СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0. Распоряжение. Центральный банк РФ (ЦБР). 07.05.09 Р-496

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа

Групповой показатель М6 "Обеспечение информационной
       безопасности при использовании средств криптографической
                          защиты информации"

-------------------------------------------------------------------------------------------------------------------------------
| Обозначение  |      Частный показатель ИБ       |Обязательность |  Оценка частного показателя ИБ  |Коэффициент |Вычисленное |
|   частного   |                                  |  выполнения   |---------------------------------| значимости |  значение  |
|показателя ИБ |                                  |               | 0  |0,25 | 0,5 |0,75 | 1  | н/о |  частного  | показателя |
|              |                                  |               |    |     |     |     |    |     | показателя |     ИБ     |
|              |                                  |               |    |     |     |     |    |     |     ИБ     |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.1     |Проводится ли применение СКЗИ в   | обязательный  |    |     |     |     |    |     |   0,0776   |            |
|              |АБС в соответствии с моделью      |               |    |     |     |     |    |     |            |            |
|              |нарушителя, принятой в            |               |    |     |     |     |    |     |            |            |
|              |организации, с целью защиты       |               |    |     |     |     |    |     |            |            |
|              |информации при ее обработке,      |               |    |     |     |     |    |     |            |            |
|              |хранении и передаче по каналам    |               |    |     |     |     |    |     |            |            |
|              |связи?                            |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.2     |Утверждена ли политика            | рекомендуемый |////|/////|/////|/////|    |     |   0,0694   |            |
|              |(концепция) применения СКЗИ в     |               |////|/////|/////|/////|    |     |            |            |
|              |организации?                      |               |////|/////|/////|/////|    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.3     |Допускают ли СКЗИ возможность     | обязательный  |    |     |     |     |    |     |   0,0691   |            |
|              |встраивания в технологическую     |               |    |     |     |     |    |     |            |            |
|              |схему обработки электронных       |               |    |     |     |     |    |     |            |            |
|              |сообщений?                        |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.4     |Обеспечивают ли СКЗИ              | обязательный  |    |     |     |     |    |     |   0,0691   |            |
|              |взаимодействие с прикладным       |               |    |     |     |     |    |     |            |            |
|              |программным обеспечением на       |               |    |     |     |     |    |     |            |            |
|              |уровне обработки запросов на      |               |    |     |     |     |    |     |            |            |
|              |криптографические преобразования  |               |    |     |     |     |    |     |            |            |
|              |и выдачи результатов?             |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.5     |Поставляются ли СКЗИ              | обязательный  |    |     |     |     |    |     |   0,0919   |            |
|              |разработчиками с полным           |               |    |     |     |     |    |     |            |            |
|              |комплектом эксплуатационной       |               |    |     |     |     |    |     |            |            |
|              |документации, включающей описание |               |    |     |     |     |    |     |            |            |
|              |ключевой системы, правила работы  |               |    |     |     |     |    |     |            |            |
|              |с ней и обоснование необходимого  |               |    |     |     |     |    |     |            |            |
|              |организационно-штатного           |               |    |     |     |     |    |     |            |            |
|              |обеспечения?                      |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.6     |Выполняется ли как минимум одна   | обязательный  |    |     |     |     |    |     |   0,0936   |            |
|              |из трех альтернатив:              |               |    |     |     |     |    |     |            |            |
|              |- сертифицированы ли СКЗИ         |               |    |     |     |     |    |     |            |            |
|              |уполномоченным государственным    |               |    |     |     |     |    |     |            |            |
|              |органом;                          |               |    |     |     |     |    |     |            |            |
|              |- реализованы ли СКЗИ на основе   |               |    |     |     |     |    |     |            |            |
|              |рекомендованных уполномоченным    |               |    |     |     |     |    |     |            |            |
|              |государственным органом           |               |    |     |     |     |    |     |            |            |
|              |алгоритмов либо алгоритмов,       |               |    |     |     |     |    |     |            |            |
|              |определенных условиями договора с |               |    |     |     |     |    |     |            |            |
|              |контрагентом (клиентом)           |               |    |     |     |     |    |     |            |            |
|              |организации;                      |               |    |     |     |     |    |     |            |            |
|              |- соответствуют ли СКЗИ           |               |    |     |     |     |    |     |            |            |
|              |стандартам организации,           |               |    |     |     |     |    |     |            |            |
|              |взаимодействующей с проверяемой   |               |    |     |     |     |    |     |            |            |
|              |организацией?                     |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.7     |Поддерживается ли непрерывность   | обязательный  |    |     |     |     |    |     |   0,0755   |            |
|              |процессов протоколирования работы |               |    |     |     |     |    |     |            |            |
|              |СКЗИ при применении СКЗИ в АБС?   |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.8     |Поддерживается ли непрерывность   | обязательный  |    |     |     |     |    |     |   0,0755   |            |
|              |процессов обеспечения целостности |               |    |     |     |     |    |     |            |            |
|              |программного обеспечения для всех |               |    |     |     |     |    |     |            |            |
|              |звеньев АБС, взаимодействующих со |               |    |     |     |     |    |     |            |            |
|              |СКЗИ?                             |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.9     |Обеспечивается ли ИБ процессов    | обязательный  |    |     |     |     |    |     |   0,0847   |            |
|              |изготовления ключевых документов  |               |    |     |     |     |    |     |            |            |
|              |СКЗИ комплексом технологических,  |               |    |     |     |     |    |     |            |            |
|              |организационных, технических и    |               |    |     |     |     |    |     |            |            |
|              |программных мер и средств защиты? |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.10    |Реализованы ли процедуры          | рекомендуемый |////|/////|/////|/////|    |     |   0,0755   |            |
|              |мониторинга, предусматривающие    |               |////|/////|/////|/////|    |     |            |            |
|              |регистрацию всех значимых         |               |////|/////|/////|/////|    |     |            |            |
|              |событий, состоявшихся в процессе  |               |////|/////|/////|/////|    |     |            |            |
|              |обмена электронными сообщениями,  |               |////|/////|/////|/////|    |     |            |            |
|              |и всех инцидентов ИБ?             |               |////|/////|/////|/////|    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.11    |Определен ли руководством порядок | обязательный  |    |     |     |     |    |     |   0,0745   |            |
|              |применения СКЗИ в АБС,            |               |    |     |     |     |    |     |            |            |
|              |включающий:                       |               |    |     |     |     |    |     |            |            |
|              |- порядок ввода в действие,       |               |    |     |     |     |    |     |            |            |
|              |включая процедуры встраивания     |               |    |     |     |     |    |     |            |            |
|              |СКЗИ в АБС;                       |               |    |     |     |     |    |     |            |            |
|              |- порядок эксплуатации;           |               |    |     |     |     |    |     |            |            |
|              |- порядок восстановления          |               |    |     |     |     |    |     |            |            |
|              |работоспособности в аварийных     |               |    |     |     |     |    |     |            |            |
|              |случаях;                          |               |    |     |     |     |    |     |            |            |
|              |- порядок внесения изменений;     |               |    |     |     |     |    |     |            |            |
|              |- порядок снятия с эксплуатации;  |               |    |     |     |     |    |     |            |            |
|              |- порядок управления ключевой     |               |    |     |     |     |    |     |            |            |
|              |системой;                         |               |    |     |     |     |    |     |            |            |
|              |- порядок обращения с носителями  |               |    |     |     |     |    |     |            |            |
|              |ключевой информации, включая      |               |    |     |     |     |    |     |            |            |
|              |действия при смене и              |               |    |     |     |     |    |     |            |            |
|              |компрометации ключей?             |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.12    |Самостоятельно ли изготавливаются | обязательный  |    |     |     |     |    |     |   0,0663   |            |
|              |в организации и(или) физическим   |               |    |     |     |     |    |     |            |            |
|              |лицом ключи ЭЦП и(или) иных СКЗИ? |               |    |     |     |     |    |     |            |            |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
|     М6.13    |Отражены ли в соответствующих     | обязательный  |    |     |     |     |    |     |   0,0773   |            |
|              |договорах правовые и              |               |    |     |     |     |    |     |            |            |
|              |организационные последствия       |               |    |     |     |     |    |     |            |            |
|              |изготовления ключей СКЗИ для      |               |    |     |     |     |    |     |            |            |
|              |одной организации в другой        |               |    |     |     |     |    |     |            |            |
|              |организации?                      |               |    |     |     |     |    |     |            |            |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М6                                                                        |            |
-------------------------------------------------------------------------------------------------------------------------------

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа