Показатели информационной безопасности. Групповой показатель М16 "Разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ" (обязательная форма)
Приложение A к Стандарту Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации СТО БР ИББС-1.2-2009
(обязательное)
Групповой показатель М16 "Разработка
и организация реализации программ по обучению и повышению
осведомленности в области ИБ"
---------------T----------------------------------T---------------T---------------------------------T------------T------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного показателя ИБ ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения +----T-----T-----T-----T----T-----+ значимости ¦ значение ¦
¦показателя ИБ ¦ ¦ ¦ 0 ¦0,25 ¦ 0,5 ¦0,75 ¦ 1 ¦ н/о ¦ частного ¦ показателя ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М16.1 ¦Организована ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1898 ¦ ¦
¦ ¦оформленная работа с персоналом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации в направлении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦повышения осведомленности и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обучения в области ИБ, включая ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разработку и реализацию планов и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программ обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля результатов выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦указанных планов? Утверждена ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством указанная работа? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М16.2 ¦Установлены ли в планах обучения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1378 ¦ ¦
¦ ¦и повышения осведомленности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования к периодичности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М16.3 ¦Включена ли в программы обучения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1536 ¦ ¦
¦ ¦и повышения осведомленности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информация: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- по существующим политикам ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- по применяемым в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитным мерам; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- по правильному использованию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренними документами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о значимости и важности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности работников для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М16.4 ¦Определен ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1164 ¦ ¦
¦ ¦перечень документов, являющихся ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦свидетельством выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программ обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦частности: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- документы (журналы), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подтверждающие прохождение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководителями и работниками ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации обучения в области ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦с указанием уровня образования, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦навыков, опыта и квалификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обучаемых; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- документы, содержащие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результаты проверок обучения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- документы, содержащие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результаты проверок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М16.5 ¦Организуется ли для работника, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1396 ¦ ¦
¦ ¦получившего новую роль, обучение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦или инструктаж в области ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦соответствующий полученной роли? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М16.6 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1290 ¦ ¦
¦ ¦организации роли по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации планов и программ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ и по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М16.7 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1338 ¦ ¦
¦ ¦выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации планов и программ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ и по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦Итоговая оценка группового показателя М16 ¦ ¦
L----------------------------------------------------------------------------------------------------------------+-------------
