеспечение ИБ?	обязательный							0,1482
М19.2	Фиксируются ли документально результаты выполнения процедур мониторинга СОИБ и контроля защитных мер?	обязательный							0,1352
М19.3	Определены ли в документах организации и выполняются ли процедуры сбора и хранения информации о действиях работников организации, событиях и параметрах, имеющих отношение к функционированию защитных мер?	обязательный							0,1068
М19.4	Включается ли в базу данных инцидентов информация обо всех инцидентах ИБ, выявленных в процессе мониторинга СОИБ и контроля защитных мер?	обязательный							0,1352
М19.5	Подвергаются ли процедуры мониторинга СОИБ и контроля защитных мер регулярным и документально зафиксированным пересмотрам в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ?	обязательный							0,1312
М19.6	Определен ли в документах организации порядок пересмотра процедур мониторинга СОИБ и контроля защитных мер?	обязательный							0,1066
М19.7	Определены ли в документах организации роли, связанные с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также с пересмотром указанных процедур?	обязательный							0,1184
М19.8	Назначены ли ответственные за выполнение ролей, связанных с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также с пересмотром указанных процедур?	обязательный							0,1184
Итоговая оценка группового показателя М19

Групповой показатель M20 "Проведение самооценки ИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М20.1	Проводится ли самооценка ИБ в соответствии с настоящим стандартом?	обязательный							0,1340
М20.2	Организован ли порядок проведения самооценки ИБ в соответствии с рекомендациями по стандартизации Банка России РС БР ИББС-2.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0"?	рекомендуемый	х	х	х	х			0,1118
М20.3	Определена ли в документах организации и реализована ли программа самооценок ИБ, содержащая информацию, необходимую для планирования и организации самооценок ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных самооценок ИБ в заданные сроки?	обязательный							0,1026
М20.4	Определены ли в документах организации: - порядок формирования, сбора и хранения свидетельств самооценки ИБ; - периодичность проведения самооценки ИБ; - порядок хранения и использования результатов самооценки ИБ?	обязательный							0,1098
М20.5	Оформлен ли в документах организации для каждой проводимой в организации самооценки ИБ план ее проведения, определяющий: - цель самооценки ИБ; - объекты и деятельность, подвергающиеся самооценке ИБ; - порядок и сроки выполнения мероприятий самооценки ИБ; - распределение ролей среди работников организации, связанных с проведением самооценки ИБ?	обязательный							0,0978
М20.6	Подготавливаются ли по результатам самооценок ИБ отчеты?	обязательный							0,1150
М20.7	Доводятся ли результаты самооценок ИБ и соответствующие отчеты до руководства организации?	обязательный							0,1262
М20.8	Определены ли в документах организации роли, связанные с выполнением программы самооценок ИБ?	обязательный							0,1014
М20.9	Назначены ли ответственные за выполнение ролей, связанных с выполнением программы самооценок ИБ?	обязательный							0,1014
Итоговая оценка группового показателя М20

Групповой показатель M21 "Проведение аудита ИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М21.1	Проводится ли аудит ИБ организации в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" и настоящего стандарта?	обязательный							0,1192
М21.2	Определена ли в документах организации и реализуется ли программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки?	обязательный							0,0974
М21.3	Оформлен ли в документах организации для каждого проводимого в организации аудита ИБ план аудита, определяющий: - цель аудита ИБ; - критерии аудита ИБ; - область аудита ИБ; - дату и продолжительность проведения аудита ИБ; - состав аудиторской группы; - описание деятельности и мероприятий по проведению аудита ИБ; - распределение ресурсов при проведении аудита ИБ?	обязательный							0,1112
М21.4	Оформлены ли договоры с аудиторскими организациями и определены ли в соответствующих документах: - порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудита ИБ; - порядок взаимодействия с аудиторской организацией в процессе проведения аудита ИБ; - порядок взаимодействия аудиторской группы и руководства, позволяющий представителям аудиторской группы при необходимости непосредственно обращаться к руководству; - порядок организации опроса работников; - порядок организации наблюдения за деятельностью работников организации со стороны представителей аудиторской организации?	обязательный							0,1246
М21.5	Подготавливаются ли по результатам аудитов ИБ отчеты?	обязательный							0,1186
М21.6	Доводятся ли результаты аудитов ИБ и соответствующие отчеты до руководства организации?	обязательный							0,1312
М21.7	Определен ли в документах организации порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудитов, в частности отчетов аудитов?	обязательный							0,0886
М21.8	Определены ли в документах организации роли, связанные с организацией выполнения программ аудитов и планов отдельных аудитов?	обязательный							0,1046
М21.9	Назначены ли ответственные за выполнение ролей, связанных с организацией выполнения программ аудитов и планов отдельных внешних аудитов?	обязательный							0,1046
Итоговая оценка группового показателя М21

Групповой показатель M22 "Анализ функционирования СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М22.1	Проводится ли в организации анализ функционирования СОИБ, использующий в том числе: - результаты мониторинга СОИБ и контроля защитных мер; - сведения об инцидентах ИБ; - результаты проведения аудитов ИБ, самооценок ИБ; - данные об угрозах, возможных нарушителях и уязвимостях ИБ; - данные об изменениях внутри организации, например данные об изменениях в процессах и технологиях, реализуемых в рамках основного процессного потока, изменениях во внутренних документах организации; - данные об изменениях вне организации, например данные об изменениях в законодательстве Российской Федерации, изменениях в требованиях комплекса БР ИББС, изменениях в договорных обязательствах организации?	обязательный							0,1274
М22.2	Проводится ли анализ соответствия комплекса внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации, требованиям законодательства РФ, требованиям стандартов Банка России, контрактным требованиям организации?	обязательный							0,1058
М22.3	Проводится ли анализ соответствия внутренних документов нижних уровней иерархии, регламентирующих деятельность по обеспечению ИБ в организации, требованиям политик ИБ организации?	обязательный							0,1002
М22.4	Проводится ли оценка рисков в области ИБ организации, включая оценку уровня остаточного и допустимого рисков?	обязательный							0,0946
М22.5	Проводится ли проверка адекватности модели угроз организации существующим угрозам ИБ?	обязательный							0,0946
М22.6	Проводится ли оценка адекватности используемых защитных мер требованиям внутренних документов организации и результатам оценки рисков?	обязательный							0,0930
М22.7	Проводится ли анализ отсутствия разрывов в технологических процессах обеспечения ИБ, а также несогласованности в использовании защитных мер?	обязательный							0,0822
М22.8	Документируются ли результаты анализа функционирования СОИБ?	обязательный							0,1026
М22.9	Определены ли в документах организации роли, связанные с процедурами анализа функционирования СОИБ?	обязательный							0,0998
М22.10	Назначены ли ответственные за выполнение ролей, связанных с процедурами анализа функционирования СОИБ?	обязательный							0,0998
Итоговая оценка группового показателя М22

Групповой показатель M23 "Анализ СОИБ со стороны руководства организации БС РФ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М23.1	Утвержден ли в организации перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ?	обязательный							0,1376
М23.2	Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, отчеты с результатами: - мониторинга СОИБ и контроля защитных мер; - анализа функционирования СОИБ; - аудитов ИБ; - самооценок ИБ?	обязательный							0,1464
М23.3	Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, документы, содержащие информацию: - о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ; - о новых выявленных уязвимостях и угрозах ИБ; - о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленных руководством; - об изменениях, которые могли бы повлиять на организацию СОИБ, например изменения в законодательстве Российской Федерации и(или) в положениях стандартов Банка России; - о выявленных инцидентах ИБ?	обязательный							0,1318
М23.4	Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнение планов обработки рисков?	обязательный							0,1154
М23.5	Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,1228
М23.6	Определен ли в организации и утвержден ли руководством план выполнения деятельности по контролю и анализу СОИБ, содержащий, в частности, положения по проведению совещаний на уровне руководства, на которых в том числе производятся поиск и анализ проблем ИБ, влияющих на бизнес организации?	обязательный							0,1104
М23.7	Определены ли в документах организации роли, связанные с подготовкой информации, необходимой для анализа СОИБ руководством?	обязательный							0,1178
М23.8	Назначены ли ответственные за выполнение ролей, связанных с подготовкой информации, необходимой для анализа СОИБ руководством?	обязательный							0,1178
Итоговая оценка группового показателя М23

Групповой показатель M24 "Принятие решений по тактическим улучшениям СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М24.1	Рассматриваются ли при принятии решений, связанных с тактическими улучшениями СОИБ, документально оформленные результаты: - аудитов ИБ; - самооценок ИБ; - мониторинга СОИБ и контроля защитных мер; - анализа функционирования СОИБ; - обработки инцидентов ИБ; - выявления новых угроз и уязвимостей ИБ; - оценки рисков; - анализа перечня защитных мер, возможных для применения; - стратегических улучшений СОИБ; - анализа СОИБ со стороны руководства; - анализа успешных практик в области ИБ (собственных или других организаций)?	обязательный							0,1354
М24.2	Оформляются ли документально решения по тактическим улучшениям СОИБ, содержащие либо выводы об отсутствии необходимости тактических улучшений СОИБ, либо направления тактических улучшений СОИБ?	обязательный							0,1354
М24.3	Формируются ли направления тактических улучшений СОИБ в виде корректирующих и превентивных действий?	обязательный							0,1216
М24.4	Определены ли в документах организации планы реализации тактических улучшений СОИБ?	обязательный							0,1354
М24.5	Существуют ли в организации документы, в которых фиксируются результаты выполнения планов реализации тактических улучшений СОИБ?	обязательный							0,1272
М24.6	Санкционирует и контролирует ли руководство службы ИБ организации деятельность, связанную с реализацией тактических улучшений СОИБ?	обязательный							0,1300
М24.7	Определены ли в документах организации и выполняются ли процедуры согласования и информирования заинтересованных сторон о тактических улучшениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям ИБ? Фиксируются ли результаты выполнения указанных процедур?	обязательный							0,0934
М24.8	Назначаются ли ответственные за реализацию решений по тактическим улучшениям СОИБ?	обязательный							0,1216
Итоговая оценка группового показателя М24

Групповой показатель M25 "Принятие решений по стратегическим улучшениям СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М25.1	Рассматриваются ли при принятии решений, связанных со стратегическими улучшениями СОИБ, документально оформленные результаты: - аудитов ИБ; - самооценок ИБ; - мониторинга СОИБ и контроля защитных мер; - анализа функционирования СОИБ; - обработки инцидентов ИБ; - выявления новых информационных активов организации или их типов; - выявления новых угроз и уязвимостей ИБ; - оценки рисков; - пересмотра основных рисков ИБ; - анализа СОИБ со стороны руководства; - анализа успешных практик в области ИБ (собственных или других организаций)?	обязательный							0,1130
М25.2	Рассматриваются ли при принятии решений, связанных со стратегическими улучшениями СОИБ, изменения интересов, целей и задач бизнеса организации, контрактных обязательств организации, а также изменения в законодательстве РФ и нормативных актах Банка России?	обязательный							0,1058
М25.3	Оформляются ли документально решения по стратегическим улучшениям СОИБ, содержащие либо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо направления стратегических улучшений СОИБ?	обязательный							0,0984
М25.4	Формируются ли направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например: - уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ (частных политик ИБ) организации; - изменения в области действия СОИБ; - уточнение описи типов информационных активов; - пересмотр моделей угроз и нарушителей; - изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ?	обязательный							0,0984
М25.5	Определены ли в документах организации планы реализации стратегических улучшений СОИБ?	обязательный							0,1016
М25.6	Существуют ли в организации документы, в которых фиксируются результаты выполнения планов реализации стратегических улучшений СОИБ?	обязательный							0,0962
М25.7	Санкционирует и контролирует ли руководство организации деятельность, связанную с реализацией стратегических улучшений СОИБ?	обязательный							0,1108
М25.8	В случае стратегических улучшений СОИБ выполняется ли деятельность по реализации соответствующих тактических улучшений СОИБ для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов, в частности, выполняются ли: - выработка планов тактических улучшений СОИБ; - уточнение планов обработки рисков; - уточнение программы внедрения защитных мер; - уточнение процедур использования защитных мер?	обязательный							0,1058
М25.9	Определены ли в документах организации и выполняются ли процедуры согласования и информирования заинтересованных сторон о стратегических улучшениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям ИБ? Фиксируются ли документально результаты выполнения указанных процедур?	обязательный							0,0822
М25.10	Назначаются ли ответственные за реализацию решений по стратегическим улучшениям СОИБ?	обязательный							0,0878
Итоговая оценка группового показателя М25

Групповой показатель M26 "Оценка деятельности руководства организации БС РФ по поддержке функционирования службы ИБ организации БС РФ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М26.1 (аналог М9.1)	Сформирована ли руководством служба ИБ (назначено ли уполномоченное лицо) для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ, утверждены ли цели и задачи ее деятельности?	обязательный							0,0816
М26.2 (аналог М9.2)	Имеет ли служба ИБ утвержденные руководством полномочия и ресурсы, необходимые для выполнения установленных целей и задач?	обязательный							0,0753
М26.3 (аналог М9.3)	Имеет ли служба ИБ назначенного из числа руководства куратора, который при этом не является куратором службы информатизации (автоматизации)?	обязательный							0,0750
М26.4 (аналог М9.4)	Наделена ли служба ИБ собственным бюджетом?	рекомендуемый	х	х	х	х			0,0530
М26.5 (аналог М9.5)	Сформированы ли для организаций, имеющих сеть филиалов или региональных представительств, подразделения ИБ (уполномоченные лица) на местах и обеспечены ли эти подразделения необходимыми ресурсами и нормативной базой?	рекомендуемый	х	х	х	х			0,0615
М26.6 (аналог М9.6)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями организовывать составление и контролировать выполнение всех планов по обеспечению ИБ организации?	обязательный							0,0694
М26.7 (аналог М9.7)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями разрабатывать и вносить предложения по изменению политик ИБ организации?	обязательный							0,0725
М26.8 (аналог М9.8)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями организовывать изменения существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,0725
М26.9 (аналог М9.9)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями определять требования к мерам обеспечения ИБ организации?	обязательный							0,0781
М26.10 (аналог М9.10)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями контролировать работников организации в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым информационным активам?	обязательный							0,0725
М26.11 (аналог М9.11)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями осуществлять мониторинг событий, связанных с обеспечением ИБ?	обязательный							0,0725
М26.12 (аналог М9.12)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в расследовании событий, связанных с инцидентами ИБ, и выходить в случае необходимости с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД (например, нарушивших требования инструкций, руководств по обеспечению ИБ организации)?	обязательный							0,0787
М26.13 (аналог М9.13)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий?	обязательный							0,0587
М26.14 (аналог М9.14)	Наделена ли служба ИБ (уполномоченное лицо) полномочиями участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ организации?	обязательный							0,0787
Итоговая оценка группового показателя М26

Групповой показатель M27 "Оценка деятельности руководства организации БС РФ по принятию решений о реализации и эксплуатации СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М27.1 (аналог М14.1)	Оформлены ли документально и утверждены ли руководством решения о реализации и эксплуатации СОИБ, в частности решения: - об анализе и принятии остаточных рисков нарушения ИБ; - о планировании этапов внедрения СОИБ, в частности требований ИБ, изложенных в 7-м и 8-м разделах СТО БР ИББС-1.0; - о распределении ролей в области обеспечения ИБ организации; - о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований 7-го и 8-го разделов СТО БР ИББС-1.0 и снижение рисков ИБ; - о выделении ресурсов, необходимых для реализации и эксплуатации функционирования СОИБ?	обязательный							0,2752
М27.2 (аналог М14.2)	Утверждены ли руководством все планы внедрения СОИБ, в частности планы реализаций требований 7-го и 8-го разделов СТО БР ИББС-1.0, планы обработки рисков нарушения ИБ и внедрения защитных мер, в которых документально зафиксированы: - последовательность выполнения мероприятий в рамках указанных планов; - сроки начала и окончания запланированных мероприятий; - должностные лица (подразделения), ответственные за выполнение каждого указанного мероприятия?	обязательный							0,2812
М27.3 (аналог М14.3)	Определен ли документально порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ организации?	обязательный							0,2096
М27.4 (аналог М14.4)	Оформлены ли документально решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений в соответствии с положениями внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,2340
Итоговая оценка группового показателя М27

Групповой показатель M28 "Оценка деятельности руководства организации БС РФ по поддержке планирования СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М28.1 (аналог М10.1)	Определена ли в документах организации и корректируется ли опись структурированных по классам защищаемых информационных активов (типов информационных активов - типов информации)?	обязательный							0,0386
М28.2 (аналог М10.6)	Определены ли в документах организации роли по определению/коррекции области действия СОИБ и по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ?	обязательный							0,0364
М28.3 (аналог М10.7)	Назначены ли в организации ответственные за выполнение ролей по определению/коррекции области действия СОИБ и по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ?	обязательный							0,0364
М28.4 (аналог М11.1)	Принята ли в организации и корректируется ли методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ?	обязательный							0,0386
М28.5 (аналог М11.2)	Определены ли в организации критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ?	обязательный							0,0386
М28.6 (аналог М11.4)	Определяет ли порядок оценки рисков нарушения ИБ необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения?	обязательный							0,0345
М28.7 (аналог М11.9)	Определены ли в документах организации роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ / подхода к оценке риска нарушения ИБ?	обязательный							0,0364
М28.8 (аналог М11.10)	Назначены ли ответственные за выполнение ролей, связанных с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ / подхода к оценке риска нарушения ИБ?	обязательный							0,0364
М28.9 (аналог М11.11)	Определены ли в документах организации роли по оценке рисков нарушения ИБ?	обязательный							0,0345
М28.10 (аналог М11.12)	Назначены ли ответственные за выполнение ролей по оценке рисков нарушения ИБ?	обязательный							0,0345
М28.11 (аналог М12.3)	Утверждены ли руководством организации планы обработки рисков нарушения ИБ?	обязательный							0,0364
М28.12 (аналог М12.5)	Определены ли в документах организации роли по разработке планов обработки рисков нарушения ИБ?	обязательный							0,0345
М28.13 (аналог М12.6)	Назначены ли ответственные за выполнение ролей по разработке планов обработки рисков нарушения ИБ?	обязательный							0,0364
М28.14 (аналог М13.2)	Разработана ли политика ИБ организации? Утверждена ли политика ИБ руководством?	обязательный							0,0408
М28.15 (аналог М13.3)	Корректируется ли политика ИБ организации?	обязательный							0,0386
М28.16 (аналог М13.4)	Разработаны ли частные политики ИБ организации?	обязательный							0,0408
М28.17 (аналог М13.5)	Корректируются ли частные политики ИБ организации?	обязательный							0,0364
М28.18 (аналог М13.9)	Определены ли в политике ИБ (частных политиках ИБ) организации: - цели и задачи обеспечения ИБ; - основные области обеспечения ИБ; - типы основных защищаемых информационных активов; - модели угроз и нарушителей; - совокупность правил, требований и руководящих принципов в области ИБ; - основные требования к обеспечению ИБ; - принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов; - основные принципы повышения уровня осознания и осведомленности в области ИБ; - принципы реализации и контроля выполнения требований политики ИБ?	обязательный							0,0386
М28.19 (аналог М13.10)	Корректируются ли в политике ИБ (частных политиках ИБ) организации: - цели и задачи обеспечения ИБ; - основные области обеспечения ИБ; - типы основных защищаемых информационных активов; - модели угроз и нарушителей; - совокупность правил, требований и руководящих принципов в области ИБ; - основные требования к обеспечению ИБ; - принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов; - основные принципы повышения уровня осознания и осведомленности в области ИБ; - принципы реализации и контроля выполнения требований политики ИБ?	обязательный							0,0364
М28.20 (аналог М13.11)	Разрабатываются ли внутренние документы, регламентирующие деятельность в области обеспечения ИБ на основе: - законодательства Российской Федерации; - комплекса БР ИББС, в частности требования 7-го и 8-го разделов стандарта СТО БР ИББС-1.0; - нормативных актов и предписаний регулирующих и надзорных органов; - договорных требований организации со сторонними организациями; - результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов)?	обязательный							0,0408
М28.21 (аналог М13.12)	Корректируются ли внутренние документы, регламентирующие деятельность в области обеспечения ИБ на основе: - законодательства Российской Федерации; - комплекса БР ИББС, в частности требования 7-го и 8-го разделов стандарта СТО БР ИББС-1.0; - нормативных актов и предписаний регулирующих и надзорных органов; - договорных требований организации со сторонними организациями; - результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов)?	обязательный							0,0386
М28.22 (аналог М13.16)	Утвержден ли руководством организации порядок взаимодействия (координирования работы) службы ИБ с работниками, ответственными за обеспечение ИБ в структурных подразделениях организации (в случае наличия в структурных подразделениях организации работников, ответственных за обеспечение ИБ)?	обязательный							0,0345
М28.23 (аналог М13.18)	Определены ли в документах организации процедуры выделения и распределения ролей в области обеспечения ИБ?	обязательный							0,0345
М28.24 (аналог М13.20)	Определены ли в документах организации роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,0386
М28.25 (аналог М13.21)	Назначены ли ответственные за выполнение ролей по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ организации?	обязательный							0,0364
М28.26 (аналог М15.3)	Определены ли в документах организации роли, связанные с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер?	обязательный							0,0364
М28.27 (аналог М15.4)	Назначены ли ответственные за выполнение ролей, связанных с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер?	обязательный							0,0364
Итоговая оценка группового показателя М28

Групповой показатель M29 "Оценка деятельности руководства организации БС РФ по поддержке реализации СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М29.1 (аналог М16.1)	Организована ли документально оформленная работа с персоналом организации в направлении повышения осведомленности и обучения в области ИБ, включая разработку и реализацию планов и программ обучения и повышения осведомленности в области ИБ и контроля результатов выполнения указанных планов? Утверждена ли руководством указанная работа?	обязательный							0,1442
М29.2 (аналог М16.6)	Определены ли в документах организации роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю их результатов?	обязательный							0,1024
М29.3 (аналог М16.7)	Назначены ли ответственные за выполнение ролей по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю их результатов?	обязательный							0,1024
М29.4 (аналог М17.8)	Определены ли в документах организации роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ?	обязательный							0,1404
М29.5 (аналог М17.9)	Назначены ли ответственные за выполнение ролей по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ?	обязательный							0,1268
М29.6 (аналог М18.3)	Определен ли в документах организации план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания, содержащий инструкции и порядок действий работников организации, в состав которого включены: - условия активизации плана; - порядок действий, которые должны быть предприняты после инцидента ИБ (инструкции персонала); - процедуры восстановления; - процедуры тестирования и проверки плана; - план обучения и повышения осведомленности работников организации; - обязанности работников организации с указанием ответственных за выполнение каждого из положений плана?	обязательный							0,1442
М29.7 (аналог М18.13)	Определены ли в документах организации роли по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,1198
М29.8 (аналог М18.14)	Назначены ли ответственные за выполнение ролей по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,1198
Итоговая оценка группового показателя М29

Групповой показатель M30 "Оценка деятельности руководства организации БС РФ по поддержке проверки СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М30.1 (аналог М19.7)	Определены ли в документах организации роли, связанные с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также с пересмотром указанных процедур?	обязательный							0,0921
М30.2 (аналог М19.8)	Назначены ли ответственные за выполнение ролей, связанных с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также с пересмотром указанных процедур?	обязательный							0,0921
М30.3 (аналог М20.3)	Определена ли в документах организации и реализована ли программа самооценок ИБ, содержащая информацию, необходимую для планирования и организации самооценок ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных самооценок ИБ в заданные сроки?	обязательный							0,0848
М30.4 (аналог М20.7)	Доводятся ли результаты самооценок ИБ и соответствующие отчеты до руководства организации?	обязательный							0,0943
М30.5 (аналог М20.8)	Определены ли в документах организации роли, связанные с выполнением программы самооценок ИБ?	обязательный							0,0734
М30.6 (аналог М20.9)	Назначены ли ответственные за выполнение ролей, связанных с выполнением программы самооценок ИБ?	обязательный							0,0734
М30.7 (аналог М21.2)	Определена ли в документах организации и реализована ли программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки?	обязательный							0,0808
М30.8 (аналог М21.6)	Доводятся ли результаты аудитов ИБ и соответствующие отчеты до руководства организации?	обязательный							0,0969
М30.9 (аналог М21.8)	Определены ли в документах организации роли, связанные с организацией выполнения программ аудитов и планов отдельных аудитов?	обязательный							0,0805
М30.10 (аналог М21.9)	Назначены ли ответственные за выполнение ролей, связанных с организацией выполнения программ аудитов и планов отдельных внешних аудитов?	обязательный							0,0805
М30.11 (аналог М22.9)	Определены ли в документах организации роли, связанные с процедурами анализа функционирования СОИБ?	обязательный							0,0756
М30.12 (аналог М22.10)	Назначены ли ответственные за выполнение ролей, связанных с процедурами анализа функционирования СОИБ?	обязательный							0,0756
Итоговая оценка группового показателя М30

Групповой показатель M31 "Оценка деятельности руководства организации БС РФ по анализу СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М31.1 (аналог М23.1)	Утвержден ли в организации перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ?	обязательный							0,1376
М31.2 (аналог М23.2)	Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, отчеты с результатами: - мониторинга СОИБ и контроля защитных мер; - анализа функционирования СОИБ; - аудитов ИБ; - самооценок ИБ?	обязательный							0,1464
М31.3 (аналог М23.3)	Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, документы, содержащие информацию: - о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ; - о новых выявленных уязвимостях и угрозах ИБ; - о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленных руководством; - об изменениях, которые могли бы повлиять на организацию СОИБ, например изменения в законодательстве Российской Федерации и(или) в положениях стандартов Банка России; - о выявленных инцидентах ИБ?	обязательный							0,1318
М31.4 (аналог М23.4)	Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнение планов обработки рисков?	обязательный							0,1154
М31.5 (аналог М23.5)	Входят ли в перечень документов, необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ, документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания?	обязательный							0,1228
М31.6 (аналог М23.6)	Определен ли в организации и утвержден ли руководством план выполнения деятельности по контролю и анализу СОИБ, содержащий, в частности, положения по проведению совещаний на уровне руководства, на которых в том числе производятся поиск и анализ проблем ИБ, влияющих на бизнес организации?	обязательный							0,1104
М31.7 (аналог М23.7)	Определены ли в документах организации роли, связанные с подготовкой информации, необходимой для анализа СОИБ руководством?	обязательный							0,1178
М31.8 (аналог М23.8)	Назначены ли ответственные за выполнение ролей, связанных с подготовкой информации, необходимой для анализа СОИБ руководством?	обязательный							0,1178
Итоговая оценка группового показателя М31

Групповой показатель M32 "Оценка деятельности руководства по поддержке совершенствования СОИБ"

Обозначение частного показателя ИБ	Частный показатель ИБ	Обязательность выполнения	Оценка частного показателя ИБ						Коэффициент значимости частного показателя ИБ	Вычисленное значение показателя ИБ
			0	0,25	0,5	0,75	1	н/о
М32.1 (аналог М24.6)	Санкционирует и контролирует ли руководство службы ИБ организации деятельность, связанную с реализацией тактических улучшений СОИБ?	обязательный							0,2560
М32.2 (аналог М24.8)	Назначаются ли ответственные за реализацию решений по тактическим улучшениям СОИБ?	обязательный							0,2248
М32.3 (аналог М25.7)	Санкционирует и контролирует ли руководство организации деятельность, связанную с реализацией стратегических улучшений СОИБ?	обязательный							0,2816
М32.4 (аналог М25.10)	Назначаются ли ответственные за реализацию решений по стратегическим улучшениям СОИБ?	обязательный							0,2376
Итоговая оценка группового показателя М32