Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М8 "Обеспечение
информационной безопасности банковских информационных
технологических процессов"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.1 |Проведена ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0852 | |
| |классификация неплатежной | |////|/////|/////|/////| | | | |
| |информации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.2 |Проводится ли классификация | рекомендуемый |////|/////|/////|/////| | | 0,0779 | |
| |неплатежной информации в | |////|/////|/////|/////| | | | |
| |соответствии со степенью тяжести | |////|/////|/////|/////| | | | |
| |последствий потери ее свойств ИБ, | |////|/////|/////|/////| | | | |
| |в частности свойств доступности, | |////|/////|/////|/////| | | | |
| |целостности и конфиденциальности? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.3 |Определен ли документально набор | обязательный | | | | | | | 0,0970 | |
| |требований по защите каждого из | | | | | | | | | |
| |типов неплатежных информационных | | | | | | | | | |
| |активов (типов неплатежной | | | | | | | | | |
| |информации), полученных в | | | | | | | | | |
| |результате классификации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.4 |Возложены ли обязанности по | рекомендуемый |////|/////|/////|/////| | | 0,0814 | |
| |администрированию средств защиты | |////|/////|/////|/////| | | | |
| |неплатежной информации приказами | |////|/////|/////|/////| | | | |
| |или распоряжениями по организации | |////|/////|/////|/////| | | | |
| |на администраторов ИБ с | |////|/////|/////|/////| | | | |
| |отражением этих обязанностей в | |////|/////|/////|/////| | | | |
| |должностных инструкциях? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.5 |Определен ли документально | обязательный | | | | | | | 0,0777 | |
| |порядок контроля функционирования | | | | | | | | | |
| |со стороны лиц, отвечающих за ИБ, | | | | | | | | | |
| |для каждой АБС организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.6 |Определены ли в документах | обязательный | | | | | | | 0,0740 | |
| |организации банковские | | | | | | | | | |
| |информационные технологические | | | | | | | | | |
| |процессы, согласованы ли эти | | | | | | | | | |
| |документы со службой ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.7 |Реализованы ли банковские | обязательный | | | | | | | 0,0639 | |
| |информационные технологические | | | | | | | | | |
| |процессы в рамках созданных для | | | | | | | | | |
| |этих целей АБС? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.8 |Изолированы ли серверы, офисные | рекомендуемый |////|/////|/////|/////| | | 0,0758 | |
| |ЭВМ и другое оборудование, не | |////|/////|/////|/////| | | | |
| |входящее в состав АБС, | |////|/////|/////|/////| | | | |
| |реализующих банковские | |////|/////|/////|/////| | | | |
| |информационные технологические | |////|/////|/////|/////| | | | |
| |процессы, от указанных АБС на | |////|/////|/////|/////| | | | |
| |уровне локальных вычислительных | |////|/////|/////|/////| | | | |
| |сетей способом, согласованным со | |////|/////|/////|/////| | | | |
| |службой либо лицом, отвечающим в | |////|/////|/////|/////| | | | |
| |организации за ИБ? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.9 |Определены ли документально | обязательный | | | | | | | 0,0646 | |
| |перечни программного обеспечения, | | | | | | | | | |
| |устанавливаемого и (или) | | | | | | | | | |
| |используемого в ЭВМ и АБС и | | | | | | | | | |
| |необходимого для выполнения | | | | | | | | | |
| |конкретных банковских | | | | | | | | | |
| |информационных технологических | | | | | | | | | |
| |процессов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.10 |Соответствует ли состав | обязательный | | | | | | | 0,0646 | |
| |установленного и используемого в | | | | | | | | | |
| |ЭВМ и АБС программного | | | | | | | | | |
| |обеспечения определенному | | | | | | | | | |
| |перечню? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.11 |Контролируется ли выполнение | обязательный | | | | | | | 0,0676 | |
| |требований частных показателей | | | | | | | | | |
| |М8.9, М8.10 с документированием | | | | | | | | | |
| |результатов контроля? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.12 |Регламентирована ли в документах | обязательный | | | | | | | 0,0889 | |
| |организации, согласована ли со | | | | | | | | | |
| |службой ИБ либо лицом, отвечающим | | | | | | | | | |
| |за обеспечение ИБ, и выполняется | | | | | | | | | |
| |ли процедура периодического | | | | | | | | | |
| |контроля всех реализованных | | | | | | | | | |
| |программно-техническими | | | | | | | | | |
| |средствами и организационными | | | | | | | | | |
| |мерами функций (требований) по | | | | | | | | | |
| |обеспечению ИБ неплатежной | | | | | | | | | |
| |информации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.13 |Регламентирована ли в документах | обязательный | | | | | | | 0,0814 | |
| |организации, согласована ли со | | | | | | | | | |
| |службой ИБ либо лицом, отвечающим | | | | | | | | | |
| |за обеспечение ИБ, и выполняется | | | | | | | | | |
| |ли процедура восстановления всех | | | | | | | | | |
| |реализованных программно- | | | | | | | | | |
| |техническими средствами и | | | | | | | | | |
| |организационными мерами функций | | | | | | | | | |
| |по обеспечению ИБ неплатежной | | | | | | | | | |
| |информации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М8 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".