Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М4 "Обеспечение информационной
безопасности средствами антивирусной защиты"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.1 |Применяются ли на всех | обязательный | | | | | | | 0,0744 | |
| |автоматизированных рабочих местах | | | | | | | | | |
| |и серверах АБС организации, если | | | | | | | | | |
| |иное не предусмотрено | | | | | | | | | |
| |технологическим процессом, | | | | | | | | | |
| |средства антивирусной защиты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.2 |Определены ли в документах | обязательный | | | | | | | 0,0721 | |
| |организации процедуры установки и | | | | | | | | | |
| |регулярного обновления средств | | | | | | | | | |
| |антивирусной защиты (версий и баз | | | | | | | | | |
| |данных) на автоматизированных | | | | | | | | | |
| |рабочих местах и серверах АБС? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.3 |Осуществляются ли установка и | обязательный | | | | | | | 0,0653 | |
| |регулярное обновление средств | | | | | | | | | |
| |антивирусной защиты (версий и баз | | | | | | | | | |
| |данных) на автоматизированных | | | | | | | | | |
| |рабочих местах и серверах АБС | | | | | | | | | |
| |администраторами АБС или иными | | | | | | | | | |
| |официально уполномоченными | | | | | | | | | |
| |лицами? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.4 |Организован ли автоматический | рекомендуемый |////|/////|/////|/////| | | 0,0559 | |
| |режим установки обновлений | |////|/////|/////|/////| | | | |
| |антивирусного программного | |////|/////|/////|/////| | | | |
| |обеспечения и его баз данных? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.5 |Контролируются ли установка и | обязательный | | | | | | | 0,0688 | |
| |обновление антивирусных средств | | | | | | | | | |
| |представителями подразделения | | | | | | | | | |
| |(лицами) в организации, | | | | | | | | | |
| |ответственными за обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.6 |Организовано ли функционирование | рекомендуемый |////|/////|/////|/////| | | 0,0583 | |
| |постоянной антивирусной защиты в | |////|/////|/////|/////| | | | |
| |автоматическом режиме? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.7 |Разработаны и введены ли в | обязательный | | | | | | | 0,0619 | |
| |действие инструкции по | | | | | | | | | |
| |антивирусной защите, учитывающие | | | | | | | | | |
| |особенности банковских | | | | | | | | | |
| |технологических процессов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.8 |Проводится ли антивирусная | обязательный | | | | | | | 0,0706 | |
| |фильтрация всего трафика | | | | | | | | | |
| |электронного почтового обмена? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.9 |Построена ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0501 | |
| |эшелонированная централизованная | |////|/////|/////|/////| | | | |
| |система антивирусной защиты, | |////|/////|/////|/////| | | | |
| |предусматривающая использование | |////|/////|/////|/////| | | | |
| |средств антивирусной защиты | |////|/////|/////|/////| | | | |
| |различных производителей и их | |////|/////|/////|/////| | | | |
| |раздельную установку на рабочих | |////|/////|/////|/////| | | | |
| |станциях, почтовых серверах и | |////|/////|/////|/////| | | | |
| |межсетевых экранах? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.10 |Определены ли в документах | обязательный | | | | | | | 0,0605 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры предварительной | | | | | | | | | |
| |проверки устанавливаемого или | | | | | | | | | |
| |изменяемого программного | | | | | | | | | |
| |обеспечения на отсутствие | | | | | | | | | |
| |вирусов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.11 |Проводится ли антивирусная | обязательный | | | | | | | 0,0616 | |
| |проверка после установки и | | | | | | | | | |
| |изменения программного | | | | | | | | | |
| |обеспечения? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.12 |Документируются ли результаты | обязательный | | | | | | | 0,0619 | |
| |установки, изменения программного | | | | | | | | | |
| |обеспечения и антивирусной | | | | | | | | | |
| |проверки? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.13 |Определены ли в документах | обязательный | | | | | | | 0,0651 | |
| |организации процедуры, | | | | | | | | | |
| |выполняемые в случае обнаружения | | | | | | | | | |
| |компьютерных вирусов, в которых | | | | | | | | | |
| |зафиксированы: | | | | | | | | | |
| |- необходимые меры по отражению и | | | | | | | | | |
| |устранению последствий вирусной | | | | | | | | | |
| |атаки; | | | | | | | | | |
| |- порядок официального | | | | | | | | | |
| |информирования руководства; | | | | | | | | | |
| |- порядок приостановления при | | | | | | | | | |
| |необходимости работы (на период | | | | | | | | | |
| |устранения последствий вирусной | | | | | | | | | |
| |атаки)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.14 |Определены ли в документах | обязательный | | | | | | | 0,0557 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры контроля за отключением | | | | | | | | | |
| |и обновлением антивирусных | | | | | | | | | |
| |средств на всех | | | | | | | | | |
| |автоматизированных рабочих местах | | | | | | | | | |
| |и серверах АБС? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.15 |Предусматривают ли указанные в | обязательный | | | | | | | 0,0513 | |
| |частном показателе М4.14 | | | | | | | | | |
| |процедуры документальную фиксацию | | | | | | | | | |
| |результатов контроля? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.16 |Возложена ли обязанность по | обязательный | | | | | | | 0,0665 | |
| |выполнению предписанных мер | | | | | | | | | |
| |антивирусной защиты на каждого | | | | | | | | | |
| |работника организации, имеющего | | | | | | | | | |
| |доступ к ЭВМ и(или) АБС, а | | | | | | | | | |
| |ответственность за выполнение | | | | | | | | | |
| |требований инструкции по | | | | | | | | | |
| |антивирусной защите - на | | | | | | | | | |
| |руководителей функциональных | | | | | | | | | |
| |подразделений организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М4 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".