Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M2 "Обеспечение
информационной безопасности автоматизированных
банковских систем на стадиях жизненного цикла"
--------------------T--------------------------------------------T----------------T------------------------------------------T----------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T------T-------T------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.1 ¦ Рассматриваются ли при формировании ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0504 ¦ ¦
¦ ¦ требований ИБ следующие стадии модели ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ ЖЦ АБС: ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - разработка технических заданий; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - проектирование; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - создание и тестирование; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - приемка и ввод в действие; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - эксплуатация; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - сопровождение и модернизация; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - снятие с эксплуатации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.2 ¦ Осуществляются ли разработка ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0616 ¦ ¦
¦ ¦ технических заданий и приемка АБС по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ согласованию и при участии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подразделения (лиц) в организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ответственного за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.3 ¦ Осуществляются ли ввод в действие, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0591 ¦ ¦
¦ ¦ эксплуатация и сопровождение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (модернизация), снятие с эксплуатации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ АБС под контролем подразделений (лиц) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в организации, ответственных за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.4 ¦ Имеют ли соответствующие лицензии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0563 ¦ ¦
¦ ¦ организации, которые привлекаются на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ договорной основе для разработки и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (или) производства средств и систем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защиты АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.5 ¦ Снабжены ли разрабатываемые АБС и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦ (или) их компоненты документацией, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащей описание реализованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер, в том числе в отношении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ угроз ИБ (источников угроз), описанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в модели угроз организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.6 ¦ Снабжены ли приобретаемые организацией ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0604 ¦ ¦
¦ ¦ АБС и (или) их компоненты ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ документацией, содержащей описание ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных защитных мер, в том ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ числе в отношении угроз ИБ (источников ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ угроз), описанных в модели угроз ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.7 ¦ Содержит ли документация на ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0450 ¦ ¦
¦ ¦ разрабатываемые АБС или приобретаемые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ готовые АБС и их компоненты описание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предпринятых разработчиком ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ относительно безопасности разработки и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ безопасности поставки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.8 ¦ Реализуется ли при взаимодействии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0604 ¦ ¦
¦ ¦ организации с разработчиком АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ компонентов одна из трех альтернатив: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ 1) в договор (контракт) о разработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ АБС или поставке готовых АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ компонентов включаются положения по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сопровождению поставляемых изделий на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ весь срок их службы; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ 2) организация приобретает полный ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ комплект рабочей конструкторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документации, обеспечивающий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ возможность сопровождения АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ компонентов без участия разработчика; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ 3) руководство организации оценивает и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документально оформляет допустимость ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ риска нарушения ИБ, возникающего при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ невозможности сопровождения АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ компонентов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.9 ¦ Учитывается ли при разработке ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0596 ¦ ¦
¦ ¦ технических заданий на системы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания, что защита данных должна ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечиваться в условиях: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - попыток доступа к банковской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации анонимных, неавторизованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ злоумышленников при использовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сетей общего пользования; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - возможности ошибок авторизованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пользователей систем; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - возможности ненамеренного или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ неадекватного использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ конфиденциальных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ авторизованными пользователями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.10 ¦ Обеспечиваются ли на стадии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0474 ¦ ¦
¦ ¦ тестирования анонимность данных и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проверка адекватности разграничения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ доступа? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.11 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0700 ¦ ¦
¦ ¦ и выполняются ли на стадии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатации АБС процедуры контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работоспособности (функционирования, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эффективности) реализованных в АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.12 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0626 ¦ ¦
¦ ¦ показателе M2.11 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.13 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0596 ¦ ¦
¦ ¦ и выполняются ли на стадии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сопровождения (модернизации) АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедуры контроля, обеспечивающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защиту от: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - умышленного несанкционированного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ раскрытия, модификации или уничтожения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - неумышленной модификации, раскрытия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ или уничтожения информации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - отказа в обслуживании или ухудшения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.14 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0533 ¦ ¦
¦ ¦ показателе M2.13 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.15 ¦ Проводятся ли на стадии сопровождения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦ (модернизации) при любом внесении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменений в АБС процедуры проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функциональности, результаты которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документируются? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.16 ¦ Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0675 ¦ ¦
¦ ¦ выполняются ли на стадии снятия с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатации процедуры, обеспечивающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ удаление информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ несанкционированное использование ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ которой может нанести ущерб бизнес- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности организации, и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации, используемой средствами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечения ИБ, из постоянной памяти ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ АБС и с внешних носителей (за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ исключением архивов электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов и протоколов электронного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ взаимодействия, ведение и сохранность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ которых в течение определенного срока ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предусмотрены соответствующими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нормативными и (или) договорными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документами)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.17 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0576 ¦ ¦
¦ ¦ показателе M2.16 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ Итоговая оценка группового показателя M2 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".