Показатели информационной безопасности. Групповой показатель М10 "Определение/коррекция области действия СОИБ" (обязательная форма)
Приложение A к Стандарту Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации СТО БР ИББС-1.2-2009
(обязательное)
Групповой показатель М10 "Определение/коррекция области
действия СОИБ"
---------------T----------------------------------T---------------T---------------------------------T------------T------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного показателя ИБ ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения +----T-----T-----T-----T----T-----+ значимости ¦ значение ¦
¦показателя ИБ ¦ ¦ ¦ 0 ¦0,25 ¦ 0,5 ¦0,75 ¦ 1 ¦ н/о ¦ частного ¦ показателя ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М10.1 ¦Определена ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1956 ¦ ¦
¦ ¦организации и корректируется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦опись структурированных по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦классам защищаемых информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов - типов информации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М10.2 ¦Проводится ли классификация ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,1614 ¦ ¦
¦ ¦информационных активов по типам ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦на основании оценок ценности ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов для ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦интересов (целей) организации, ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦например, в соответствии с ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦тяжестью последствий потери ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦свойств ИБ информационных ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦активов? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М10.3 ¦Содержит ли опись информационных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦активов информацию о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦принадлежности конкретного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационного актива к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выделенным типам информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (в случае наличия в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М10.4 ¦Содержит ли опись информационных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1098 ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов) перечень их объектов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦среды, покрывающий все уровни ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационной инфраструктуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, определенной в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разделе 6 стандарта СТО БР ИББС- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦1.0? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М10.5 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1276 ¦ ¦
¦ ¦организации процедуры анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотра области действия СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(в частности, процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотра при изменении перечня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации или типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М10.6 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦организации роли по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М10.7 ¦Назначены ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ответственные за выполнение ролей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦Итоговая оценка группового показателя М10 ¦ ¦
L----------------------------------------------------------------------------------------------------------------+-------------
