Показатели информационной безопасности. Групповой показатель М1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу" (обязательная форма)
Приложение A к Стандарту Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации СТО БР ИББС-1.2-2009
(обязательное)
ПОКАЗАТЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Групповой показатель М1 "Обеспечение информационной
безопасности при назначении и распределении ролей
и обеспечении доверия к персоналу"
---------------T----------------------------------T---------------T---------------------------------T------------T------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного показателя ИБ ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения +----T-----T-----T-----T----T-----+ значимости ¦ значение ¦
¦показателя ИБ ¦ ¦ ¦ 0 ¦0,25 ¦ 0,5 ¦0,75 ¦ 1 ¦ н/о ¦ частного ¦ показателя ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.1 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0581 ¦ ¦
¦ ¦организации роли ее работников? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.2 ¦Формируются ли роли, связанные с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0291 ¦ ¦
¦ ¦выполнением деятельности по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ, на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требований разделов 7 и 8 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стандарта СТО БР ИББС-1.0? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.3 ¦Персонифицированы ли роли в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0502 ¦ ¦
¦ ¦организации с установлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственности за их выполнение? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.4 ¦Зафиксирована ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0461 ¦ ¦
¦ ¦должностных инструкциях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственность за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ролей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.5 ¦Отсутствуют ли в организации ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0522 ¦ ¦
¦ ¦роли, совмещающие функции ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦разработки и сопровождения ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦системы/ПО? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.6 ¦Отсутствуют ли в организации ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0610 ¦ ¦
¦ ¦роли, совмещающие функции ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦разработки и эксплуатации ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦системы/ПО? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.7 ¦Отсутствуют ли в организации ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0522 ¦ ¦
¦ ¦роли, совмещающие функции ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦сопровождения и эксплуатации? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.8 ¦Отсутствуют ли в организации ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0661 ¦ ¦
¦ ¦роли, совмещающие функции ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦администратора системы и ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦администратора информационной ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦безопасности? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.9 ¦Отсутствуют ли в организации ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0661 ¦ ¦
¦ ¦роли, совмещающие функции по ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦выполнению операций в системе и ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦контроля их выполнения? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.10 ¦Определены ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1001 ¦ ¦
¦ ¦организации и выполняются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедуры контроля деятельности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников, обладающих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совокупностью полномочий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(ролями), позволяющих получить ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроль над защищаемым ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационным активом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.11 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0513 ¦ ¦
¦ ¦организации процедуры приема на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работу, влияющую на обеспечение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, включающие: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- проверку подлинности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предоставленных документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦заявляемой квалификации, точности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и полноты биографических навыков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- проверку в части ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦профессиональных навыков и оценку ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦профессиональной пригодности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.12 ¦Предусматривают ли указанные в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0371 ¦ ¦
¦ ¦частном показателе М1.11 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедуры документальную фиксацию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результатов проводимых проверок? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.13 ¦Определены ли в документах ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0302 ¦ ¦
¦ ¦организации процедуры регулярной ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦проверки в части профессиональных ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦навыков и оценки профессиональной ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦пригодности работников? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.14 ¦Предусматривают ли указанные в ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0302 ¦ P ¦
¦ ¦частном показателе М1.13 ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦процедуры документальную фиксацию ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦результатов проводимых проверок? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.15 ¦Определены ли в документах ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0433 ¦ ¦
¦ ¦организации процедуры внеплановой ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦проверки работников при выявлении ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦фактов их нештатного поведения, ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦участия в инцидентах ИБ или ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦подозрений в таком поведении или ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦участии? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.16 ¦Предусматривают ли указанные в ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0391 ¦ ¦
¦ ¦частном показателе М1.15 ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦процедуры документальную фиксацию ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦результатов проводимых проверок? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.17 ¦Обязаны ли все работники ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0383 ¦ ¦
¦ ¦организации давать письменные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обязательства о соблюдении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦конфиденциальности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦приверженности правилам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦корпоративной этики, включая ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования по недопущению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦конфликта интересов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.18 ¦Регламентируются ли положениями, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0449 ¦ ¦
¦ ¦включенными в договоры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(соглашения) с внешними ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организациями и клиентами, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования по ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.19 ¦Определены ли в трудовых ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0582 ¦ ¦
¦ ¦контрактах (соглашениях, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦договорах) и (или) должностных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инструкциях обязанности персонала ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по выполнению требований ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М1.20 ¦Приравнивается ли невыполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0462 ¦ ¦
¦ ¦работниками организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требований ИБ к невыполнению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦должностных обязанностей и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦приводит ли как минимум к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦дисциплинарной ответственности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦Итоговая оценка группового показателя М1 ¦ ¦
L----------------------------------------------------------------------------------------------------------------+-------------
