Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации" ------------------------------------------------------------------------------------------------------------------------------- | Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное | | частного | | выполнения |---------------------------------| значимости | значение | |показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя | | | | | | | | | | | показателя | ИБ | | | | | | | | | | | ИБ | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.1 |Проводится ли применение СКЗИ в | обязательный | | | | | | | 0,0776 | | | |АБС в соответствии с моделью | | | | | | | | | | | |нарушителя, принятой в | | | | | | | | | | | |организации, с целью защиты | | | | | | | | | | | |информации при ее обработке, | | | | | | | | | | | |хранении и передаче по каналам | | | | | | | | | | | |связи? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.2 |Утверждена ли политика | рекомендуемый |////|/////|/////|/////| | | 0,0694 | | | |(концепция) применения СКЗИ в | |////|/////|/////|/////| | | | | | |организации? | |////|/////|/////|/////| | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.3 |Допускают ли СКЗИ возможность | обязательный | | | | | | | 0,0691 | | | |встраивания в технологическую | | | | | | | | | | | |схему обработки электронных | | | | | | | | | | | |сообщений? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.4 |Обеспечивают ли СКЗИ | обязательный | | | | | | | 0,0691 | | | |взаимодействие с прикладным | | | | | | | | | | | |программным обеспечением на | | | | | | | | | | | |уровне обработки запросов на | | | | | | | | | | | |криптографические преобразования | | | | | | | | | | | |и выдачи результатов? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.5 |Поставляются ли СКЗИ | обязательный | | | | | | | 0,0919 | | | |разработчиками с полным | | | | | | | | | | | |комплектом эксплуатационной | | | | | | | | | | | |документации, включающей описание | | | | | | | | | | | |ключевой системы, правила работы | | | | | | | | | | | |с ней и обоснование необходимого | | | | | | | | | | | |организационно-штатного | | | | | | | | | | | |обеспечения? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.6 |Выполняется ли как минимум одна | обязательный | | | | | | | 0,0936 | | | |из трех альтернатив: | | | | | | | | | | | |- сертифицированы ли СКЗИ | | | | | | | | | | | |уполномоченным государственным | | | | | | | | | | | |органом; | | | | | | | | | | | |- реализованы ли СКЗИ на основе | | | | | | | | | | | |рекомендованных уполномоченным | | | | | | | | | | | |государственным органом | | | | | | | | | | | |алгоритмов либо алгоритмов, | | | | | | | | | | | |определенных условиями договора с | | | | | | | | | | | |контрагентом (клиентом) | | | | | | | | | | | |организации; | | | | | | | | | | | |- соответствуют ли СКЗИ | | | | | | | | | | | |стандартам организации, | | | | | | | | | | | |взаимодействующей с проверяемой | | | | | | | | | | | |организацией? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.7 |Поддерживается ли непрерывность | обязательный | | | | | | | 0,0755 | | | |процессов протоколирования работы | | | | | | | | | | | |СКЗИ при применении СКЗИ в АБС? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.8 |Поддерживается ли непрерывность | обязательный | | | | | | | 0,0755 | | | |процессов обеспечения целостности | | | | | | | | | | | |программного обеспечения для всех | | | | | | | | | | | |звеньев АБС, взаимодействующих со | | | | | | | | | | | |СКЗИ? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.9 |Обеспечивается ли ИБ процессов | обязательный | | | | | | | 0,0847 | | | |изготовления ключевых документов | | | | | | | | | | | |СКЗИ комплексом технологических, | | | | | | | | | | | |организационных, технических и | | | | | | | | | | | |программных мер и средств защиты? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.10 |Реализованы ли процедуры | рекомендуемый |////|/////|/////|/////| | | 0,0755 | | | |мониторинга, предусматривающие | |////|/////|/////|/////| | | | | | |регистрацию всех значимых | |////|/////|/////|/////| | | | | | |событий, состоявшихся в процессе | |////|/////|/////|/////| | | | | | |обмена электронными сообщениями, | |////|/////|/////|/////| | | | | | |и всех инцидентов ИБ? | |////|/////|/////|/////| | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.11 |Определен ли руководством порядок | обязательный | | | | | | | 0,0745 | | | |применения СКЗИ в АБС, | | | | | | | | | | | |включающий: | | | | | | | | | | | |- порядок ввода в действие, | | | | | | | | | | | |включая процедуры встраивания | | | | | | | | | | | |СКЗИ в АБС; | | | | | | | | | | | |- порядок эксплуатации; | | | | | | | | | | | |- порядок восстановления | | | | | | | | | | | |работоспособности в аварийных | | | | | | | | | | | |случаях; | | | | | | | | | | | |- порядок внесения изменений; | | | | | | | | | | | |- порядок снятия с эксплуатации; | | | | | | | | | | | |- порядок управления ключевой | | | | | | | | | | | |системой; | | | | | | | | | | | |- порядок обращения с носителями | | | | | | | | | | | |ключевой информации, включая | | | | | | | | | | | |действия при смене и | | | | | | | | | | | |компрометации ключей? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.12 |Самостоятельно ли изготавливаются | обязательный | | | | | | | 0,0663 | | | |в организации и(или) физическим | | | | | | | | | | | |лицом ключи ЭЦП и(или) иных СКЗИ? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М6.13 |Отражены ли в соответствующих | обязательный | | | | | | | 0,0773 | | | |договорах правовые и | | | | | | | | | | | |организационные последствия | | | | | | | | | | | |изготовления ключей СКЗИ для | | | | | | | | | | | |одной организации в другой | | | | | | | | | | | |организации? | | | | | | | | | | |----------------------------------------------------------------------------------------------------------------|------------| |Итоговая оценка группового показателя М6 | | ------------------------------------------------------------------------------------------------------------------------------- |
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".