Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M5 "Обеспечение информационной
безопасности при использовании ресурсов сети Интернет"
-------------------T---------------------------------------------T----------------T------------------------------------------T----------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T------T-------T------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.1 ¦ Принято ли документально руководством ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0586 ¦ ¦
¦ ¦ организации решение об использовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сети Интернет для производственной и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (или) собственной хозяйственной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности, в котором явно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ перечислены цели использования сети ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.2 ¦ Запрещается ли использование ресурсов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0512 ¦ ¦
¦ ¦ сети Интернет в неустановленных целях? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.3 ¦ Проведено ли в организации выделение ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0398 ¦ ¦
¦ ¦ ограниченного числа пакетов, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащих перечень сервисов и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ ресурсов сети Интернет, доступных для ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ пользователей? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.4 ¦ Проводится ли наделение работников ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0355 ¦ ¦
¦ ¦ организации правами пользователя ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ конкретного пакета в соответствии с ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ его должностными обязанностями, в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ частности, в соответствии с ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ назначенными ему ролями? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.5 ¦ Оформляется ли документально наделение ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0398 ¦ ¦
¦ ¦ работников организации правами ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ пользователя конкретного пакета? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.6 ¦ Определен ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0583 ¦ ¦
¦ ¦ организации порядок подключения и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования ресурсов сети Интернет, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ включающий в том числе положение о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроле со стороны подразделения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (лиц) в организации, ответственного за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.7 ¦ Применяются ли при осуществлении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0518 ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания с использованием сети ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Интернет средства защиты информации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (межсетевые экраны, антивирусные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средства, средства криптографической ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защиты информации), которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечивают прием и передачу ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации только в установленном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ формате и только по конкретной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологии? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.8 ¦ Выполнено ли выделение и организована ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0292 ¦ ¦
¦ ¦ ли физическая изоляция от внутренних ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ сетей тех ЭВМ, с помощью которых ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществляется взаимодействие с сетью ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ Интернет в режиме on-line? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.9 ¦ Применяются ли при осуществлении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0479 ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предотвращающие возможность подмены ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ авторизованного клиента ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ злоумышленником в рамках сеанса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.10 ¦ Регистрируются ли регламентированным ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0440 ¦ ¦
¦ ¦ образом попытки подмены ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ авторизованного клиента ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ злоумышленником в рамках сеанса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.11 ¦ Все ли операции клиентов в течение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0581 ¦ ¦
¦ ¦ сеанса работы с системами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания выполняются только после ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения процедур идентификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аутентификации и авторизации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.12 ¦ Обеспечивается ли повторное выполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0415 ¦ ¦
¦ ¦ процедур идентификации, аутентификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и авторизации в случаях нарушения или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разрыва соединения при работе с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ системами дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.13 ¦ Используется ли специализированное ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0331 ¦ ¦
¦ ¦ клиентское программное обеспечение для ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ доступа пользователей к системам ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.14 ¦ Применяются ли защитные меры для ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0450 ¦ ¦
¦ ¦ осуществления почтового обмена через ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сеть Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.15 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0491 ¦ ¦
¦ ¦ перечень защитных мер и порядок их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования для осуществления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ почтового обмена через сеть Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.16 ¦ Организован ли почтовый обмен с сетью ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0331 ¦ ¦
¦ ¦ Интернет через ограниченное количество ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ точек, состоящих из внешнего ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ (подключенного к сети Интернет) и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ внутреннего (подключенного к ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ внутренним сетям организации) почтовых ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ серверов с безопасной системой ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ репликации почтовых сообщений между ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ ними (интернет-киоски)? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.17 ¦ Осуществляется ли архивирование ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦ электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.18 ¦ Доступен ли архив электронной почты ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦ подразделению (лицу), ответственному ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.19 ¦ Не допускаются ли изменения в архиве ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0390 ¦ ¦
¦ ¦ электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.20 ¦ Определен ли документально порядок ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0433 ¦ ¦
¦ ¦ доступа к информации архива ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.21 ¦ Не применяется ли в организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ практика хранения и обработки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ банковской информации (в т.ч. ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ открытой) на ЭВМ, с помощью которой ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществляется взаимодействие с сетью ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ Интернет в режиме on-line? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.22 ¦ Всегда ли наличие банковской ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0430 ¦ ¦
¦ ¦ информации на ЭВМ, с помощью которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществляется взаимодействие с сетью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Интернет в режиме on-line, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ определяется бизнес-целями организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и документально санкционируется ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M5.23 ¦ Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0415 ¦ ¦
¦ ¦ используются ли защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ позволяющие обеспечить противодействие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ атакам хакеров и распространению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ спама? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ Итоговая оценка группового показателя M5 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".