Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M6 "Обеспечение
информационной безопасности при использовании средств
криптографической защиты информации"
-------------------T---------------------------------------------T----------------T------------------------------------------T----------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T------T-------T------T-----T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.1 ¦ Проводится ли применение СКЗИ в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0857 ¦ ¦
¦ ¦ организации в соответствии с моделью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ угроз ИБ и моделью нарушителя ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ принятыми организацией? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Имеют ли СКЗИ, применяемые для защиты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ персональных данных, класс не ниже ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ КС2? Проводятся ли работы по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению безопасности информации с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ помощью СКЗИ в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действующими в настоящее время ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нормативными документами, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующими вопросы эксплуатации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ, технической документацией на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ и лицензионными требованиями ФСБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.2 ¦ Утверждена ли частная политика, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦ касающаяся применения СКЗИ в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.3 ¦ Допускают ли СКЗИ возможность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦ встраивания в технологические процессы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обработки электронных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.4 ¦ Обеспечивают ли СКЗИ взаимодействие с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦ прикладным программным обеспечением на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ уровне обработки запросов на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ криптографические преобразования и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выдачи результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.5 ¦ Поставляются ли СКЗИ разработчиками с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0842 ¦ ¦
¦ ¦ полным комплектом эксплуатационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документации, включающей описание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ключевой системы, правила работы с ней ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и обоснование необходимого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организационно-штатного обеспечения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.6 ¦ Сертифицированы ли СКЗИ уполномоченным ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0857 ¦ ¦
¦ ¦ государственным органом или имеют ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ разрешение ФСБ России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.7 ¦ Осуществляются ли установка и ввод в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0845 ¦ ¦
¦ ¦ эксплуатацию, а также эксплуатация ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ в соответствии с эксплуатационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и технической документацией к этим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средствам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.8 ¦ Поддерживается ли непрерывность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦ процессов протоколирования работы СКЗИ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ при применении СКЗИ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.9 ¦ Поддерживается ли непрерывность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦ процессов обеспечения целостности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программного обеспечения для среды ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционирования СКЗИ, представляющей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ собой совокупность технических и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программных средств, совместно с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ которыми происходит штатное ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционирование СКЗИ и которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ способны повлиять на выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предъявляемых к СКЗИ требований? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.10 ¦ Обеспечивается ли ИБ процессов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0776 ¦ ¦
¦ ¦ изготовления криптографических ключей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ комплексом технологических, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организационных, технических и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программных мер и средств защиты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.11 ¦ Реализованы ли процедуры мониторинга, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦ регистрирующие все значимые события, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ состоявшиеся в процессе обмена ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ криптографически защищенными данными, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ и все инциденты ИБ? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.12 ¦ Определен ли руководством на основании ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0671 ¦ ¦
¦ ¦ указанных в разделе 7.7 СТО БР ИББС- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ 1.0 документов порядок применения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ, включающий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок ввода в действие, включая ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедуры встраивания СКЗИ в АБС; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок эксплуатации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок восстановления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работоспособности в аварийных случаях; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок внесения изменений; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок снятия с эксплуатации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок управления ключевой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ системой; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок обращения с носителями ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ключевой информации, включая действия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ при смене и компрометации ключей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.13 ¦ Самостоятельно ли изготавливаются в ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0607 ¦ ¦
¦ ¦ организации и (или) клиентом ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ организации ключи СКЗИ? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.14 ¦ Регулируются ли заключаемыми ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0708 ¦ ¦
¦ ¦ договорами отношения, возникающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ между организациями и их клиентами? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ Итоговая оценка группового показателя M6 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".