Показатели информационной безопасности. Групповой показатель М25 "Принятие решений по стратегическим улучшениям СОИБ" (обязательная форма)
Приложение A к Стандарту Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации СТО БР ИББС-1.2-2009
(обязательное)
Групповой показатель М25 "Принятие решений
по стратегическим улучшениям СОИБ"
---------------T----------------------------------T---------------T---------------------------------T------------T------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного показателя ИБ ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения +----T-----T-----T-----T----T-----+ значимости ¦ значение ¦
¦показателя ИБ ¦ ¦ ¦ 0 ¦0,25 ¦ 0,5 ¦0,75 ¦ 1 ¦ н/о ¦ частного ¦ показателя ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.1 ¦Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1130 ¦ ¦
¦ ¦решений, связанных со ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стратегическими улучшениями СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документально оформленные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результаты: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- самооценок ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- мониторинга СОИБ и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- обработки инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- выявления новых информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов организации или их типов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- выявления новых угроз и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уязвимостей ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- оценки рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- пересмотра основных рисков ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа СОИБ со стороны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководства; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа успешных практик в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦области ИБ (собственных или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦других организаций)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.2 ¦Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1058 ¦ ¦
¦ ¦решений, связанных со ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стратегическими улучшениями СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменения интересов, целей и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦задач бизнеса организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контрактных обязательств ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, а также изменения в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦законодательстве РФ и нормативных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦актах Банка России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.3 ¦Оформляются ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0984 ¦ ¦
¦ ¦решения по стратегическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшениям СОИБ, содержащие либо ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выводы об отсутствии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимости стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ, либо направления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стратегических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.4 ¦Формируются ли направления ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0984 ¦ ¦
¦ ¦стратегических улучшений СОИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦виде корректирующих или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦превентивных действий, например: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение/пересмотр целей и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦задач обеспечения ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определенных в рамках политики ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(частных политик ИБ) организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- изменения в области действия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение описи типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- пересмотр моделей угроз и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- изменение подходов к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков ИБ, критериев принятия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦риска ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.5 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1016 ¦ ¦
¦ ¦организации планы реализации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стратегических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.6 ¦Существуют ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0962 ¦ ¦
¦ ¦документы, в которых фиксируются ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результаты выполнения планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.7 ¦Санкционирует и контролирует ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1108 ¦ ¦
¦ ¦руководство организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность, связанную с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализацией стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.8 ¦В случае стратегических улучшений ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1058 ¦ ¦
¦ ¦СОИБ выполняется ли деятельность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по реализации соответствующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦тактических улучшений СОИБ для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦всех необходимых процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ, используемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер и соответствующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренних документов, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦частности, выполняются ли: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- выработка планов тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение планов обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение программы внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.9 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0822 ¦ ¦
¦ ¦организации и выполняются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедуры согласования и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информирования заинтересованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сторон о стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшениях СОИБ, в частности об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменениях, относящихся к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ, к ответственности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в области ИБ, к требованиям ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Фиксируются ли документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результаты выполнения указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М25.10 ¦Назначаются ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0878 ¦ ¦
¦ ¦реализацию решений по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стратегическим улучшениям СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦Итоговая оценка группового показателя М25 ¦ ¦
L----------------------------------------------------------------------------------------------------------------+-------------
