|
|
Центрбанк. Создание модели предприятия и лвс
Групповой показатель М10 "Определение/коррекция области
действия СОИБ"
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М10.1
|
Определена ли в документах
организации и корректируется ли
опись структурированных по
классам защищаемых информационных
активов (типов информационных
активов - типов информации)?
|
обязательный
|
|
|
|
|
|
|
0,1956
|
|
М10.2
|
Проводится ли классификация
информационных активов по типам
на основании оценок ценности
информационных активов для
интересов (целей) организации,
например, в соответствии с
тяжестью последствий потери
свойств ИБ информационных
активов?
|
рекомендуемый
|
////
////
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,1614
|
|
М10.3
|
Содержит ли опись информационных
активов информацию о
принадлежности конкретного
информационного актива к
выделенным типам информационных
активов (в случае наличия в
организации классификации
информационных активов)?
|
обязательный
|
|
|
|
|
|
|
0,1352
|
|
М10.4
|
Содержит ли опись информационных
активов (типов информационных
активов) перечень их объектов
среды, покрывающий все уровни
информационной инфраструктуры
организации, определенной в
разделе 6 стандарта СТО БР ИББС-
1.0?
|
обязательный
|
|
|
|
|
|
|
0,1098
|
|
М10.5
|
Определены ли в документах
организации процедуры анализа и
пересмотра области действия СОИБ
(в частности, процедуры
пересмотра при изменении перечня
информационных активов
организации или типов
информационных активов)?
|
обязательный
|
|
|
|
|
|
|
0,1276
|
|
М10.6
|
Определены ли в документах
организации роли по
определению/коррекции области
действия СОИБ и по составлению и
пересмотру описи информационных
активов (типов информационных
активов), находящихся в области
действия СОИБ?
|
обязательный
|
|
|
|
|
|
|
0,1352
|
|
М10.7
|
Назначены ли в организации
ответственные за выполнение ролей
по определению/коррекции области
действия СОИБ и по составлению и
пересмотру описи информационных
активов (типов информационных
активов), находящихся в области
действия СОИБ?
|
обязательный
|
|
|
|
|
|
|
0,1352
|
|
Итоговая оценка группового показателя М10
|
|
Групповой показатель М11 "Выбор/коррекция подхода
к оценке рисков нарушения ИБ и проведению оценки рисков
нарушения ИБ"
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М11.1
|
Принята ли в организации и
корректируется ли методика оценки
рисков нарушения ИБ/подход к
оценке рисков нарушения ИБ?
|
обязательный
|
|
|
|
|
|
|
0,1154
|
|
М11.2
|
Определены ли в организации
критерии принятия рисков
нарушения ИБ и уровень
допустимого риска нарушения ИБ?
|
обязательный
|
|
|
|
|
|
|
0,1070
|
|
М11.3
|
Определяет ли методика оценки
рисков нарушения ИБ/подход к
оценке рисков нарушения ИБ
организации способ и порядок
качественного или количественного
оценивания риска нарушения ИБ на
основании оценивания:
- степени возможности реализации
угроз ИБ выявленными и (или)
предполагаемыми источниками угроз
ИБ, зафиксированных в моделях
угроз и нарушителей, в результате
их воздействия на объекты среды
информационных активов
организации (типов информационных
активов);
- степени тяжести последствий от
потери свойств ИБ, в частности
свойств доступности, целостности
и конфиденциальности для
рассматриваемых информационных
активов (типов информационных
активов)?
|
обязательный
|
|
|
|
|
|
|
0,0854
|
|
М11.4
|
Определяет ли порядок оценки
рисков нарушения ИБ необходимые
процедуры оценки рисков нарушения
ИБ, а также последовательность их
выполнения?
|
обязательный
|
|
|
|
|
|
|
0,0854
|
|
М11.5
|
Проводится ли оценка рисков
нарушения ИБ для свойств ИБ всех
информационных активов (типов
информационных активов) области
действия СОИБ?
|
обязательный
|
|
|
|
|
|
|
0,0676
|
|
М11.6
|
Создан ли и поддерживается ли в
актуальном состоянии единый
информационный ресурс (база
данных), содержащий информацию об
инцидентах ИБ?
|
рекомендуемый
|
////
////
////
////
////
|
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
|
|
|
0,0688
|
|
М11.7
|
Соотносятся ли величины рисков,
полученные в результате
оценивания рисков нарушения ИБ, с
уровнем допустимого риска,
принятого в организации?
|
обязательный
|
|
|
|
|
|
|
0,0766
|
|
М11.8
|
Определен ли в документах
организации перечень недопустимых
рисков нарушения ИБ,
сформированный на основе
сравнения полученных в результате
оценивания рисков нарушения ИБ
величин рисков с уровнем
допустимого риска, принятого в
организации?
|
обязательный
|
|
|
|
|
|
|
0,0766
|
|
М11.9
|
Определены ли в документах
организации роли, связанные с
деятельностью по
определению/коррекции методики
оценки рисков нарушения ИБ/
подхода к оценке риска нарушения
ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0782
|
|
М11.10
|
Назначены ли ответственные за
выполнение ролей, связанных с
деятельностью по
определению/коррекции методики
оценки рисков нарушения ИБ/
подхода к оценке риска нарушения
ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0782
|
|
М11.11
|
Определены ли в документах
организации роли по оценке рисков
нарушения ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0782
|
|
М11.12
|
Назначены ли ответственные за
выполнение ролей по оценке рисков
нарушения ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0826
|
|
Итоговая оценка группового показателя М11
|
| |
|
|
Скачать 129.73 Kb.