Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М2 "Обеспечение информационной
безопасности автоматизированных банковских систем
на стадиях жизненного цикла"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.1 |Рассматриваются ли при | рекомендуемый |////|/////|/////|/////| | | 0,0504 | |
| |формировании требований ИБ | |////|/////|/////|/////| | | | |
| |следующие стадии модели ЖЦ АБС: | |////|/////|/////|/////| | | | |
| |- разработка технических заданий; | |////|/////|/////|/////| | | | |
| |- проектирование; | |////|/////|/////|/////| | | | |
| |- создание и тестирование; | |////|/////|/////|/////| | | | |
| |- приемка и ввод в действие; | |////|/////|/////|/////| | | | |
| |- эксплуатация; | |////|/////|/////|/////| | | | |
| |- сопровождение и модернизации; | |////|/////|/////|/////| | | | |
| |- снятие с эксплуатации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.2 |Осуществляются ли разработка | обязательный | | | | | | | 0,0616 | |
| |технических заданий и приемка АБС | | | | | | | | | |
| |по согласованию и при участии | | | | | | | | | |
| |подразделения (лиц) в | | | | | | | | | |
| |организации, ответственных за | | | | | | | | | |
| |обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.3 |Осуществляются ли ввод в | обязательный | | | | | | | 0,0591 | |
| |действие, эксплуатация и | | | | | | | | | |
| |сопровождение (модернизация), | | | | | | | | | |
| |снятие с эксплуатации АБС под | | | | | | | | | |
| |контролем подразделений (лиц) в | | | | | | | | | |
| |организации, ответственных за | | | | | | | | | |
| |обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.4 |Имеют ли соответствующие лицензии | обязательный | | | | | | | 0,0563 | |
| |организации, которые привлекаются | | | | | | | | | |
| |на договорной основе для | | | | | | | | | |
| |разработки и (или) производства | | | | | | | | | |
| |средств и систем защиты АБС? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.5 |Снабжены ли разрабатываемые АБС | обязательный | | | | | | | 0,0646 | |
| |и (или) их компоненты | | | | | | | | | |
| |документацией, содержащей | | | | | | | | | |
| |описание реализованных защитных | | | | | | | | | |
| |мер, в том числе в отношении | | | | | | | | | |
| |угроз ИБ (источников угроз), | | | | | | | | | |
| |описанных в модели угроз | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.6 |Снабжены ли приобретаемые | рекомендуемый |////|/////|/////|/////| | | 0,0604 | |
| |организацией АБС и (или) их | |////|/////|/////|/////| | | | |
| |компоненты документацией, | |////|/////|/////|/////| | | | |
| |содержащей описание реализованных | |////|/////|/////|/////| | | | |
| |защитных мер, в том числе в | |////|/////|/////|/////| | | | |
| |отношении угроз ИБ (источников | |////|/////|/////|/////| | | | |
| |угроз), описанных в модели угроз | |////|/////|/////|/////| | | | |
| |организации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.7 |Содержит ли документация на | обязательный | | | | | | | 0,0450 | |
| |разрабатываемые АБС или | | | | | | | | | |
| |приобретаемые готовые АБС и их | | | | | | | | | |
| |компоненты описание реализованных | | | | | | | | | |
| |защитных мер, предпринятых | | | | | | | | | |
| |разработчиком относительно | | | | | | | | | |
| |безопасности разработки и | | | | | | | | | |
| |безопасности поставки? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.8 |Реализуется ли при взаимодействии | обязательный | | | | | | | 0,0604 | |
| |организации с разработчиком АБС и | | | | | | | | | |
| |их компонентов одна из трех | | | | | | | | | |
| |альтернатив: | | | | | | | | | |
| |1) в договор (контракт) | | | | | | | | | |
| |о разработке АБС или | | | | | | | | | |
| |поставке готовых АБС и их | | | | | | | | | |
| |компонентов включаются положения | | | | | | | | | |
| |по сопровождению поставляемых | | | | | | | | | |
| |изделий на весь срок их службы; | | | | | | | | | |
| |2) организация приобретает полный | | | | | | | | | |
| |комплект рабочей конструкторской | | | | | | | | | |
| |документации, обеспечивающий | | | | | | | | | |
| |возможность сопровождения АБС и | | | | | | | | | |
| |их компонентов без участия | | | | | | | | | |
| |разработчика; | | | | | | | | | |
| |3) руководство организации | | | | | | | | | |
| |оценивает и документально | | | | | | | | | |
| |оформляет допустимость риска | | | | | | | | | |
| |нарушения ИБ, возникающего при | | | | | | | | | |
| |невозможности сопровождения АБС | | | | | | | | | |
| |и их компонентов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.9 |Учитывается ли при разработке | обязательный | | | | | | | 0,0596 | |
| |технических заданий на системы | | | | | | | | | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания, что защита данных | | | | | | | | | |
| |должна обеспечиваться в условиях: | | | | | | | | | |
| |- попыток доступа к банковской | | | | | | | | | |
| |информации анонимных, | | | | | | | | | |
| |неавторизованных злоумышленников | | | | | | | | | |
| |при использовании сетей общего | | | | | | | | | |
| |пользования; | | | | | | | | | |
| |- возможности ошибок | | | | | | | | | |
| |авторизованных пользователей | | | | | | | | | |
| |систем; | | | | | | | | | |
| |- возможности ненамеренного или | | | | | | | | | |
| |неадекватного использования | | | | | | | | | |
| |конфиденциальных данных | | | | | | | | | |
| |авторизованными пользователями? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.10 |Обеспечиваются ли на стадии | обязательный | | | | | | | 0,0474 | |
| |тестирования анонимность данных и | | | | | | | | | |
| |проверка адекватности | | | | | | | | | |
| |разграничения доступа? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.11 |Определены ли в документах | обязательный | | | | | | | 0,0700 | |
| |организации и выполняются ли на | | | | | | | | | |
| |стадии эксплуатации АБС процедуры | | | | | | | | | |
| |контроля работоспособности | | | | | | | | | |
| |(функционирования, эффективности) | | | | | | | | | |
| |реализованных в АБС защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.12 |Предусматривают ли указанные в | обязательный | | | | | | | 0,0626 | |
| |частном показателе М2.11 | | | | | | | | | |
| |процедуры документальную фиксацию | | | | | | | | | |
| |результатов контроля? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.13 |Определены ли в документах | обязательный | | | | | | | 0,0596 | |
| |организации и выполняются ли на | | | | | | | | | |
| |стадии сопровождения | | | | | | | | | |
| |(модернизации) АБС процедуры | | | | | | | | | |
| |контроля, обеспечивающие защиту | | | | | | | | | |
| |от: | | | | | | | | | |
| |- умышленного | | | | | | | | | |
| |несанкционированного раскрытия, | | | | | | | | | |
| |модификации или уничтожения | | | | | | | | | |
| |информации; | | | | | | | | | |
| |- неумышленной модификации, | | | | | | | | | |
| |раскрытия или уничтожения | | | | | | | | | |
| |информации; | | | | | | | | | |
| |- отказа в обслуживании или | | | | | | | | | |
| |ухудшения обслуживания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.14 |Предусматривают ли указанные в | обязательный | | | | | | | 0,0533 | |
| |частном показателе М2.13 | | | | | | | | | |
| |процедуры документальную фиксацию | | | | | | | | | |
| |результатов контроля? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.15 |Проводятся ли на стадии | обязательный | | | | | | | 0,0646 | |
| |сопровождения (модернизации) при | | | | | | | | | |
| |любом внесении изменений в АБС | | | | | | | | | |
| |процедуры проверки | | | | | | | | | |
| |функциональности, результаты | | | | | | | | | |
| |которых документируются? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.16 |Определены ли документально и | обязательный | | | | | | | 0,0675 | |
| |выполняются ли на стадии снятия с | | | | | | | | | |
| |эксплуатации процедуры, | | | | | | | | | |
| |обеспечивающие удаление | | | | | | | | | |
| |информации, несанкционированное | | | | | | | | | |
| |использование которой может | | | | | | | | | |
| |нанести ущерб бизнес-деятельности | | | | | | | | | |
| |организации, и информации, | | | | | | | | | |
| |используемой средствами | | | | | | | | | |
| |обеспечения ИБ, из постоянной | | | | | | | | | |
| |памяти АБС и с внешних носителей | | | | | | | | | |
| |(за исключением архивов | | | | | | | | | |
| |электронных документов и | | | | | | | | | |
| |протоколов электронного | | | | | | | | | |
| |взаимодействия, ведение и | | | | | | | | | |
| |сохранность которых в течение | | | | | | | | | |
| |определенного срока предусмотрены | | | | | | | | | |
| |соответствующими нормативными | | | | | | | | | |
| |и (или) договорными документами)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М2.17 |Предусматривают ли указанные в | обязательный | | | | | | | 0,0576 | |
| |частном показателе М2.16 | | | | | | | | | |
| |процедуры документальную фиксацию | | | | | | | | | |
| |результатов их выполнения? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М2 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".