Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М3 "Обеспечение информационной
безопасности при управлении доступом и регистрации"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.1 |Определен ли в документах | обязательный | | | | | | | 0,0356 | |
| |организации перечень | | | | | | | | | |
| |информационных активов (их | | | | | | | | | |
| |типов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.2 |Зафиксированы ли документально | обязательный | | | | | | | 0,0360 | |
| |права доступа работников и | | | | | | | | | |
| |клиентов к информационным активам | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.3 |Применяются ли в составе АБС | обязательный | | | | | | | 0,0345 | |
| |встроенные защитные меры? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.4 |Применяются ли в составе АБС | рекомендуемый |////|/////|/////|/////| | | 0,0334 | |
| |сертифицированные или разрешенные | |////|/////|/////|/////| | | | |
| |к применению руководством | |////|/////|/////|/////| | | | |
| |организации средства защиты | |////|/////|/////|/////| | | | |
| |информации от НСД и НРД и | |////|/////|/////|/////| | | | |
| |средства криптографической защиты | |////|/////|/////|/////| | | | |
| |информации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.5 |Определены ли в документах | обязательный | | | | | | | 0,0366 | |
| |организации, утверждены ли | | | | | | | | | |
| |руководством организации, | | | | | | | | | |
| |выполняются ли и контролируются | | | | | | | | | |
| |ли процедуры идентификации, | | | | | | | | | |
| |аутентификации и авторизации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.6 |Документируются ли результаты | обязательный | | | | | | | 0,0345 | |
| |контроля процедур, указанных в | | | | | | | | | |
| |частном показателе М3.5? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.7 |Определены ли в документах | обязательный | | | | | | | 0,0360 | |
| |организации, выполняются ли и | | | | | | | | | |
| |контролируются ли процедуры | | | | | | | | | |
| |управления доступом? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.8 |Документируются ли результаты | обязательный | | | | | | | 0,0334 | |
| |контроля процедур, указанных в | | | | | | | | | |
| |частном показателе М3.7? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.9 |Определены ли в документах | обязательный | | | | | | | 0,0340 | |
| |организации, выполняются ли и | | | | | | | | | |
| |контролируются ли процедуры | | | | | | | | | |
| |контроля целостности? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.10 |Документируются ли результаты | обязательный | | | | | | | 0,0319 | |
| |контроля процедур, указанных в | | | | | | | | | |
| |частном показателе М3.9? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.11 |Определены ли в документах | обязательный | | | | | | | 0,0319 | |
| |организации, выполняются ли и | | | | | | | | | |
| |контролируются ли процедуры | | | | | | | | | |
| |регистрации событий и действий? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.12 |Документируются ли результаты | обязательный | | | | | | | 0,0286 | |
| |контроля процедур, указанных в | | | | | | | | | |
| |частном показателе М3.11? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.13 |Исключают ли процедуры управления | обязательный | | | | | | | 0,0308 | |
| |доступом возможность | | | | | | | | | |
| |"самосанкционирования"? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.14 |Определены ли в документах | обязательный | | | | | | | 0,0331 | |
| |организации процедуры мониторинга | | | | | | | | | |
| |и анализа данных регистрации, | | | | | | | | | |
| |действий и операций, позволяющие | | | | | | | | | |
| |выявить неправомерные или | | | | | | | | | |
| |подозрительные операции и | | | | | | | | | |
| |транзакции? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.15 |Используются ли | рекомендуемый |////|/////|/////|/////| | | 0,0255 | |
| |специализированные программные | |////|/////|/////|/////| | | | |
| |и (или) технические средства для | |////|/////|/////|/////| | | | |
| |проведения процедур мониторинга и | |////|/////|/////|/////| | | | |
| |анализа данных регистрации, | |////|/////|/////|/////| | | | |
| |действия и операций? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.16 |Используют ли процедуры | обязательный | | | | | | | 0,0266 | |
| |мониторинга и анализа | | | | | | | | | |
| |документально определенные | | | | | | | | | |
| |критерии выявления неправомерных | | | | | | | | | |
| |или подозрительных действий и | | | | | | | | | |
| |операций? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.17 |Применяются ли процедуры | обязательный | | | | | | | 0,0286 | |
| |мониторинга и анализа на | | | | | | | | | |
| |регулярной основе (например, | | | | | | | | | |
| |ежедневно) ко всем выполненным | | | | | | | | | |
| |операциям и транзакциям? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.18 |Регламентирован ли во внутренних | обязательный | | | | | | | 0,0292 | |
| |документах организации порядок | | | | | | | | | |
| |доступа работников организации в | | | | | | | | | |
| |помещения, в которых размещаются | | | | | | | | | |
| |объекты среды информационных | | | | | | | | | |
| |активов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.19 |Контролируется ли выполнение | обязательный | | | | | | | 0,0297 | |
| |порядка доступа работников | | | | | | | | | |
| |организации в помещения, в | | | | | | | | | |
| |которых размещаются объекты среды | | | | | | | | | |
| |информационных активов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.20 |Оформляются ли документально | обязательный | | | | | | | 0,0263 | |
| |результаты выполнения контроля | | | | | | | | | |
| |порядка доступа работников | | | | | | | | | |
| |организации в помещения, в | | | | | | | | | |
| |которых размещаются объекты среды | | | | | | | | | |
| |информационных активов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.21 |Обеспечивают ли используемые в | обязательный | | | | | | | 0,0328 | |
| |организации АБС, в том числе | | | | | | | | | |
| |системы дистанционного | | | | | | | | | |
| |банковского обслуживания, | | | | | | | | | |
| |возможность регистрации: | | | | | | | | | |
| |- операций с данными о клиентских | | | | | | | | | |
| |счетах, включая операции | | | | | | | | | |
| |открытия, модификации и закрытия | | | | | | | | | |
| |клиентских счетов; | | | | | | | | | |
| |- проводимых транзакций, имеющих | | | | | | | | | |
| |финансовые последствия; | | | | | | | | | |
| |- операций, связанных с | | | | | | | | | |
| |назначением и распределением прав | | | | | | | | | |
| |пользователей? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.22 |Реализованы ли в системах | обязательный | | | | | | | 0,0344 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания, используемых в | | | | | | | | | |
| |организации, защитные меры, | | | | | | | | | |
| |обеспечивающие невозможность | | | | | | | | | |
| |отказа от авторства проводимых | | | | | | | | | |
| |клиентами операций и транзакций | | | | | | | | | |
| |(например, ЭЦП)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.23 |Придано ли протоколам операций, | рекомендуемый |////|/////|/////|/////| | | 0,0312 | |
| |выполняемых посредством | |////|/////|/////|/////| | | | |
| |дистанционного банковского | |////|/////|/////|/////| | | | |
| |обслуживания, свойство | |////|/////|/////|/////| | | | |
| |юридической значимости, например, | |////|/////|/////|/////| | | | |
| |путем внесения соответствующих | |////|/////|/////|/////| | | | |
| |положений в договоры на | |////|/////|/////|/////| | | | |
| |дистанционное банковское | |////|/////|/////|/////| | | | |
| |обслуживание? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.24 |Производится ли при заключении | рекомендуемый |////|/////|/////|/////| | | 0,0274 | |
| |договоров со сторонними | |////|/////|/////|/////| | | | |
| |организациями юридическое | |////|/////|/////|/////| | | | |
| |оформление договоренностей, | |////|/////|/////|/////| | | | |
| |определяющих необходимый уровень | |////|/////|/////|/////| | | | |
| |взаимодействия в случае выхода | |////|/////|/////|/////| | | | |
| |инцидента ИБ за рамки отдельной | |////|/////|/////|/////| | | | |
| |организации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.25 |Определены ли в документах | обязательный | | | | | | | 0,0294 | |
| |организации процедуры, | | | | | | | | | |
| |определяющие действия работников | | | | | | | | | |
| |и клиентов организации в случае | | | | | | | | | |
| |компрометации информации, | | | | | | | | | |
| |необходимой для их идентификации, | | | | | | | | | |
| |аутентификации и (или) | | | | | | | | | |
| |авторизации, в том числе | | | | | | | | | |
| |произошедшей по их вине, включая | | | | | | | | | |
| |информацию о способах | | | | | | | | | |
| |распознавания таких случаев? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.26 |Доведены ли до сведения | обязательный | | | | | | | 0,0283 | |
| |работников и клиентов организации | | | | | | | | | |
| |процедуры, указанные в частном | | | | | | | | | |
| |показателе М3.25? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.27 |Предусматривают ли указанные в | обязательный | | | | | | | 0,0254 | |
| |частном показателе М3.26 | | | | | | | | | |
| |процедуры документирование | | | | | | | | | |
| |работниками и клиентами своих | | | | | | | | | |
| |действий и их результатов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.28 |Реализованы ли в системах | обязательный | | | | | | | 0,0239 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания механизмы | | | | | | | | | |
| |информирования (регулярного, | | | | | | | | | |
| |непрерывного или по требованию) | | | | | | | | | |
| |клиентов обо всех операциях, | | | | | | | | | |
| |совершаемых от их имени? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.29 |Применяются ли в организации | обязательный | | | | | | | 0,0319 | |
| |защитные меры, направленные на | | | | | | | | | |
| |обеспечение защиты от НСД и НРД, | | | | | | | | | |
| |повреждения или нарушения | | | | | | | | | |
| |целостности информации, | | | | | | | | | |
| |необходимой для регистрации, | | | | | | | | | |
| |идентификации, аутентификации | | | | | | | | | |
| |и(или) авторизации клиентов и | | | | | | | | | |
| |работников организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.30 |Регистрируются ли все попытки НСД | обязательный | | | | | | | 0,0326 | |
| |и НРД к информации, необходимой | | | | | | | | | |
| |для идентификации, аутентификации | | | | | | | | | |
| |и (или) авторизации клиентов и | | | | | | | | | |
| |сотрудников организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.31 |Определена ли в документах | обязательный | | | | | | | 0,0316 | |
| |организации и выполняется ли | | | | | | | | | |
| |процедура пересмотра прав доступа | | | | | | | | | |
| |при увольнении или изменении | | | | | | | | | |
| |должностных обязанностей | | | | | | | | | |
| |работников организации, имевших | | | | | | | | | |
| |доступ к информации, необходимой | | | | | | | | | |
| |для идентификации, аутентификации | | | | | | | | | |
| |и(или) авторизации клиентов и | | | | | | | | | |
| |сотрудников организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.32 |Осуществляется ли работа всех | обязательный | | | | | | | 0,0349 | |
| |пользователей АБС под уникальными | | | | | | | | | |
| |учетными записями? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М3 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".