Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М5 "Обеспечение информационной
безопасности при использовании ресурсов сети Интернет"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.1 |Принято ли документально | обязательный | | | | | | | 0,0586 | |
| |руководством организации решение | | | | | | | | | |
| |об использовании сети Интернет | | | | | | | | | |
| |для производственной и(или) | | | | | | | | | |
| |собственной хозяйственной | | | | | | | | | |
| |деятельности, в котором явно | | | | | | | | | |
| |перечислены цели использования | | | | | | | | | |
| |сети Интернет? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.2 |Запрещается ли использование | обязательный | | | | | | | 0,0512 | |
| |ресурсов сети Интернет в | | | | | | | | | |
| |неустановленных целях? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.3 |Проведено ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0398 | |
| |выделение ограниченного числа | |////|/////|/////|/////| | | | |
| |пакетов, содержащих перечень | |////|/////|/////|/////| | | | |
| |сервисов и ресурсов сети | |////|/////|/////|/////| | | | |
| |Интернет, доступных для | |////|/////|/////|/////| | | | |
| |пользователей? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.4 |Проводится ли наделение | рекомендуемый |////|/////|/////|/////| | | 0,0355 | |
| |работников организации правами | |////|/////|/////|/////| | | | |
| |пользователя конкретного пакета в | |////|/////|/////|/////| | | | |
| |соответствии с его должностными | |////|/////|/////|/////| | | | |
| |обязанностями, в частности, в | |////|/////|/////|/////| | | | |
| |соответствии с назначенными ему | |////|/////|/////|/////| | | | |
| |ролями? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.5 |Оформляется ли документально | рекомендуемый |////|/////|/////|/////| | | 0,0398 | |
| |наделение работников организации | |////|/////|/////|/////| | | | |
| |правами пользователя конкретного | |////|/////|/////|/////| | | | |
| |пакета? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.6 |Определен ли документально в | обязательный | | | | | | | 0,0583 | |
| |организации порядок подключения и | | | | | | | | | |
| |использования ресурсов сети | | | | | | | | | |
| |Интернет, включающий в том числе | | | | | | | | | |
| |положение о контроле со стороны | | | | | | | | | |
| |подразделения (лиц) в | | | | | | | | | |
| |организации, ответственных за | | | | | | | | | |
| |обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.7 |Применяются ли при осуществлении | обязательный | | | | | | | 0,0518 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания с использованием | | | | | | | | | |
| |сети Интернет средства защиты | | | | | | | | | |
| |информации (межсетевые экраны, | | | | | | | | | |
| |антивирусные средства, средства | | | | | | | | | |
| |криптографической защиты | | | | | | | | | |
| |информации), которые обеспечивают | | | | | | | | | |
| |прием и передачу информации | | | | | | | | | |
| |только в установленном формате и | | | | | | | | | |
| |только по конкретной технологии? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.8 |Выполнено ли выделение и | рекомендуемый |////|/////|/////|/////| | | 0,0292 | |
| |организована ли физическая | |////|/////|/////|/////| | | | |
| |изоляция от внутренних сетей тех | |////|/////|/////|/////| | | | |
| |ЭВМ, с помощью которых | |////|/////|/////|/////| | | | |
| |осуществляется взаимодействие с | |////|/////|/////|/////| | | | |
| |сетью Интернет в режиме on-line? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.9 |Применяются ли при осуществлении | обязательный | | | | | | | 0,0479 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания защитные меры, | | | | | | | | | |
| |предотвращающие возможность | | | | | | | | | |
| |подмены авторизованного клиента | | | | | | | | | |
| |злоумышленником в рамках сеанса | | | | | | | | | |
| |работы? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.10 |Регистрируются ли | обязательный | | | | | | | 0,0440 | |
| |регламентированным образом | | | | | | | | | |
| |попытки подмены авторизованного | | | | | | | | | |
| |клиента злоумышленником в рамках | | | | | | | | | |
| |сеанса работы? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.11 |Все ли операции клиентов в | обязательный | | | | | | | 0,0581 | |
| |течение сеанса работы с системами | | | | | | | | | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания выполняются только | | | | | | | | | |
| |после проведения процедур | | | | | | | | | |
| |идентификации, аутентификации и | | | | | | | | | |
| |авторизации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.12 |Обеспечивается ли повторное | обязательный | | | | | | | 0,0415 | |
| |выполнение процедур | | | | | | | | | |
| |идентификации, аутентификации и | | | | | | | | | |
| |авторизации в случаях нарушения | | | | | | | | | |
| |или разрыва соединения при работе | | | | | | | | | |
| |с системами дистанционного | | | | | | | | | |
| |банковского обслуживания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.13 |Используется ли | рекомендуемый |////|/////|/////|/////| | | 0,0331 | |
| |специализированное клиентское | |////|/////|/////|/////| | | | |
| |программное обеспечение для | |////|/////|/////|/////| | | | |
| |доступа пользователей к системам | |////|/////|/////|/////| | | | |
| |дистанционного банковского | |////|/////|/////|/////| | | | |
| |обслуживания? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.14 |Применяются ли защитные меры для | обязательный | | | | | | | 0,0450 | |
| |осуществления почтового обмена | | | | | | | | | |
| |через сеть Интернет? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.15 |Определены ли в документах | обязательный | | | | | | | 0,0491 | |
| |организации перечень защитных мер | | | | | | | | | |
| |и порядок их использования для | | | | | | | | | |
| |осуществления почтового обмена | | | | | | | | | |
| |через сеть Интернет? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.16 |Организован ли почтовый обмен с | рекомендуемый | | | | | | | 0,0331 | |
| |сетью Интернет через ограниченное | | | | | | | | | |
| |количество точек, состоящих из | | | | | | | | | |
| |внешнего (подключенного к сети | | | | | | | | | |
| |Интернет) и внутреннего | | | | | | | | | |
| |(подключенного к внутренним сетям | | | | | | | | | |
| |организации) почтовых серверов с | | | | | | | | | |
| |безопасной системой репликации | | | | | | | | | |
| |почтовых сообщений между ними | | | | | | | | | |
| |(интернет-киоски)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.17 |Осуществляется ли архивирование | обязательный | | | | | | | 0,0368 | |
| |электронной почты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.18 |Доступен ли архив электронной | обязательный | | | | | | | 0,0368 | |
| |почты подразделению (лицу), | | | | | | | | | |
| |ответственному за обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.19 |Не допускаются ли изменения в | обязательный | | | | | | | 0,0390 | |
| |архиве электронной почты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.20 |Определен ли документально | обязательный | | | | | | | 0,0433 | |
| |порядок доступа к информации | | | | | | | | | |
| |архива электронной почты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.21 |Не применяется ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0436 | |
| |практика хранения и обработки | |////|/////|/////|/////| | | | |
| |банковской информации (в т.ч. | |////|/////|/////|/////| | | | |
| |открытой) на ЭВМ, с помощью | |////|/////|/////|/////| | | | |
| |которой осуществляется | |////|/////|/////|/////| | | | |
| |взаимодействие с сетью Интернет в | |////|/////|/////|/////| | | | |
| |режиме on-line? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.22 |Всегда ли наличие банковской | обязательный | | | | | | | 0,0430 | |
| |информации на ЭВМ, с помощью | | | | | | | | | |
| |которых осуществляется | | | | | | | | | |
| |взаимодействие с сетью Интернет в | | | | | | | | | |
| |режиме on-line, определяется | | | | | | | | | |
| |бизнес-целями организации и | | | | | | | | | |
| |документально санкционируется ее | | | | | | | | | |
| |руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.23 |Определены ли документально и | обязательный | | | | | | | 0,0415 | |
| |используются ли защитные меры, | | | | | | | | | |
| |позволяющие обеспечить | | | | | | | | | |
| |противодействие атакам хакеров и | | | | | | | | | |
| |распространению спама? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М5 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".