СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. Распоряжение. Центральный банк РФ (ЦБР). 21.06.10 Р-705

Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".

Предыдущий фрагмент <<< ...  Оглавление

Полный текст документа

Таблица 1. Уточняющие вопросы частных показателей ИБ
    
----------------T-----------T-----------------------------------------T----------------¬
¦ N уточняющего ¦   Пункт   ¦            Уточняющий вопрос            ¦    Частный     ¦
¦ вопроса       ¦   РС БР   ¦                                         ¦   показатель   ¦
¦               ¦ ИББС-2.3  ¦                                         ¦     СТО БР     ¦
¦               ¦           ¦                                         ¦    ИББС-1.2    ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    1          ¦    5.2    ¦   Отнесена ли каждая информационная     ¦ M10.2, M10.3,  ¦
¦               ¦           ¦ система персональных данных (ИСПДн)     ¦ M12.2, M12.3,  ¦
¦               ¦           ¦ организации к одному из следующих       ¦ M12.4          ¦
¦               ¦           ¦ классов - ИСПДн-С, ИСПДн-Б, ИСПДн-И,    ¦                ¦
¦               ¦           ¦ ИСПДн-Д <*>?                            ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    2          ¦   6.1.1   ¦   Реализуются ли требования по          ¦ M2.1, M2.2,    ¦
¦               ¦           ¦ обеспечению безопасности персональных   ¦ M2.3, M2.4     ¦
¦               ¦           ¦ данных в ИСПДн комплексом               ¦                ¦
¦               ¦           ¦ организационных, технологических,       ¦                ¦
¦               ¦           ¦ технических и программных мер, средств  ¦                ¦
¦               ¦           ¦ и механизмов защиты информации?         ¦                ¦
¦               ¦           ¦   Осуществляется ли реализация          ¦                ¦
¦               ¦           ¦ требований и (или) организуется ли      ¦                ¦
¦               ¦           ¦ выполнение требований по обеспечению    ¦                ¦
¦               ¦           ¦ безопасности персональных данных        ¦                ¦
¦               ¦           ¦ структурным подразделением или          ¦                ¦
¦               ¦           ¦ должностным лицом (работником)          ¦                ¦
¦               ¦           ¦ организации, ответственным за           ¦                ¦
¦               ¦           ¦ обеспечение безопасности персональных   ¦                ¦
¦               ¦           ¦ данных, либо на договорной основе       ¦                ¦
¦               ¦           ¦ организацией - контрагентом             ¦                ¦
¦               ¦           ¦ организации, имеющей лицензию на        ¦                ¦
¦               ¦           ¦ деятельность по технической защите      ¦                ¦
¦               ¦           ¦ конфиденциальной информации?            ¦                ¦
¦               ¦           ¦   Допускается возложение                ¦                ¦
¦               ¦           ¦ ответственности за организацию работы   ¦                ¦
¦               ¦           ¦ по обеспечению безопасности             ¦                ¦
¦               ¦           ¦ персональных данных на существующее в   ¦                ¦
¦               ¦           ¦ организации подразделение (например,    ¦                ¦
¦               ¦           ¦ на службу ИБ).                          ¦                ¦
¦               ¦           ¦   Осуществляется ли реализация          ¦                ¦
¦               ¦           ¦ требований по обеспечению безопасности  ¦                ¦
¦               ¦           ¦ ПДн по согласованию и под контролем     ¦                ¦
¦               ¦           ¦ службы ИБ организации?                  ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    3          ¦   6.1.2   ¦   Включает ли создание ИСПДн            ¦ M2.1, M2.2,    ¦
¦               ¦           ¦ организации разработку и согласование   ¦ M2.3, M2.5,    ¦
¦               ¦           ¦ (утверждение) предусмотренной           ¦ M2.6, M8.3,    ¦
¦               ¦           ¦ техническим заданием организационно-    ¦ M8.5, M15.6,   ¦
¦               ¦           ¦ распорядительной, проектной и           ¦ M15.7          ¦
¦               ¦           ¦ эксплуатационной документации на        ¦                ¦
¦               ¦           ¦ создаваемую систему (в документации     ¦                ¦
¦               ¦           ¦ должны быть отражены вопросы            ¦                ¦
¦               ¦           ¦ обеспечения безопасности обрабатываемых ¦                ¦
¦               ¦           ¦ персональных данных)?                   ¦                ¦
¦               ¦           ¦   Осуществляются ли разработка          ¦                ¦
¦               ¦           ¦ концепций, технических заданий,         ¦                ¦
¦               ¦           ¦ проектирование, создание и              ¦                ¦
¦               ¦           ¦ тестирование, приемка и ввод в действие ¦                ¦
¦               ¦           ¦ ИСПДн по согласованию и под контролем   ¦                ¦
¦               ¦           ¦ структурного подразделения или          ¦                ¦
¦               ¦           ¦ должностного лица (работника)           ¦                ¦
¦               ¦           ¦ организации, ответственного за          ¦                ¦
¦               ¦           ¦ обеспечение безопасности персональных   ¦                ¦
¦               ¦           ¦ данных, и службы ИБ организации?        ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    4          ¦   6.1.3   ¦   Защищены ли от воздействий            ¦ M4.1, M4.5     ¦
¦               ¦           ¦ вредоносного кода все информационные    ¦                ¦
¦               ¦           ¦ активы, принадлежащие ИСПДн             ¦                ¦
¦               ¦           ¦ организации?                            ¦                ¦
¦               ¦           ¦   Определены ли в организации и         ¦                ¦
¦               ¦           ¦ зафиксированы ли документально          ¦                ¦
¦               ¦           ¦ требования по обеспечению безопасности  ¦                ¦
¦               ¦           ¦ персональных данных средствами          ¦                ¦
¦               ¦           ¦ антивирусной защиты и порядок           ¦                ¦
¦               ¦           ¦ проведения контроля реализации этих     ¦                ¦
¦               ¦           ¦ требований в соответствии с             ¦                ¦
¦               ¦           ¦ требованиями пункта 7.5 СТО БР          ¦                ¦
¦               ¦           ¦ ИББС-1.0?                               ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    5          ¦   6.1.4   ¦   Определена ли в организации система   ¦ M3.5, M3.6,    ¦
¦               ¦           ¦ контроля доступа, позволяющая           ¦ M3.7, M3.8     ¦
¦               ¦           ¦ осуществлять контроль доступа к         ¦                ¦
¦               ¦           ¦ коммуникационным портам, устройствам    ¦                ¦
¦               ¦           ¦ ввода-вывода информации, съемным        ¦                ¦
¦               ¦           ¦ машинным носителям и внешним            ¦                ¦
¦               ¦           ¦ накопителям информации ИСПДн?           ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    6          ¦   6.1.5   ¦   Действуют ли работники,               ¦ M1.1, M1.3,    ¦
¦               ¦           ¦ осуществляющие обработку персональных   ¦ M1.4, M1.19,   ¦
¦               ¦           ¦ данных в ИСПДн, в соответствии с        ¦ M16.1, M29.1   ¦
¦               ¦           ¦ инструкцией (руководством, регламентом  ¦                ¦
¦               ¦           ¦ и т.п.), входящей в состав              ¦                ¦
¦               ¦           ¦ эксплуатационной документации на ИСПДн, ¦                ¦
¦               ¦           ¦ и соблюдают ли работники требования     ¦                ¦
¦               ¦           ¦ документов организации по обеспечению   ¦                ¦
¦               ¦           ¦ ИБ?                                     ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    7          ¦   6.1.6   ¦   Возложены ли приказами                ¦ M1.1, M1.3,    ¦
¦               ¦           ¦ (распоряжениями) обязанности по         ¦ M1.4, M8.4,    ¦
¦               ¦           ¦ администрированию средств защиты и      ¦ M8.5, M15.6,   ¦
¦               ¦           ¦ механизмов защиты, реализующих          ¦ M15.7, M15.8   ¦
¦               ¦           ¦ требования по обеспечению ИБ ИСПДн      ¦                ¦
¦               ¦           ¦ организации, на администраторов         ¦                ¦
¦               ¦           ¦ информационной безопасности ИСПДн?      ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    8          ¦   6.1.7   ¦   Определен ли порядок действий         ¦ M1.1, M1.3,    ¦
¦               ¦           ¦ администратора информационной           ¦ M1.4, M1.13,   ¦
¦               ¦           ¦ безопасности ИСПДн и персонала, занятых ¦ M1.14,         ¦
¦               ¦           ¦ в процессе обработки персональных       ¦ M2.5, M2.6,    ¦
¦               ¦           ¦ данных, инструкциями (руководствами),   ¦ M2.11, M2.12,  ¦
¦               ¦           ¦ которые готовятся разработчиком ИСПД в  ¦ M3.2, M3.11,   ¦
¦               ¦           ¦ составе эксплуатационной документации   ¦ M3.12, M3.14,  ¦
¦               ¦           ¦ на ИСПДн?                               ¦ M3.15, M3.16,  ¦
¦               ¦           ¦   Выполняются ли следующие требования к ¦ M3.17, M8.5,   ¦
¦               ¦           ¦ таким инструкциям (руководствам):       ¦ M8.12, M15.6,  ¦
¦               ¦           ¦   - устанавливают требования к          ¦ M15.7, M15.8,  ¦
¦               ¦           ¦ квалификации администратора             ¦ M21.1, M21.7,  ¦
¦               ¦           ¦ информационной безопасности и персонала ¦ M21.8, M32.1,  ¦
¦               ¦           ¦ в области защиты информации, а также    ¦ M32.2          ¦
¦               ¦           ¦ актуальный перечень защищаемых объектов ¦                ¦
¦               ¦           ¦ и правила его обновления;               ¦                ¦
¦               ¦           ¦   - содержат в полном объеме актуальные ¦                ¦
¦               ¦           ¦ (по времени) данные о полномочиях       ¦                ¦
¦               ¦           ¦ пользователей;                          ¦                ¦
¦               ¦           ¦   - содержат данные о технологии        ¦                ¦
¦               ¦           ¦ обработки информации в объеме,          ¦                ¦
¦               ¦           ¦ необходимом для администратора          ¦                ¦
¦               ¦           ¦ информационной безопасности;            ¦                ¦
¦               ¦           ¦   - устанавливают порядок и             ¦                ¦
¦               ¦           ¦ периодичность анализа журналов          ¦                ¦
¦               ¦           ¦ регистрации событий (архивов журналов)? ¦                ¦
¦               ¦           ¦   Определены ли в эксплуатационной      ¦                ¦
¦               ¦           ¦ документации на ИСПДн параметры         ¦                ¦
¦               ¦           ¦ конфигурации средств защиты и           ¦                ¦
¦               ¦           ¦ механизмов защиты информации от НСД,    ¦                ¦
¦               ¦           ¦ используемых в зоне ответственности     ¦                ¦
¦               ¦           ¦ администратора информационной           ¦                ¦
¦               ¦           ¦ безопасности?                           ¦                ¦
¦               ¦           ¦   Установлены ли в эксплуатационной     ¦                ¦
¦               ¦           ¦ документации или регламентированы ли    ¦                ¦
¦               ¦           ¦ внутренним документом организации       ¦                ¦
¦               ¦           ¦ порядок и периодичность проверок        ¦                ¦
¦               ¦           ¦ установленных параметров конфигурации   ¦                ¦
¦               ¦           ¦ (при этом проверки должны проводиться   ¦                ¦
¦               ¦           ¦ не реже чем раз в год)?                 ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    9          ¦   6.1.8   ¦   Определен ли в организации и          ¦ M3.18, M3.19,  ¦
¦               ¦           ¦ зафиксирован ли документально порядок   ¦ M3.20, M11.9,  ¦
¦               ¦           ¦ доступа в помещения, в которых          ¦ M28.9          ¦
¦               ¦           ¦ размещаются технические средства ИСПДн  ¦                ¦
¦               ¦           ¦ и хранятся носители персональных        ¦                ¦
¦               ¦           ¦ данных, предусматривающий контроль      ¦                ¦
¦               ¦           ¦ доступа в помещения посторонних лиц и   ¦                ¦
¦               ¦           ¦ наличие препятствий для                 ¦                ¦
¦               ¦           ¦ несанкционированного проникновения в    ¦                ¦
¦               ¦           ¦ помещения?                              ¦                ¦
¦               ¦           ¦   Разработан ли указанный порядок       ¦                ¦
¦               ¦           ¦ структурным подразделением или          ¦                ¦
¦               ¦           ¦ должностным лицом (работником)          ¦                ¦
¦               ¦           ¦ организации, ответственным за           ¦                ¦
¦               ¦           ¦ обеспечение режима физической           ¦                ¦
¦               ¦           ¦ безопасности организации БС РФ и        ¦                ¦
¦               ¦           ¦ согласован ли структурным               ¦                ¦
¦               ¦           ¦ подразделением или должностным лицом    ¦                ¦
¦               ¦           ¦ (работником) организации БС РФ,         ¦                ¦
¦               ¦           ¦ ответственным за обеспечение            ¦                ¦
¦               ¦           ¦ безопасности персональных данных, и со  ¦                ¦
¦               ¦           ¦ службой ИБ организации?                 ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    10         ¦   6.1.9   ¦   Запрещено ли организационно-          ¦ M15.6, M15.8,  ¦
¦               ¦           ¦ техническими мерами в помещениях, в     ¦ M21.1, M21.7,  ¦
¦               ¦           ¦ которых размещаются технические         ¦ M32.1          ¦
¦               ¦           ¦ средства ИСПДн, несанкционированное и   ¦                ¦
¦               ¦           ¦ (или) нерегистрируемое (бесконтрольное) ¦                ¦
¦               ¦           ¦ копирование персональных данных, в том  ¦                ¦
¦               ¦           ¦ числе с использованием отчуждаемых      ¦                ¦
¦               ¦           ¦ носителей информации, мобильных         ¦                ¦
¦               ¦           ¦ устройств копирования и переноса        ¦                ¦
¦               ¦           ¦ информации, коммуникационных портов и   ¦                ¦
¦               ¦           ¦ устройств ввода-вывода, реализующих     ¦                ¦
¦               ¦           ¦ различные интерфейсы (включая           ¦                ¦
¦               ¦           ¦ беспроводные), запоминающих устройств   ¦                ¦
¦               ¦           ¦ мобильных средств (например, ноутбуков, ¦                ¦
¦               ¦           ¦ карманных персональных компьютеров,     ¦                ¦
¦               ¦           ¦ смартфонов, мобильных телефонов), а     ¦                ¦
¦               ¦           ¦ также устройств фото- и видеосъемки?    ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    11         ¦   6.2.1   ¦   Регламентируются ли в проектной и     ¦ M2.1, M8.6,    ¦
¦               ¦           ¦ эксплуатационной документации процессы  ¦ M15.6, M15.7   ¦
¦               ¦           ¦ обработки персональных данных, а также  ¦                ¦
¦               ¦           ¦ порядок установки, настройки,           ¦                ¦
¦               ¦           ¦ эксплуатации и восстановления           ¦                ¦
¦               ¦           ¦ необходимых технических и программных   ¦                ¦
¦               ¦           ¦ средств?                                ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    12         ¦   6.2.2   ¦   Обеспечиваются ли идентификация и     ¦ M3.5, M3.6,    ¦
¦               ¦           ¦ аутентификация (проверка подлинности)   ¦ M3.7, M3.8,    ¦
¦               ¦           ¦ субъекта доступа при входе в ИСПДн по   ¦ M15.6, M15.8   ¦
¦               ¦           ¦ идентификатору (коду) и периодически    ¦                ¦
¦               ¦           ¦ обновляемому паролю длиной не менее     ¦                ¦
¦               ¦           ¦ шести буквенно-цифровых символов?       ¦                ¦
¦               ¦           ¦   Ограничено ли при наличии технической ¦                ¦
¦               ¦           ¦ возможности количество последовательных ¦                ¦
¦               ¦           ¦ неудачных попыток ввода пароля (от 3 до ¦                ¦
¦               ¦           ¦ 5 попыток)?                             ¦                ¦
¦               ¦           ¦   Блокируют ли при превышении           ¦                ¦
¦               ¦           ¦ указанного количества средства защиты и ¦                ¦
¦               ¦           ¦ механизм защиты возможность дальнейшего ¦                ¦
¦               ¦           ¦ ввода пароля, включая правильное        ¦                ¦
¦               ¦           ¦ значение пароля, до вмешательства       ¦                ¦
¦               ¦           ¦ администратора информационной           ¦                ¦
¦               ¦           ¦ безопасности?                           ¦                ¦
¦               ¦           ¦   Регламентируются ли порядок           ¦                ¦
¦               ¦           ¦ формирования и смены паролей, а также   ¦                ¦
¦               ¦           ¦ порядок контроля исполнения этих        ¦                ¦
¦               ¦           ¦ процедур разработчиком ИСПДн в          ¦                ¦
¦               ¦           ¦ эксплуатационной документации в         ¦                ¦
¦               ¦           ¦ инструкциях (руководствах)              ¦                ¦
¦               ¦           ¦ администраторов информационной          ¦                ¦
¦               ¦           ¦ безопасности?                           ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    13         ¦   6.2.3   ¦   Осуществляется ли передача            ¦ M3.9, M5.1,    ¦
¦               ¦           ¦ персональных данных только при условии  ¦ M5.15, M5.23,  ¦
¦               ¦           ¦ обеспечения их целостности с помощью    ¦ M11.9, M28.9   ¦
¦               ¦           ¦ защитных мер, механизмов и средств,     ¦                ¦
¦               ¦           ¦ применяемых по согласованию со          ¦                ¦
¦               ¦           ¦ структурным подразделением или          ¦                ¦
¦               ¦           ¦ должностным лицом (работником)          ¦                ¦
¦               ¦           ¦ организации, ответственным за           ¦                ¦
¦               ¦           ¦ обеспечение безопасности персональных   ¦                ¦
¦               ¦           ¦ данных?                                 ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    14         ¦   6.3.2   ¦   Обеспечивается ли выполнение функций  ¦ M2.1, M3.4     ¦
¦               ¦           ¦ обеспечения безопасности персональных   ¦                ¦
¦               ¦           ¦ данных в ИСПДн средствами защиты        ¦                ¦
¦               ¦           ¦ информации, прошедшими в установленном  ¦                ¦
¦               ¦           ¦ порядке процедуру оценки соответствия,  ¦                ¦
¦               ¦           ¦ а также комплексом встроенных           ¦                ¦
¦               ¦           ¦ механизмов защиты электронных           ¦                ¦
¦               ¦           ¦ вычислительных машин (ЭВМ),             ¦                ¦
¦               ¦           ¦ операционных систем (ОС), систем        ¦                ¦
¦               ¦           ¦ управления базами данных (СУБД),        ¦                ¦
¦               ¦           ¦ прикладного программного обеспечения    ¦                ¦
¦               ¦           ¦ (ПО)?                                   ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    15         ¦   6.3.3   ¦   Выполнены ли разработчиком ИСПДн на   ¦ M3.4, M11.9,   ¦
¦               ¦           ¦ стадии ввода в действие настройки       ¦ M21.1, M28.9   ¦
¦               ¦           ¦ средств и механизмов обеспечения        ¦                ¦
¦               ¦           ¦ безопасности, не допускающие            ¦                ¦
¦               ¦           ¦ несанкционированного изменения          ¦                ¦
¦               ¦           ¦ пользователем предоставленных ему       ¦                ¦
¦               ¦           ¦ полномочий?                             ¦                ¦
¦               ¦           ¦   Определен ли разработчиком ИСПДн      ¦                ¦
¦               ¦           ¦ порядок постоянного контроля            ¦                ¦
¦               ¦           ¦ фактического состояния настроек средств ¦                ¦
¦               ¦           ¦ и механизмов обеспечения безопасности   ¦                ¦
¦               ¦           ¦ на предмет их соответствия              ¦                ¦
¦               ¦           ¦ установленным правилам?                 ¦                ¦
¦               ¦           ¦   Согласован ли указанный порядок со    ¦                ¦
¦               ¦           ¦ структурным подразделением или          ¦                ¦
¦               ¦           ¦ должностным лицом (работником)          ¦                ¦
¦               ¦           ¦ организации, ответственным за           ¦                ¦
¦               ¦           ¦ обеспечение безопасности персональных   ¦                ¦
¦               ¦           ¦ данных, и согласован ли со службой ИБ   ¦                ¦
¦               ¦           ¦ организации?                            ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    16         ¦   6.3.4   ¦   Выполняется ли в обязательном порядке ¦ M3.11, M3.12   ¦
¦               ¦           ¦ регистрация входа в ИСПДн (выхода из    ¦                ¦
¦               ¦           ¦ ИСПДн) субъектов доступа? Указываются   ¦                ¦
¦               ¦           ¦ ли в журнале регистрации событий,       ¦                ¦
¦               ¦           ¦ который ведется в электронном виде      ¦                ¦
¦               ¦           ¦ ИСПДн, следующие параметры:             ¦                ¦
¦               ¦           ¦   - дата и время входа в систему        ¦                ¦
¦               ¦           ¦ (выхода из системы) субъекта доступа;   ¦                ¦
¦               ¦           ¦   - идентификатор субъекта,             ¦                ¦
¦               ¦           ¦ предъявленный при запросе доступа;      ¦                ¦
¦               ¦           ¦   - результат попытки входа: успешная   ¦                ¦
¦               ¦           ¦ или неуспешная (несанкционированная);   ¦                ¦
¦               ¦           ¦   - идентификатор (адрес) устройства    ¦                ¦
¦               ¦           ¦ (компьютера), используемого для входа в ¦                ¦
¦               ¦           ¦ систему?                                ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    17         ¦   6.3.6   ¦   Определен ли в организации и          ¦ M2.16, M2.17,  ¦
¦               ¦           ¦ зафиксирован ли документально порядок   ¦ M3.1, M3.11,   ¦
¦               ¦           ¦ постановки на учет и снятия с учета     ¦ M3.12, M8.1,   ¦
¦               ¦           ¦ машинных носителей, предназначенных для ¦ M8.6, M8.7,    ¦
¦               ¦           ¦ размещения персональных данных?         ¦ M12.2, M12.3,  ¦
¦               ¦           ¦   Проводится ли снятие с учета машинных ¦ M17.2          ¦
¦               ¦           ¦ носителей, на которых были размещены    ¦                ¦
¦               ¦           ¦ персональные данные, по акту путем      ¦                ¦
¦               ¦           ¦ стирания с них информации средствами    ¦                ¦
¦               ¦           ¦ гарантированного стирания информации    ¦                ¦
¦               ¦           ¦ или по акту путем их уничтожения?       ¦                ¦
¦               ¦           ¦   Регламентируется ли разработчиком     ¦                ¦
¦               ¦           ¦ ИСПДн в эксплуатационной документации   ¦                ¦
¦               ¦           ¦ на ИСПДн процедура стирания информации  ¦                ¦
¦               ¦           ¦ в зависимости от применяемого средства  ¦                ¦
¦               ¦           ¦ гарантированного стирания?              ¦                ¦
¦               ¦           ¦   Осуществляется ли (при наличии        ¦                ¦
¦               ¦           ¦ технической возможности) очистка        ¦                ¦
¦               ¦           ¦ освобождаемых областей памяти на        ¦                ¦
¦               ¦           ¦ носителях, ранее использованных для     ¦                ¦
¦               ¦           ¦ хранения персональных данных?           ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    18         ¦   6.3.7   ¦   Определены ли в соответствии с        ¦ M2.13, M2.14,  ¦
¦               ¦           ¦ требованиями пункта 7.9.7 СТО БР ИББС-  ¦ M8.9, M8.10    ¦
¦               ¦           ¦ 1.0 и зафиксированы ли документально    ¦                ¦
¦               ¦           ¦ состав и назначение ПО ИСПДн?           ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    19         ¦   6.3.8   ¦   Регламентирован ли порядок внесения   ¦ M2.1, M2.13,   ¦
¦               ¦           ¦ изменений в установленное ПО ИСПДн,     ¦ M2.14, M15.6,  ¦
¦               ¦           ¦ включая контроль действий программистов ¦ M15.7, M15.8   ¦
¦               ¦           ¦ в процессе модификации ПО?              ¦                ¦
¦               ¦           ¦   Учтены ли эталонные копии ПО,         ¦                ¦
¦               ¦           ¦ регламентирован ли доступ к ним?        ¦                ¦
¦               ¦           ¦   Готовятся ли разработчиком ИСПДн      ¦                ¦
¦               ¦           ¦ соответствующие регламенты в виде       ¦                ¦
¦               ¦           ¦ инструкций, руководств и включаются ли  ¦                ¦
¦               ¦           ¦ в эксплуатационную документацию на      ¦                ¦
¦               ¦           ¦ ИСПДн?                                  ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    20         ¦   6.3.9   ¦   Подлежат ли резервному копированию    ¦ M2.13, M2.14,  ¦
¦               ¦           ¦ все программные средства, архивы,       ¦ M8.13, M20.3,  ¦
¦               ¦           ¦ журналы, информационные ресурсы         ¦ M20.5          ¦
¦               ¦           ¦ (данные), используемые и создаваемые в  ¦                ¦
¦               ¦           ¦ процессе эксплуатации ИСПДн?            ¦                ¦
¦               ¦           ¦   Предусматривают ли средства           ¦                ¦
¦               ¦           ¦ восстановления функций обеспечения      ¦                ¦
¦               ¦           ¦ безопасности персональных данных в      ¦                ¦
¦               ¦           ¦ ИСПДн ведение не менее двух независимых ¦                ¦
¦               ¦           ¦ копий программных средств?              ¦                ¦
¦               ¦           ¦   Регламентирован ли порядок создания и ¦                ¦
¦               ¦           ¦ сопровождения резервных копий,          ¦                ¦
¦               ¦           ¦ включающий способ и периодичность       ¦                ¦
¦               ¦           ¦ копирования, процедуры создания, учета, ¦                ¦
¦               ¦           ¦ хранения, использования (для            ¦                ¦
¦               ¦           ¦ восстановления) и уничтожения резервных ¦                ¦
¦               ¦           ¦ копий, разработчиком ИСПДн в            ¦                ¦
¦               ¦           ¦ эксплуатационной документации на ИСПДн? ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    21         ¦  6.3.10   ¦   Осуществляется ли (в случае нештатной ¦ M1.1, M1.3,    ¦
¦               ¦           ¦ ситуации) восстановление функций        ¦ M1.4, M2.5,    ¦
¦               ¦           ¦ обеспечения безопасности персональных   ¦ M2.6, M2.13,   ¦
¦               ¦           ¦ данных в ИСПДн администратором ИСПДн с  ¦ M8.4, M8.5,    ¦
¦               ¦           ¦ обязательным привлечением               ¦ M8.13, M20.2   ¦
¦               ¦           ¦ администратора информационной           ¦                ¦
¦               ¦           ¦ безопасности ИСПДн (при необходимости - ¦                ¦
¦               ¦           ¦ с привлечением специалистов             ¦                ¦
¦               ¦           ¦ структурного подразделения или          ¦                ¦
¦               ¦           ¦ должностного лица (работника)           ¦                ¦
¦               ¦           ¦ организации, ответственного за          ¦                ¦
¦               ¦           ¦ обеспечение безопасности персональных   ¦                ¦
¦               ¦           ¦ данных, и службы ИБ организации)?       ¦                ¦
¦               ¦           ¦   Регламентирована ли разработчиком     ¦                ¦
¦               ¦           ¦ ИСПДн в эксплуатационной документации   ¦                ¦
¦               ¦           ¦ на ИСПДн процедура восстановления?      ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    22         ¦  6.3.11   ¦   Осуществляется ли подключение ИСПДн к ¦ M5.1, M5.15,   ¦
¦               ¦           ¦ ИСПДн другого класса или к сети         ¦ M5.23          ¦
¦               ¦           ¦ Интернет с использованием средств       ¦                ¦
¦               ¦           ¦ межсетевого экранирования (межсетевых   ¦                ¦
¦               ¦           ¦ экранов), которые обеспечивают          ¦                ¦
¦               ¦           ¦ выполнение следующих функций:           ¦                ¦
¦               ¦           ¦ - фильтрацию на сетевом уровне для      ¦                ¦
¦               ¦           ¦ каждого сетевого пакета независимо      ¦                ¦
¦               ¦           ¦ (решение о фильтрации принимается на    ¦                ¦
¦               ¦           ¦ основе сетевых адресов отправителя и    ¦                ¦
¦               ¦           ¦ получателя или на основе других         ¦                ¦
¦               ¦           ¦ эквивалентных атрибутов);               ¦                ¦
¦               ¦           ¦ - идентификацию и аутентификацию        ¦                ¦
¦               ¦           ¦ администратора межсетевого экрана при   ¦                ¦
¦               ¦           ¦ его локальных запросах на доступ по     ¦                ¦
¦               ¦           ¦ идентификатору (коду) и паролю условно- ¦                ¦
¦               ¦           ¦ постоянного действия;                   ¦                ¦
¦               ¦           ¦ - регистрацию входа (выхода)            ¦                ¦
¦               ¦           ¦ администратора межсетевого экрана в     ¦                ¦
¦               ¦           ¦ систему (из системы) либо загрузки и    ¦                ¦
¦               ¦           ¦ инициализации системы и ее программного ¦                ¦
¦               ¦           ¦ останова (регистрация выхода из системы ¦                ¦
¦               ¦           ¦ не проводится в моменты аппаратурного   ¦                ¦
¦               ¦           ¦ отключения межсетевого экрана);         ¦                ¦
¦               ¦           ¦ - возможность проверки (контроля)       ¦                ¦
¦               ¦           ¦ целостности программной и               ¦                ¦
¦               ¦           ¦ информационной части средства           ¦                ¦
¦               ¦           ¦ межсетевого экранирования (в том числе  ¦                ¦
¦               ¦           ¦ с применением внешних программных       ¦                ¦
¦               ¦           ¦ средств, не встроенных в средство       ¦                ¦
¦               ¦           ¦ межсетевого экранирования);             ¦                ¦
¦               ¦           ¦ - фильтрацию пакетов служебных          ¦                ¦
¦               ¦           ¦ протоколов, служащих для диагностики и  ¦                ¦
¦               ¦           ¦ управления работой сетевых устройств;   ¦                ¦
¦               ¦           ¦ - восстановление свойств межсетевого    ¦                ¦
¦               ¦           ¦ экрана после сбоев и отказов            ¦                ¦
¦               ¦           ¦ оборудования (в том числе с применением ¦                ¦
¦               ¦           ¦ внешних программных средств, не         ¦                ¦
¦               ¦           ¦ встроенных в средство межсетевого       ¦                ¦
¦               ¦           ¦ экранирования);                         ¦                ¦
¦               ¦           ¦ - возможность проведения регламентного  ¦                ¦
¦               ¦           ¦ тестирования реализации правил          ¦                ¦
¦               ¦           ¦ фильтрации, процесса идентификации и    ¦                ¦
¦               ¦           ¦ аутентификации администратора           ¦                ¦
¦               ¦           ¦ межсетевого экрана, процесса            ¦                ¦
¦               ¦           ¦ регистрации действий администратора     ¦                ¦
¦               ¦           ¦ межсетевого экрана, процесс контроля за ¦                ¦
¦               ¦           ¦ целостностью программной и              ¦                ¦
¦               ¦           ¦ информационной части, процедур          ¦                ¦
¦               ¦           ¦ восстановления (в том числе с           ¦                ¦
¦               ¦           ¦ применением внешних программных         ¦                ¦
¦               ¦           ¦ средств, не встроенных в средство       ¦                ¦
¦               ¦           ¦ межсетевого экранирования)?             ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    23         ¦   6.4.1   ¦   Выполняются ли для информационных     ¦ M2.5, M2.6,    ¦
¦               ¦           ¦ систем обработки биометрических         ¦ M3.1, M3.3,    ¦
¦               ¦           ¦ персональных данных требования,         ¦ M3.4, M3.7,    ¦
¦               ¦           ¦ установленные Постановлением            ¦ M3.8, M3.9,    ¦
¦               ¦           ¦ Правительства от 6 июля 2008 г. N 512   ¦ M3.10, M3.11,  ¦
¦               ¦           ¦ "Об утверждении требований к            ¦ M3.12, M6.3,   ¦
¦               ¦           ¦ материальным носителям биометрических   ¦ M6.4, M8.1,    ¦
¦               ¦           ¦ персональных данных и технологиям       ¦ M8.7, M11.9,   ¦
¦               ¦           ¦ хранения таких данных вне               ¦ M12.2, M12.3,  ¦
¦               ¦           ¦ информационных систем персональных      ¦ M17.2, M28.9   ¦
¦               ¦           ¦ данных"?                                ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    24         ¦   6.5.2   ¦   Осуществляется ли идентификация по    ¦ M3.4, M3.5     ¦
¦               ¦           ¦ логическим именам информационных        ¦                ¦
¦               ¦           ¦ ресурсов (например, информационных      ¦                ¦
¦               ¦           ¦ массивов, баз данных, файлов,           ¦                ¦
¦               ¦           ¦ обрабатывающих их программ), содержащих ¦                ¦
¦               ¦           ¦ персональные данные?                    ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    25         ¦   6.5.3   ¦   Осуществляется ли обязательный        ¦ M3.2, M3.4,    ¦
¦               ¦           ¦ контроль доступа субъектов к защищаемым ¦ M3.5, M3.6,    ¦
¦               ¦           ¦ информационным ресурсам в соответствии  ¦ M3.7, M3.8     ¦
¦               ¦           ¦ с правами доступа указанных субъектов?  ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    26         ¦   6.5.4   ¦   Выполняется ли в обязательном порядке ¦ M3.11, M3.12   ¦
¦               ¦           ¦ регистрация печати материалов,          ¦                ¦
¦               ¦           ¦ содержащих персональные данные?         ¦                ¦
¦               ¦           ¦ Указываются ли в журнале регистрации    ¦                ¦
¦               ¦           ¦ событий, который ведется в электронном  ¦                ¦
¦               ¦           ¦ виде ИСПДн, следующие параметры:        ¦                ¦
¦               ¦           ¦ - дата и время печати;                  ¦                ¦
¦               ¦           ¦ - спецификация устройства печати        ¦                ¦
¦               ¦           ¦ (логическое имя (номер) внешнего        ¦                ¦
¦               ¦           ¦ устройства);                            ¦                ¦
¦               ¦           ¦ - полное наименование (вид, шифр, код)  ¦                ¦
¦               ¦           ¦ материала;                              ¦                ¦
¦               ¦           ¦ - идентификатор субъекта доступа,       ¦                ¦
¦               ¦           ¦ запросившего печать материала;          ¦                ¦
¦               ¦           ¦ - объем фактически отпечатанного        ¦                ¦
¦               ¦           ¦ материала (количество страниц, листов,  ¦                ¦
¦               ¦           ¦ копий) и результат печати: успешная     ¦                ¦
¦               ¦           ¦ (весь объем) или неуспешная?            ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    27         ¦   6.5.5   ¦   Выполняется ли обязательная           ¦ M3.11, M3.12   ¦
¦               ¦           ¦ регистрация запуска программ и          ¦                ¦
¦               ¦           ¦ процессов, осуществляющих доступ к      ¦                ¦
¦               ¦           ¦ защищаемым информационным ресурсам?     ¦                ¦
¦               ¦           ¦   Указываются ли в журнале регистрации  ¦                ¦
¦               ¦           ¦ событий, который ведется в электронном  ¦                ¦
¦               ¦           ¦ виде ИСПДн, следующие параметры:        ¦                ¦
¦               ¦           ¦ - дата и время запуска;                 ¦                ¦
¦               ¦           ¦ - имя (идентификатор) программы         ¦                ¦
¦               ¦           ¦ (процесса, задания);                    ¦                ¦
¦               ¦           ¦ - идентификатор субъекта доступа,       ¦                ¦
¦               ¦           ¦ запросившего программу (процесс,        ¦                ¦
¦               ¦           ¦ задание);                               ¦                ¦
¦               ¦           ¦ - результат попытки запуска: успешная   ¦                ¦
¦               ¦           ¦ или неуспешная (несанкционированная);   ¦                ¦
¦               ¦           ¦ - дата и время попытки доступа к        ¦                ¦
¦               ¦           ¦ защищаемому информационному ресурсу;    ¦                ¦
¦               ¦           ¦ - имя (идентификатор) защищаемого       ¦                ¦
¦               ¦           ¦ информационного ресурса;                ¦                ¦
¦               ¦           ¦ - вид запрашиваемой операции (например, ¦                ¦
¦               ¦           ¦ чтение, запись, модификация, удаление); ¦                ¦
¦               ¦           ¦ - результат попытки доступа: успешная   ¦                ¦
¦               ¦           ¦ или неуспешная (несанкционированная)?   ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    28         ¦   6.5.6   ¦   Выполняется ли обязательная           ¦ M3.11, M3.12   ¦
¦               ¦           ¦ регистрация изменений полномочий        ¦                ¦
¦               ¦           ¦ субъектов доступа и статуса объектов    ¦                ¦
¦               ¦           ¦ доступа (защищаемых информационных      ¦                ¦
¦               ¦           ¦ ресурсов)?                              ¦                ¦
¦               ¦           ¦   Указываются ли в журнале регистрации  ¦                ¦
¦               ¦           ¦ событий, который ведется в электронном  ¦                ¦
¦               ¦           ¦ виде ИСПДн, следующие параметры:        ¦                ¦
¦               ¦           ¦   - дата и время изменения;             ¦                ¦
¦               ¦           ¦   - содержание изменения с указанием    ¦                ¦
¦               ¦           ¦ идентификатора субъекта доступа, чьи    ¦                ¦
¦               ¦           ¦ полномочия подверглись изменению, или   ¦                ¦
¦               ¦           ¦ логического имени защищаемого           ¦                ¦
¦               ¦           ¦ информационного ресурса, чей статус     ¦                ¦
¦               ¦           ¦ изменился;                              ¦                ¦
¦               ¦           ¦   - идентификатор администратора        ¦                ¦
¦               ¦           ¦ информационной безопасности,            ¦                ¦
¦               ¦           ¦ осуществившего изменение?               ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    29         ¦ 6.3.5     ¦   Не имеют ли ИСПДн субъектов доступа,  ¦ M1.9, M3.11,   ¦
¦               ¦ 6.5.7     ¦ обладающих полномочиями, а при          ¦ M3.12, M8.4,   ¦
¦               ¦           ¦ возможности и техническими средствами   ¦ M8.5, M15.6,   ¦
¦               ¦           ¦ по уничтожению и модификации            ¦ M15.8          ¦
¦               ¦           ¦ информации, содержащейся в журналах     ¦                ¦
¦               ¦           ¦ регистрации событий, указанных в        ¦                ¦
¦               ¦           ¦ пунктах 6.3.4, 6.5.4 - 6.5.6            ¦                ¦
¦               ¦           ¦ РС БР ИББС-2.3?                         ¦                ¦
¦               ¦           ¦   Регламентирована ли очистка журналов  ¦                ¦
¦               ¦           ¦ регистрации событий, указанных          ¦                ¦
¦               ¦           ¦ в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР    ¦                ¦
¦               ¦           ¦ ИББС-2.3, разработчиком ИСПДн в         ¦                ¦
¦               ¦           ¦ эксплуатационной документации на ИСПДн? ¦                ¦
¦               ¦           ¦   Проводится ли перед очисткой журналов ¦                ¦
¦               ¦           ¦ регистрации событий, указанных          ¦                ¦
¦               ¦           ¦ в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР    ¦                ¦
¦               ¦           ¦ ИББС-2.3, архивирование содержащейся в  ¦                ¦
¦               ¦           ¦ них информации путем перемещения        ¦                ¦
¦               ¦           ¦ информации в соответствующий архив?     ¦                ¦
¦               ¦           ¦   Регистрируются ли операции по         ¦                ¦
¦               ¦           ¦ архивированию журнала регистрации       ¦                ¦
¦               ¦           ¦ событий, указанных в пунктах 6.3.4,     ¦                ¦
¦               ¦           ¦ 6.5.4 - 6.5.6 РС БР ИББС-2.3, с         ¦                ¦
¦               ¦           ¦ указанием времени и идентификатора      ¦                ¦
¦               ¦           ¦ работника, выполнившего операцию, в     ¦                ¦
¦               ¦           ¦ качестве первой записи в действующем    ¦                ¦
¦               ¦           ¦ журнале регистрации событий?            ¦                ¦
¦               ¦           ¦   Уничтожаются ли архивы журналов       ¦                ¦
¦               ¦           ¦ регистрации событий, указанных в        ¦                ¦
¦               ¦           ¦ пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР      ¦                ¦
¦               ¦           ¦ ИББС-2.3, только администратором        ¦                ¦
¦               ¦           ¦ информационной безопасности, в зоне     ¦                ¦
¦               ¦           ¦ ответственности которого находятся      ¦                ¦
¦               ¦           ¦ данные архивы не ранее чем через три    ¦                ¦
¦               ¦           ¦ года с момента появления последней      ¦                ¦
¦               ¦           ¦ записи в данной архивной копии?         ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    30         ¦   6.5.8   ¦   В случае, если комплекс средств       ¦ M2.1, M2.13    ¦
¦               ¦           ¦ автоматизации ИСПДн представляет собой  ¦                ¦
¦               ¦           ¦ автономное, изолированное на физическом ¦                ¦
¦               ¦           ¦ уровне в соответствии с эталонной       ¦                ¦
¦               ¦           ¦ моделью взаимодействия открытых систем  ¦                ¦
¦               ¦           ¦ - моделью OSI, автоматизированное       ¦                ¦
¦               ¦           ¦ рабочее место (АРМ) работника или       ¦                ¦
¦               ¦           ¦ работников - исключены ли из ИСПДн      ¦                ¦
¦               ¦           ¦ программные средства, предназначенные   ¦                ¦
¦               ¦           ¦ для разработки и отладки ПО (либо       ¦                ¦
¦               ¦           ¦ содержащие средства разработки, отладки ¦                ¦
¦               ¦           ¦ и тестирования программно-аппаратного   ¦                ¦
¦               ¦           ¦ обеспечения)?                           ¦                ¦
¦               ¦           ¦   В случае, если стандартные            ¦                ¦
¦               ¦           ¦ программные средства общего назначения  ¦                ¦
¦               ¦           ¦ (например, MS Office) не обеспечивают   ¦                ¦
¦               ¦           ¦ возможности выборочного удаления из них ¦                ¦
¦               ¦           ¦ средств разработки и отладки ПО -       ¦                ¦
¦               ¦           ¦ введен ли документально запрет          ¦                ¦
¦               ¦           ¦ использования отдельных компонент       ¦                ¦
¦               ¦           ¦ (средств разработки и отладки ПО)       ¦                ¦
¦               ¦           ¦ стандартных программных средств общего  ¦                ¦
¦               ¦           ¦ назначения (например, MS Office)?       ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    31         ¦   6.5.9   ¦   В случае, если комплекс средств       ¦ M2.7, M2.10,   ¦
¦               ¦           ¦ автоматизации ИСПДн включает одно или   ¦ M8.8, M8.12    ¦
¦               ¦           ¦ несколько сетевых АРМ, сетевого         ¦                ¦
¦               ¦           ¦ оборудования и серверов - располагаются ¦                ¦
¦               ¦           ¦ ли технические и программные средства,  ¦                ¦
¦               ¦           ¦ предназначенные для разработки и        ¦                ¦
¦               ¦           ¦ отладки ПО либо содержащие средства     ¦                ¦
¦               ¦           ¦ разработки, отладки и тестирования      ¦                ¦
¦               ¦           ¦ программно-аппаратного обеспечения, в   ¦                ¦
¦               ¦           ¦ сегментах локальной вычислительной сети ¦                ¦
¦               ¦           ¦ (ЛВС), изолированных (на уровне не выше ¦                ¦
¦               ¦           ¦ сетевого в соответствии с эталонной     ¦                ¦
¦               ¦           ¦ моделью взаимодействия открытых систем  ¦                ¦
¦               ¦           ¦ - моделью OSI) от сегментов,            ¦                ¦
¦               ¦           ¦ задействованных в обработке             ¦                ¦
¦               ¦           ¦ персональных данных?                    ¦                ¦
¦               ¦           ¦   Регламентированы ли разработчиком в   ¦                ¦
¦               ¦           ¦ эксплуатационной документации на ИСПДн  ¦                ¦
¦               ¦           ¦ параметры настроек технических и        ¦                ¦
¦               ¦           ¦ программных средств, обеспечивающих     ¦                ¦
¦               ¦           ¦ указанное разделение, а также процедура ¦                ¦
¦               ¦           ¦ контроля этих параметров настроек?      ¦                ¦
¦               ¦           ¦   В случае, если стандартные            ¦                ¦
¦               ¦           ¦ программные средства общего назначения  ¦                ¦
¦               ¦           ¦ (например, MS Office) не обеспечивают   ¦                ¦
¦               ¦           ¦ возможности выборочного удаления из них ¦                ¦
¦               ¦           ¦ средств разработки и отладки ПО -       ¦                ¦
¦               ¦           ¦ введен ли документально запрет          ¦                ¦
¦               ¦           ¦ использования отдельных компонент       ¦                ¦
¦               ¦           ¦ (средств разработки и отладки ПО)       ¦                ¦
¦               ¦           ¦ стандартных программных средств общего  ¦                ¦
¦               ¦           ¦ назначения (например, MS Office),       ¦                ¦
¦               ¦           ¦ использующихся в сегментах,             ¦                ¦
¦               ¦           ¦ задействованных в обработке             ¦                ¦
¦               ¦           ¦ персональных данных?                    ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    32         ¦  6.5.10   ¦   В случае осуществления передачи       ¦ M3.4, M6.1     ¦
¦               ¦           ¦ персональных данных между               ¦                ¦
¦               ¦           ¦ подразделениям организации по           ¦                ¦
¦               ¦           ¦ телекоммуникационным каналам и линиям   ¦                ¦
¦               ¦           ¦ связи, не принадлежащим организации или ¦                ¦
¦               ¦           ¦ не пролегающим только по территории     ¦                ¦
¦               ¦           ¦ организации - осуществляется ли такая   ¦                ¦
¦               ¦           ¦ передача только при обеспечении защиты  ¦                ¦
¦               ¦           ¦ персональных данных с помощью           ¦                ¦
¦               ¦           ¦ организации виртуальных частных сетей   ¦                ¦
¦               ¦           ¦ (Virtual Private Network - VPN) или     ¦                ¦
¦               ¦           ¦ иных защитных мер, механизмов и         ¦                ¦
¦               ¦           ¦ средств, применение которых             ¦                ¦
¦               ¦           ¦ определяется структурным подразделением ¦                ¦
¦               ¦           ¦ или должностным лицом (работником)      ¦                ¦
¦               ¦           ¦ организации, ответственным за           ¦                ¦
¦               ¦           ¦ обеспечение безопасности персональных   ¦                ¦
¦               ¦           ¦ данных, и согласовывается со службой ИБ ¦                ¦
¦               ¦           ¦ организации?                            ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    33         ¦  6.5.11   ¦   В случае осуществления передачи       ¦ M3.4, M6.1,    ¦
¦               ¦           ¦ персональных данных по                  ¦ M11.9          ¦
¦               ¦           ¦ телекоммуникационных каналам и линиям   ¦                ¦
¦               ¦           ¦ связи между подразделениями             ¦                ¦
¦               ¦           ¦ организации, с одной стороны, и         ¦                ¦
¦               ¦           ¦ внешними организациями, с другой        ¦                ¦
¦               ¦           ¦ стороны - осуществляется ли такая       ¦                ¦
¦               ¦           ¦ передача с  использованием              ¦                ¦
¦               ¦           ¦ сертифицированных СКЗИ или иных         ¦                ¦
¦               ¦           ¦ защитных механизмов, применение которых ¦                ¦
¦               ¦           ¦ определяется структурным подразделением ¦                ¦
¦               ¦           ¦ или должностным лицом (работником)      ¦                ¦
¦               ¦           ¦ организации, ответственным за           ¦                ¦
¦               ¦           ¦ обеспечение безопасности персональных   ¦                ¦
¦               ¦           ¦ данных, и согласовывается со службой ИБ ¦                ¦
¦               ¦           ¦ организации?                            ¦                ¦
¦               ¦           ¦   В случае использования СКЗИ -         ¦                ¦
¦               ¦           ¦ выполняются ли требования нормативных   ¦                ¦
¦               ¦           ¦ правовых актов ФСБ России?              ¦                ¦
¦               ¦           ¦   В случае обмена информацией с другой  ¦                ¦
¦               ¦           ¦ организацией - определены ли            ¦                ¦
¦               ¦           ¦ соглашением сторон (в частности,        ¦                ¦
¦               ¦           ¦ условиями договора) правила             ¦                ¦
¦               ¦           ¦ использования СКЗИ?                     ¦                ¦
¦               ¦           ¦   В случае отсутствия указанной         ¦                ¦
¦               ¦           ¦ технической возможности -               ¦                ¦
¦               ¦           ¦ осуществляется ли передача персональных ¦                ¦
¦               ¦           ¦ данных в электронном виде на съемных    ¦                ¦
¦               ¦           ¦ носителях в порядке, согласованном со   ¦                ¦
¦               ¦           ¦ структурным подразделением или          ¦                ¦
¦               ¦           ¦ должностным лицом (работником)          ¦                ¦
¦               ¦           ¦ организации, ответственным за           ¦                ¦
¦               ¦           ¦ обеспечение безопасности персональных   ¦                ¦
¦               ¦           ¦ данных и со службой ИБ организации?     ¦                ¦
+---------------+-----------+-----------------------------------------+----------------+
¦    34         ¦  6.5.12   ¦   Осуществляется ли подключение ИСПДн к ¦ M3.4, M5.1,    ¦
¦               ¦           ¦ ИСПДн другого класса или к сети         ¦ M5.15, M5.23   ¦
¦               ¦           ¦ Интернет с использованием средств       ¦                ¦
¦               ¦           ¦ межсетевого экранирования (межсетевых   ¦                ¦
¦               ¦           ¦ экранов), которые имеют подтвержденный  ¦                ¦
¦               ¦           ¦ сертификатом класс защиты не ниже       ¦                ¦
¦               ¦           ¦ четвертого при возможности              ¦                ¦
¦               ¦           ¦ информационного обмена между всеми      ¦                ¦
¦               ¦           ¦ компонентами защищаемой ИСПДн без       ¦                ¦
¦               ¦           ¦ использования компонентов других        ¦                ¦
¦               ¦           ¦ автоматизированных банковских систем    ¦                ¦
¦               ¦           ¦ организации (в иных случаях - не ниже   ¦                ¦
¦               ¦           ¦ третьего класса)?                       ¦                ¦
¦               ¦           ¦   Указанные классы защиты               ¦                ¦
¦               ¦           ¦ устанавливаются в соответствии с        ¦                ¦
¦               ¦           ¦ руководящим документом "Средства        ¦                ¦
¦               ¦           ¦ вычислительной техники. Межсетевые      ¦                ¦
¦               ¦           ¦ экраны. Защита от несанкционированного  ¦                ¦
¦               ¦           ¦ доступа к информации. Показатели        ¦                ¦
¦               ¦           ¦ защищенности от несанкционированного    ¦                ¦
¦               ¦           ¦ доступа к информации", утвержденного    ¦                ¦
¦               ¦           ¦ решением председателя Государственной   ¦                ¦
¦               ¦           ¦ технической комиссии при Президенте     ¦                ¦
¦               ¦           ¦ Российской Федерации от 25 июля 1997    ¦                ¦
¦               ¦           ¦ года                                    ¦                ¦
L---------------+-----------+-----------------------------------------+-----------------
    
     --------------------------------
     <*> Классы ИСПДн:
     ИСПДн-С  -  ИСПДн  обработки  специальных  категорий персональных
данных;
     ИСПДн-Б - ИСПДн обработки биометрических персональных данных;
     ИСПДн-И  -  ИСПДн  обработки  персональных  данных, не являющихся
биометрическими  и  не  относящихся к специальным категориям, доступ к
которым должен быть ограничен;
     ИСПДн-Д  -  ИСПДн  обработки  общедоступных  и (или) обезличенных
персональных данных.
    
    Таблица 2. Таблица соответствия частных показателей и положений РС
БР ИББС-2.3

-----------------------T-------------------------------T--------------------------------¬ 
¦ СТО БР ИББС-1.2      ¦ Класс ИСПДн                   ¦ РС БР ИББС-2.3                 ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M1.1                 ¦ ИСПДн-Д                       ¦ 6.1.5, 6.1.6, 6.1.7            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10    ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M1.3                 ¦ ИСПДн-Д                       ¦ 6.1.5, 6.1.6, 6.1.7            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10    ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M1.4                 ¦ ИСПДн-Д                       ¦ 6.1.5, 6.1.6, 6.1.7            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10    ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M1.9                 ¦ ИСПДн-И                       ¦ 6.3.5                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.3.5                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.3.5, 6.5.7                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M1.13                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M1.14                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M1.19                ¦ Все классы                    ¦ 6.1.5                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.1                 ¦ ИСПДн-Д                       ¦ 6.1.1, 6.1.2, 6.2.1            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.1.1, 6.1.2, 6.2.1, 6.3.2,    ¦
¦                      ¦                               ¦ 6.3.8                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.1, 6.1.2, 6.2.1, 6.3.2,    ¦
¦                      ¦                               ¦ 6.3.8, 6.5.8                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.2                 ¦ Все классы                    ¦ 6.1.1, 6.1.2                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.3                 ¦ Все классы                    ¦ 6.1.1, 6.1.2                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.4                 ¦ Все классы                    ¦ 6.1.1                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.5                 ¦ ИСПДн-Д                       ¦ 6.1.2, 6.1.7                   ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-С              ¦ 6.1.2, 6.1.7, 6.3.10           ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.1.2, 6.1.7, 6.3.10, 6.4.1    ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.6                 ¦ ИСПДн-Д                       ¦ 6.1.2, 6.1.7                   ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-С              ¦ 6.1.2, 6.1.7, 6.3.10           ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.1.2, 6.1.7, 6.3.10, 6.4.1    ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.7                 ¦ ИСПДн-С                       ¦ 6.5.9                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.10                ¦ ИСПДн-С                       ¦ 6.5.9                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.11                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.12                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.13                ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.3.7, 6.3.8, 6.3.9, 6.3.10    ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.3.7, 6.3.8, 6.3.9, 6.3.10,   ¦
¦                      ¦                               ¦ 6.5.8                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.14                ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.7, 6.3.8, 6.3.9            ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.16                ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.6                          ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M2.17                ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.6                          ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.1                 ¦ ИСПДн-И, ИСПДн-С              ¦ 6.3.6                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.3.6, 6.4.1                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.2                 ¦ ИСПДн-Д, ИСПДн-И,             ¦ 6.1.7                          ¦
¦                      ¦ ИСПДн-Б                       ¦                                ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.7, 6.5.3                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.3                 ¦ ИСПДН-Б                       ¦ 6.4.1                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.4                 ¦ ИСПДн-И                       ¦ 6.3.2, 6.3.3                   ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.3.2, 6.3.3, 6.4.1            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.3.2, 6.3.3, 6.4.1, 6.5.2,    ¦
¦                      ¦                               ¦ 6.5.3, 6.5.10, 6.5.11, 6.5.12  ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.5                 ¦ ИСПДн-Д, ИСПДн-И,             ¦ 6.1.4, 6.2.2                   ¦
¦                      ¦ ИСПДн-Б                       ¦                                ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.4, 6.2.2, 6.5.2, 6.5.3     ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.6                 ¦ ИСПДн-Д, ИСПДн-И,             ¦ 6.1.4, 6.2.2                   ¦
¦                      ¦ ИСПДн-Б                       ¦                                ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.4, 6.2.2, 6.5.3            ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.7                 ¦ ИСПДн-Д, ИСПДн-И              ¦ 6.1.4, 6.2.2                   ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.1.4, 6.2.2, 6.4.1            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.4, 6.2.2, 6.5.3            ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.8                 ¦ ИСПДн-Д, ИСПДн-И              ¦ 6.1.4, 6.2.2                   ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.1.4, 6.2.2, 6.4.1            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.4, 6.2.2, 6.5.3            ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.9                 ¦ ИСПДн-Д, ИСПДн-И,             ¦ 6.2.3                          ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.2.3, 6.4.1                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.10                ¦ ИСПДн-Б                       ¦ 6.4.1                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.11                ¦ ИСПДн-Д                       ¦ 6.1.7                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И                       ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6,    ¦
¦                      ¦                               ¦ 6.4.1                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6,    ¦
¦                      ¦                               ¦ 6.5.4, 6.5.5, 6.5.6, 6.5.7     ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.12                ¦ ИСПДн-Д                       ¦ 6.1.7                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И                       ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6,    ¦
¦                      ¦                               ¦ 6.4.1                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6,    ¦
¦                      ¦                               ¦ 6.5.4, 6.5.5, 6.5.6, 6.5.7     ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.14                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.15                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.16                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.17                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.18                ¦ Все классы                    ¦ 6.1.8                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.19                ¦ Все классы                    ¦ 6.1.8                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M3.20                ¦ Все классы                    ¦ 6.1.8                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M4.1                 ¦ Все классы                    ¦ 6.1.3                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M4.5                 ¦ Все классы                    ¦ 6.1.3                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M5.1                 ¦ ИСПДн-Д                       ¦ 6.2.3                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.2.3, 6.3.11                  ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.2.3, 6.3.11, 6.5.12          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M5.15                ¦ ИСПДн-Д                       ¦ 6.2.3                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.2.3, 6.3.11                  ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.2.3, 6.3.11, 6.5.12          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M5.23                ¦ ИСПДн-Д                       ¦ 6.2.3                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.2.3, 6.3.11                  ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.2.3, 6.3.11, 6.5.12          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M6.1                 ¦ ИСПДн-С                       ¦ 6.5.10, 6.5.11                 ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M6.3                 ¦ ИСПДн-Б                       ¦ 6.4.1                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M6.4                 ¦ ИСПДн-Б                       ¦ 6.4.1                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.1                 ¦ ИСПДн-И, ИСПДн-С              ¦ 6.3.6                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.3.6, 6.4.1                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.3                 ¦ Все классы                    ¦ 6.1.2                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.4                 ¦ ИСПДн-Д                       ¦ 6.1.6                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.1.6, 6.3.5, 6.3.10           ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.6, 6.3.5, 6.3.10, 6.5.7    ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.5                 ¦ ИСПДн-Д                       ¦ 6.1.2, 6.1.6, 6.1.7            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.1.2, 6.1.6, 6.1.7, 6.3.5,    ¦
¦                      ¦                               ¦ 6.3.10                         ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.2, 6.1.6, 6.1.7, 6.3.5,    ¦
¦                      ¦                               ¦ 6.3.10, 6.5.7                  ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.6                 ¦ ИСПДн-Д                       ¦ 6.2.1                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.2.1, 6.3.6                   ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.7                 ¦ ИСПДн-И, ИСПДн-С              ¦ 6.3.6                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.3.6, 6.4.1                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.8                 ¦ ИСПДн-С                       ¦ 6.5.9                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.9                 ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.7                          ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.10                ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.7                          ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.12                ¦ ИСПДн-Д, ИСПДн-И,             ¦ 6.1.7                          ¦
¦                      ¦ ИСПДн-Б                       ¦                                ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.7, 6.5.9                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M8.13                ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.9, 6.3.10                  ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M10.2                ¦ Все классы                    ¦ 5.2                            ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M10.3                ¦ Все классы                    ¦ 5.2                            ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M11.9                ¦ ИСПДн-Д, ИСПДн-И,             ¦ 6.1.8, 6.2.3, 6.3.3            ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.1.8, 6.2.3, 6.3.3, 6.4.1     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.8, 6.2.3, 6.3.3, 6.5.11    ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M12.2                ¦ ИСПДн-Д                       ¦ 5.2                            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-С              ¦ 5.2, 6.3.6                     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 5.2, 6.3.6, 6.4.1              ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M12.3                ¦ ИСПДн-Д                       ¦ 5.2                            ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-С              ¦ 5.2, 6.3.6                     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 5.2, 6.3.6, 6.4.1              ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M12.4                ¦ Все классы                    ¦ 5.2                            ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M15.6                ¦ ИСПДн-Д                       ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9,    ¦
¦                      ¦                               ¦ 6.2.1, 6.2.2                   ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9,    ¦
¦                      ¦                               ¦ 6.2.1, 6.2.2, 6.3.5, 6.3.8     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9,    ¦
¦                      ¦                               ¦ 6.2.1, 6.2.2, 6.3.5, 6.3.8     ¦
¦                      ¦                               ¦ 6.5.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M15.7                ¦ ИСПДн-Д                       ¦ 6.1.2, 6.1.6, 6.1.7, 6.2.1     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.1.2, 6.1.6, 6.1.7, 6.2.1,    ¦
¦                      ¦ ИСПДн-С                       ¦ 6.3.8                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M15.8                ¦ ИСПДн-Д                       ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б              ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2,    ¦
¦                      ¦                               ¦ 6.3.5, 6.3.8                   ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2,    ¦
¦                      ¦                               ¦ 6.3.5, 6.3.8, 6.5.7            ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M16.1                ¦ Все классы                    ¦ 6.1.5                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M17.2                ¦ ИСПДн-И, ИСПДн-С              ¦ 6.3.6                          ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.3.6, 6.4.1                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M20.2                ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.10                         ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M20.3                ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.9                          ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M20.5                ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.3.9                          ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M21.1                ¦ ИСПДн-Д                       ¦ 6.1.7, 6.1.9                   ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-И, ИСПДн-Б,             ¦ 6.1.7, 6.1.9, 6.3.3            ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M21.7                ¦ Все классы                    ¦ 6.1.7, 6.1.9                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M21.8                ¦ Все классы                    ¦ 6.1.7                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M28.9                ¦ ИСПДн-Д, ИСПДн-И,             ¦ 6.1.8, 6.2.3, 6.3.3            ¦
¦                      ¦ ИСПДн-С                       ¦                                ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-Б                       ¦ 6.1.8, 6.2.3, 6.3.3, 6.4.1     ¦
¦                      +-------------------------------+--------------------------------+ 
¦                      ¦ ИСПДн-С                       ¦ 6.1.8, 6.2.3, 6.3.3, 6.5.11    ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M29.1                ¦ Все классы                    ¦ 6.1.5                          ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M32.1                ¦ Все классы                    ¦ 6.1.7, 6.1.9                   ¦
+----------------------+-------------------------------+--------------------------------+ 
¦ M32.2                ¦ Все классы                    ¦ 6.1.7                          ¦
L----------------------+-------------------------------+--------------------------------- 
     
     Ключевые   слова:   банковская   система   Российской  Федерации,
информационная  безопасность, методика оценки соответствия, показатели
информационной    безопасности,    текущий    уровень   информационной
безопасности,   система   менеджмента   информационной   безопасности,
осознание   информационной   безопасности,  требования  информационной
безопасности.

    

21 июня 2010 года 
N Р-705

Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".

Предыдущий фрагмент <<< ...  Оглавление

Полный текст документа