Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Таблица 1. Уточняющие вопросы частных показателей ИБ ----------------T-----------T-----------------------------------------T----------------¬ ¦ N уточняющего ¦ Пункт ¦ Уточняющий вопрос ¦ Частный ¦ ¦ вопроса ¦ РС БР ¦ ¦ показатель ¦ ¦ ¦ ИББС-2.3 ¦ ¦ СТО БР ¦ ¦ ¦ ¦ ¦ ИББС-1.2 ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 1 ¦ 5.2 ¦ Отнесена ли каждая информационная ¦ M10.2, M10.3, ¦ ¦ ¦ ¦ система персональных данных (ИСПДн) ¦ M12.2, M12.3, ¦ ¦ ¦ ¦ организации к одному из следующих ¦ M12.4 ¦ ¦ ¦ ¦ классов - ИСПДн-С, ИСПДн-Б, ИСПДн-И, ¦ ¦ ¦ ¦ ¦ ИСПДн-Д <*>? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 2 ¦ 6.1.1 ¦ Реализуются ли требования по ¦ M2.1, M2.2, ¦ ¦ ¦ ¦ обеспечению безопасности персональных ¦ M2.3, M2.4 ¦ ¦ ¦ ¦ данных в ИСПДн комплексом ¦ ¦ ¦ ¦ ¦ организационных, технологических, ¦ ¦ ¦ ¦ ¦ технических и программных мер, средств ¦ ¦ ¦ ¦ ¦ и механизмов защиты информации? ¦ ¦ ¦ ¦ ¦ Осуществляется ли реализация ¦ ¦ ¦ ¦ ¦ требований и (или) организуется ли ¦ ¦ ¦ ¦ ¦ выполнение требований по обеспечению ¦ ¦ ¦ ¦ ¦ безопасности персональных данных ¦ ¦ ¦ ¦ ¦ структурным подразделением или ¦ ¦ ¦ ¦ ¦ должностным лицом (работником) ¦ ¦ ¦ ¦ ¦ организации, ответственным за ¦ ¦ ¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦ ¦ ¦ ¦ данных, либо на договорной основе ¦ ¦ ¦ ¦ ¦ организацией - контрагентом ¦ ¦ ¦ ¦ ¦ организации, имеющей лицензию на ¦ ¦ ¦ ¦ ¦ деятельность по технической защите ¦ ¦ ¦ ¦ ¦ конфиденциальной информации? ¦ ¦ ¦ ¦ ¦ Допускается возложение ¦ ¦ ¦ ¦ ¦ ответственности за организацию работы ¦ ¦ ¦ ¦ ¦ по обеспечению безопасности ¦ ¦ ¦ ¦ ¦ персональных данных на существующее в ¦ ¦ ¦ ¦ ¦ организации подразделение (например, ¦ ¦ ¦ ¦ ¦ на службу ИБ). ¦ ¦ ¦ ¦ ¦ Осуществляется ли реализация ¦ ¦ ¦ ¦ ¦ требований по обеспечению безопасности ¦ ¦ ¦ ¦ ¦ ПДн по согласованию и под контролем ¦ ¦ ¦ ¦ ¦ службы ИБ организации? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 3 ¦ 6.1.2 ¦ Включает ли создание ИСПДн ¦ M2.1, M2.2, ¦ ¦ ¦ ¦ организации разработку и согласование ¦ M2.3, M2.5, ¦ ¦ ¦ ¦ (утверждение) предусмотренной ¦ M2.6, M8.3, ¦ ¦ ¦ ¦ техническим заданием организационно- ¦ M8.5, M15.6, ¦ ¦ ¦ ¦ распорядительной, проектной и ¦ M15.7 ¦ ¦ ¦ ¦ эксплуатационной документации на ¦ ¦ ¦ ¦ ¦ создаваемую систему (в документации ¦ ¦ ¦ ¦ ¦ должны быть отражены вопросы ¦ ¦ ¦ ¦ ¦ обеспечения безопасности обрабатываемых ¦ ¦ ¦ ¦ ¦ персональных данных)? ¦ ¦ ¦ ¦ ¦ Осуществляются ли разработка ¦ ¦ ¦ ¦ ¦ концепций, технических заданий, ¦ ¦ ¦ ¦ ¦ проектирование, создание и ¦ ¦ ¦ ¦ ¦ тестирование, приемка и ввод в действие ¦ ¦ ¦ ¦ ¦ ИСПДн по согласованию и под контролем ¦ ¦ ¦ ¦ ¦ структурного подразделения или ¦ ¦ ¦ ¦ ¦ должностного лица (работника) ¦ ¦ ¦ ¦ ¦ организации, ответственного за ¦ ¦ ¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦ ¦ ¦ ¦ данных, и службы ИБ организации? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 4 ¦ 6.1.3 ¦ Защищены ли от воздействий ¦ M4.1, M4.5 ¦ ¦ ¦ ¦ вредоносного кода все информационные ¦ ¦ ¦ ¦ ¦ активы, принадлежащие ИСПДн ¦ ¦ ¦ ¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ Определены ли в организации и ¦ ¦ ¦ ¦ ¦ зафиксированы ли документально ¦ ¦ ¦ ¦ ¦ требования по обеспечению безопасности ¦ ¦ ¦ ¦ ¦ персональных данных средствами ¦ ¦ ¦ ¦ ¦ антивирусной защиты и порядок ¦ ¦ ¦ ¦ ¦ проведения контроля реализации этих ¦ ¦ ¦ ¦ ¦ требований в соответствии с ¦ ¦ ¦ ¦ ¦ требованиями пункта 7.5 СТО БР ¦ ¦ ¦ ¦ ¦ ИББС-1.0? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 5 ¦ 6.1.4 ¦ Определена ли в организации система ¦ M3.5, M3.6, ¦ ¦ ¦ ¦ контроля доступа, позволяющая ¦ M3.7, M3.8 ¦ ¦ ¦ ¦ осуществлять контроль доступа к ¦ ¦ ¦ ¦ ¦ коммуникационным портам, устройствам ¦ ¦ ¦ ¦ ¦ ввода-вывода информации, съемным ¦ ¦ ¦ ¦ ¦ машинным носителям и внешним ¦ ¦ ¦ ¦ ¦ накопителям информации ИСПДн? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 6 ¦ 6.1.5 ¦ Действуют ли работники, ¦ M1.1, M1.3, ¦ ¦ ¦ ¦ осуществляющие обработку персональных ¦ M1.4, M1.19, ¦ ¦ ¦ ¦ данных в ИСПДн, в соответствии с ¦ M16.1, M29.1 ¦ ¦ ¦ ¦ инструкцией (руководством, регламентом ¦ ¦ ¦ ¦ ¦ и т.п.), входящей в состав ¦ ¦ ¦ ¦ ¦ эксплуатационной документации на ИСПДн, ¦ ¦ ¦ ¦ ¦ и соблюдают ли работники требования ¦ ¦ ¦ ¦ ¦ документов организации по обеспечению ¦ ¦ ¦ ¦ ¦ ИБ? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 7 ¦ 6.1.6 ¦ Возложены ли приказами ¦ M1.1, M1.3, ¦ ¦ ¦ ¦ (распоряжениями) обязанности по ¦ M1.4, M8.4, ¦ ¦ ¦ ¦ администрированию средств защиты и ¦ M8.5, M15.6, ¦ ¦ ¦ ¦ механизмов защиты, реализующих ¦ M15.7, M15.8 ¦ ¦ ¦ ¦ требования по обеспечению ИБ ИСПДн ¦ ¦ ¦ ¦ ¦ организации, на администраторов ¦ ¦ ¦ ¦ ¦ информационной безопасности ИСПДн? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 8 ¦ 6.1.7 ¦ Определен ли порядок действий ¦ M1.1, M1.3, ¦ ¦ ¦ ¦ администратора информационной ¦ M1.4, M1.13, ¦ ¦ ¦ ¦ безопасности ИСПДн и персонала, занятых ¦ M1.14, ¦ ¦ ¦ ¦ в процессе обработки персональных ¦ M2.5, M2.6, ¦ ¦ ¦ ¦ данных, инструкциями (руководствами), ¦ M2.11, M2.12, ¦ ¦ ¦ ¦ которые готовятся разработчиком ИСПД в ¦ M3.2, M3.11, ¦ ¦ ¦ ¦ составе эксплуатационной документации ¦ M3.12, M3.14, ¦ ¦ ¦ ¦ на ИСПДн? ¦ M3.15, M3.16, ¦ ¦ ¦ ¦ Выполняются ли следующие требования к ¦ M3.17, M8.5, ¦ ¦ ¦ ¦ таким инструкциям (руководствам): ¦ M8.12, M15.6, ¦ ¦ ¦ ¦ - устанавливают требования к ¦ M15.7, M15.8, ¦ ¦ ¦ ¦ квалификации администратора ¦ M21.1, M21.7, ¦ ¦ ¦ ¦ информационной безопасности и персонала ¦ M21.8, M32.1, ¦ ¦ ¦ ¦ в области защиты информации, а также ¦ M32.2 ¦ ¦ ¦ ¦ актуальный перечень защищаемых объектов ¦ ¦ ¦ ¦ ¦ и правила его обновления; ¦ ¦ ¦ ¦ ¦ - содержат в полном объеме актуальные ¦ ¦ ¦ ¦ ¦ (по времени) данные о полномочиях ¦ ¦ ¦ ¦ ¦ пользователей; ¦ ¦ ¦ ¦ ¦ - содержат данные о технологии ¦ ¦ ¦ ¦ ¦ обработки информации в объеме, ¦ ¦ ¦ ¦ ¦ необходимом для администратора ¦ ¦ ¦ ¦ ¦ информационной безопасности; ¦ ¦ ¦ ¦ ¦ - устанавливают порядок и ¦ ¦ ¦ ¦ ¦ периодичность анализа журналов ¦ ¦ ¦ ¦ ¦ регистрации событий (архивов журналов)? ¦ ¦ ¦ ¦ ¦ Определены ли в эксплуатационной ¦ ¦ ¦ ¦ ¦ документации на ИСПДн параметры ¦ ¦ ¦ ¦ ¦ конфигурации средств защиты и ¦ ¦ ¦ ¦ ¦ механизмов защиты информации от НСД, ¦ ¦ ¦ ¦ ¦ используемых в зоне ответственности ¦ ¦ ¦ ¦ ¦ администратора информационной ¦ ¦ ¦ ¦ ¦ безопасности? ¦ ¦ ¦ ¦ ¦ Установлены ли в эксплуатационной ¦ ¦ ¦ ¦ ¦ документации или регламентированы ли ¦ ¦ ¦ ¦ ¦ внутренним документом организации ¦ ¦ ¦ ¦ ¦ порядок и периодичность проверок ¦ ¦ ¦ ¦ ¦ установленных параметров конфигурации ¦ ¦ ¦ ¦ ¦ (при этом проверки должны проводиться ¦ ¦ ¦ ¦ ¦ не реже чем раз в год)? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 9 ¦ 6.1.8 ¦ Определен ли в организации и ¦ M3.18, M3.19, ¦ ¦ ¦ ¦ зафиксирован ли документально порядок ¦ M3.20, M11.9, ¦ ¦ ¦ ¦ доступа в помещения, в которых ¦ M28.9 ¦ ¦ ¦ ¦ размещаются технические средства ИСПДн ¦ ¦ ¦ ¦ ¦ и хранятся носители персональных ¦ ¦ ¦ ¦ ¦ данных, предусматривающий контроль ¦ ¦ ¦ ¦ ¦ доступа в помещения посторонних лиц и ¦ ¦ ¦ ¦ ¦ наличие препятствий для ¦ ¦ ¦ ¦ ¦ несанкционированного проникновения в ¦ ¦ ¦ ¦ ¦ помещения? ¦ ¦ ¦ ¦ ¦ Разработан ли указанный порядок ¦ ¦ ¦ ¦ ¦ структурным подразделением или ¦ ¦ ¦ ¦ ¦ должностным лицом (работником) ¦ ¦ ¦ ¦ ¦ организации, ответственным за ¦ ¦ ¦ ¦ ¦ обеспечение режима физической ¦ ¦ ¦ ¦ ¦ безопасности организации БС РФ и ¦ ¦ ¦ ¦ ¦ согласован ли структурным ¦ ¦ ¦ ¦ ¦ подразделением или должностным лицом ¦ ¦ ¦ ¦ ¦ (работником) организации БС РФ, ¦ ¦ ¦ ¦ ¦ ответственным за обеспечение ¦ ¦ ¦ ¦ ¦ безопасности персональных данных, и со ¦ ¦ ¦ ¦ ¦ службой ИБ организации? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 10 ¦ 6.1.9 ¦ Запрещено ли организационно- ¦ M15.6, M15.8, ¦ ¦ ¦ ¦ техническими мерами в помещениях, в ¦ M21.1, M21.7, ¦ ¦ ¦ ¦ которых размещаются технические ¦ M32.1 ¦ ¦ ¦ ¦ средства ИСПДн, несанкционированное и ¦ ¦ ¦ ¦ ¦ (или) нерегистрируемое (бесконтрольное) ¦ ¦ ¦ ¦ ¦ копирование персональных данных, в том ¦ ¦ ¦ ¦ ¦ числе с использованием отчуждаемых ¦ ¦ ¦ ¦ ¦ носителей информации, мобильных ¦ ¦ ¦ ¦ ¦ устройств копирования и переноса ¦ ¦ ¦ ¦ ¦ информации, коммуникационных портов и ¦ ¦ ¦ ¦ ¦ устройств ввода-вывода, реализующих ¦ ¦ ¦ ¦ ¦ различные интерфейсы (включая ¦ ¦ ¦ ¦ ¦ беспроводные), запоминающих устройств ¦ ¦ ¦ ¦ ¦ мобильных средств (например, ноутбуков, ¦ ¦ ¦ ¦ ¦ карманных персональных компьютеров, ¦ ¦ ¦ ¦ ¦ смартфонов, мобильных телефонов), а ¦ ¦ ¦ ¦ ¦ также устройств фото- и видеосъемки? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 11 ¦ 6.2.1 ¦ Регламентируются ли в проектной и ¦ M2.1, M8.6, ¦ ¦ ¦ ¦ эксплуатационной документации процессы ¦ M15.6, M15.7 ¦ ¦ ¦ ¦ обработки персональных данных, а также ¦ ¦ ¦ ¦ ¦ порядок установки, настройки, ¦ ¦ ¦ ¦ ¦ эксплуатации и восстановления ¦ ¦ ¦ ¦ ¦ необходимых технических и программных ¦ ¦ ¦ ¦ ¦ средств? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 12 ¦ 6.2.2 ¦ Обеспечиваются ли идентификация и ¦ M3.5, M3.6, ¦ ¦ ¦ ¦ аутентификация (проверка подлинности) ¦ M3.7, M3.8, ¦ ¦ ¦ ¦ субъекта доступа при входе в ИСПДн по ¦ M15.6, M15.8 ¦ ¦ ¦ ¦ идентификатору (коду) и периодически ¦ ¦ ¦ ¦ ¦ обновляемому паролю длиной не менее ¦ ¦ ¦ ¦ ¦ шести буквенно-цифровых символов? ¦ ¦ ¦ ¦ ¦ Ограничено ли при наличии технической ¦ ¦ ¦ ¦ ¦ возможности количество последовательных ¦ ¦ ¦ ¦ ¦ неудачных попыток ввода пароля (от 3 до ¦ ¦ ¦ ¦ ¦ 5 попыток)? ¦ ¦ ¦ ¦ ¦ Блокируют ли при превышении ¦ ¦ ¦ ¦ ¦ указанного количества средства защиты и ¦ ¦ ¦ ¦ ¦ механизм защиты возможность дальнейшего ¦ ¦ ¦ ¦ ¦ ввода пароля, включая правильное ¦ ¦ ¦ ¦ ¦ значение пароля, до вмешательства ¦ ¦ ¦ ¦ ¦ администратора информационной ¦ ¦ ¦ ¦ ¦ безопасности? ¦ ¦ ¦ ¦ ¦ Регламентируются ли порядок ¦ ¦ ¦ ¦ ¦ формирования и смены паролей, а также ¦ ¦ ¦ ¦ ¦ порядок контроля исполнения этих ¦ ¦ ¦ ¦ ¦ процедур разработчиком ИСПДн в ¦ ¦ ¦ ¦ ¦ эксплуатационной документации в ¦ ¦ ¦ ¦ ¦ инструкциях (руководствах) ¦ ¦ ¦ ¦ ¦ администраторов информационной ¦ ¦ ¦ ¦ ¦ безопасности? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 13 ¦ 6.2.3 ¦ Осуществляется ли передача ¦ M3.9, M5.1, ¦ ¦ ¦ ¦ персональных данных только при условии ¦ M5.15, M5.23, ¦ ¦ ¦ ¦ обеспечения их целостности с помощью ¦ M11.9, M28.9 ¦ ¦ ¦ ¦ защитных мер, механизмов и средств, ¦ ¦ ¦ ¦ ¦ применяемых по согласованию со ¦ ¦ ¦ ¦ ¦ структурным подразделением или ¦ ¦ ¦ ¦ ¦ должностным лицом (работником) ¦ ¦ ¦ ¦ ¦ организации, ответственным за ¦ ¦ ¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦ ¦ ¦ ¦ данных? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 14 ¦ 6.3.2 ¦ Обеспечивается ли выполнение функций ¦ M2.1, M3.4 ¦ ¦ ¦ ¦ обеспечения безопасности персональных ¦ ¦ ¦ ¦ ¦ данных в ИСПДн средствами защиты ¦ ¦ ¦ ¦ ¦ информации, прошедшими в установленном ¦ ¦ ¦ ¦ ¦ порядке процедуру оценки соответствия, ¦ ¦ ¦ ¦ ¦ а также комплексом встроенных ¦ ¦ ¦ ¦ ¦ механизмов защиты электронных ¦ ¦ ¦ ¦ ¦ вычислительных машин (ЭВМ), ¦ ¦ ¦ ¦ ¦ операционных систем (ОС), систем ¦ ¦ ¦ ¦ ¦ управления базами данных (СУБД), ¦ ¦ ¦ ¦ ¦ прикладного программного обеспечения ¦ ¦ ¦ ¦ ¦ (ПО)? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 15 ¦ 6.3.3 ¦ Выполнены ли разработчиком ИСПДн на ¦ M3.4, M11.9, ¦ ¦ ¦ ¦ стадии ввода в действие настройки ¦ M21.1, M28.9 ¦ ¦ ¦ ¦ средств и механизмов обеспечения ¦ ¦ ¦ ¦ ¦ безопасности, не допускающие ¦ ¦ ¦ ¦ ¦ несанкционированного изменения ¦ ¦ ¦ ¦ ¦ пользователем предоставленных ему ¦ ¦ ¦ ¦ ¦ полномочий? ¦ ¦ ¦ ¦ ¦ Определен ли разработчиком ИСПДн ¦ ¦ ¦ ¦ ¦ порядок постоянного контроля ¦ ¦ ¦ ¦ ¦ фактического состояния настроек средств ¦ ¦ ¦ ¦ ¦ и механизмов обеспечения безопасности ¦ ¦ ¦ ¦ ¦ на предмет их соответствия ¦ ¦ ¦ ¦ ¦ установленным правилам? ¦ ¦ ¦ ¦ ¦ Согласован ли указанный порядок со ¦ ¦ ¦ ¦ ¦ структурным подразделением или ¦ ¦ ¦ ¦ ¦ должностным лицом (работником) ¦ ¦ ¦ ¦ ¦ организации, ответственным за ¦ ¦ ¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦ ¦ ¦ ¦ данных, и согласован ли со службой ИБ ¦ ¦ ¦ ¦ ¦ организации? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 16 ¦ 6.3.4 ¦ Выполняется ли в обязательном порядке ¦ M3.11, M3.12 ¦ ¦ ¦ ¦ регистрация входа в ИСПДн (выхода из ¦ ¦ ¦ ¦ ¦ ИСПДн) субъектов доступа? Указываются ¦ ¦ ¦ ¦ ¦ ли в журнале регистрации событий, ¦ ¦ ¦ ¦ ¦ который ведется в электронном виде ¦ ¦ ¦ ¦ ¦ ИСПДн, следующие параметры: ¦ ¦ ¦ ¦ ¦ - дата и время входа в систему ¦ ¦ ¦ ¦ ¦ (выхода из системы) субъекта доступа; ¦ ¦ ¦ ¦ ¦ - идентификатор субъекта, ¦ ¦ ¦ ¦ ¦ предъявленный при запросе доступа; ¦ ¦ ¦ ¦ ¦ - результат попытки входа: успешная ¦ ¦ ¦ ¦ ¦ или неуспешная (несанкционированная); ¦ ¦ ¦ ¦ ¦ - идентификатор (адрес) устройства ¦ ¦ ¦ ¦ ¦ (компьютера), используемого для входа в ¦ ¦ ¦ ¦ ¦ систему? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 17 ¦ 6.3.6 ¦ Определен ли в организации и ¦ M2.16, M2.17, ¦ ¦ ¦ ¦ зафиксирован ли документально порядок ¦ M3.1, M3.11, ¦ ¦ ¦ ¦ постановки на учет и снятия с учета ¦ M3.12, M8.1, ¦ ¦ ¦ ¦ машинных носителей, предназначенных для ¦ M8.6, M8.7, ¦ ¦ ¦ ¦ размещения персональных данных? ¦ M12.2, M12.3, ¦ ¦ ¦ ¦ Проводится ли снятие с учета машинных ¦ M17.2 ¦ ¦ ¦ ¦ носителей, на которых были размещены ¦ ¦ ¦ ¦ ¦ персональные данные, по акту путем ¦ ¦ ¦ ¦ ¦ стирания с них информации средствами ¦ ¦ ¦ ¦ ¦ гарантированного стирания информации ¦ ¦ ¦ ¦ ¦ или по акту путем их уничтожения? ¦ ¦ ¦ ¦ ¦ Регламентируется ли разработчиком ¦ ¦ ¦ ¦ ¦ ИСПДн в эксплуатационной документации ¦ ¦ ¦ ¦ ¦ на ИСПДн процедура стирания информации ¦ ¦ ¦ ¦ ¦ в зависимости от применяемого средства ¦ ¦ ¦ ¦ ¦ гарантированного стирания? ¦ ¦ ¦ ¦ ¦ Осуществляется ли (при наличии ¦ ¦ ¦ ¦ ¦ технической возможности) очистка ¦ ¦ ¦ ¦ ¦ освобождаемых областей памяти на ¦ ¦ ¦ ¦ ¦ носителях, ранее использованных для ¦ ¦ ¦ ¦ ¦ хранения персональных данных? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 18 ¦ 6.3.7 ¦ Определены ли в соответствии с ¦ M2.13, M2.14, ¦ ¦ ¦ ¦ требованиями пункта 7.9.7 СТО БР ИББС- ¦ M8.9, M8.10 ¦ ¦ ¦ ¦ 1.0 и зафиксированы ли документально ¦ ¦ ¦ ¦ ¦ состав и назначение ПО ИСПДн? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 19 ¦ 6.3.8 ¦ Регламентирован ли порядок внесения ¦ M2.1, M2.13, ¦ ¦ ¦ ¦ изменений в установленное ПО ИСПДн, ¦ M2.14, M15.6, ¦ ¦ ¦ ¦ включая контроль действий программистов ¦ M15.7, M15.8 ¦ ¦ ¦ ¦ в процессе модификации ПО? ¦ ¦ ¦ ¦ ¦ Учтены ли эталонные копии ПО, ¦ ¦ ¦ ¦ ¦ регламентирован ли доступ к ним? ¦ ¦ ¦ ¦ ¦ Готовятся ли разработчиком ИСПДн ¦ ¦ ¦ ¦ ¦ соответствующие регламенты в виде ¦ ¦ ¦ ¦ ¦ инструкций, руководств и включаются ли ¦ ¦ ¦ ¦ ¦ в эксплуатационную документацию на ¦ ¦ ¦ ¦ ¦ ИСПДн? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 20 ¦ 6.3.9 ¦ Подлежат ли резервному копированию ¦ M2.13, M2.14, ¦ ¦ ¦ ¦ все программные средства, архивы, ¦ M8.13, M20.3, ¦ ¦ ¦ ¦ журналы, информационные ресурсы ¦ M20.5 ¦ ¦ ¦ ¦ (данные), используемые и создаваемые в ¦ ¦ ¦ ¦ ¦ процессе эксплуатации ИСПДн? ¦ ¦ ¦ ¦ ¦ Предусматривают ли средства ¦ ¦ ¦ ¦ ¦ восстановления функций обеспечения ¦ ¦ ¦ ¦ ¦ безопасности персональных данных в ¦ ¦ ¦ ¦ ¦ ИСПДн ведение не менее двух независимых ¦ ¦ ¦ ¦ ¦ копий программных средств? ¦ ¦ ¦ ¦ ¦ Регламентирован ли порядок создания и ¦ ¦ ¦ ¦ ¦ сопровождения резервных копий, ¦ ¦ ¦ ¦ ¦ включающий способ и периодичность ¦ ¦ ¦ ¦ ¦ копирования, процедуры создания, учета, ¦ ¦ ¦ ¦ ¦ хранения, использования (для ¦ ¦ ¦ ¦ ¦ восстановления) и уничтожения резервных ¦ ¦ ¦ ¦ ¦ копий, разработчиком ИСПДн в ¦ ¦ ¦ ¦ ¦ эксплуатационной документации на ИСПДн? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 21 ¦ 6.3.10 ¦ Осуществляется ли (в случае нештатной ¦ M1.1, M1.3, ¦ ¦ ¦ ¦ ситуации) восстановление функций ¦ M1.4, M2.5, ¦ ¦ ¦ ¦ обеспечения безопасности персональных ¦ M2.6, M2.13, ¦ ¦ ¦ ¦ данных в ИСПДн администратором ИСПДн с ¦ M8.4, M8.5, ¦ ¦ ¦ ¦ обязательным привлечением ¦ M8.13, M20.2 ¦ ¦ ¦ ¦ администратора информационной ¦ ¦ ¦ ¦ ¦ безопасности ИСПДн (при необходимости - ¦ ¦ ¦ ¦ ¦ с привлечением специалистов ¦ ¦ ¦ ¦ ¦ структурного подразделения или ¦ ¦ ¦ ¦ ¦ должностного лица (работника) ¦ ¦ ¦ ¦ ¦ организации, ответственного за ¦ ¦ ¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦ ¦ ¦ ¦ данных, и службы ИБ организации)? ¦ ¦ ¦ ¦ ¦ Регламентирована ли разработчиком ¦ ¦ ¦ ¦ ¦ ИСПДн в эксплуатационной документации ¦ ¦ ¦ ¦ ¦ на ИСПДн процедура восстановления? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 22 ¦ 6.3.11 ¦ Осуществляется ли подключение ИСПДн к ¦ M5.1, M5.15, ¦ ¦ ¦ ¦ ИСПДн другого класса или к сети ¦ M5.23 ¦ ¦ ¦ ¦ Интернет с использованием средств ¦ ¦ ¦ ¦ ¦ межсетевого экранирования (межсетевых ¦ ¦ ¦ ¦ ¦ экранов), которые обеспечивают ¦ ¦ ¦ ¦ ¦ выполнение следующих функций: ¦ ¦ ¦ ¦ ¦ - фильтрацию на сетевом уровне для ¦ ¦ ¦ ¦ ¦ каждого сетевого пакета независимо ¦ ¦ ¦ ¦ ¦ (решение о фильтрации принимается на ¦ ¦ ¦ ¦ ¦ основе сетевых адресов отправителя и ¦ ¦ ¦ ¦ ¦ получателя или на основе других ¦ ¦ ¦ ¦ ¦ эквивалентных атрибутов); ¦ ¦ ¦ ¦ ¦ - идентификацию и аутентификацию ¦ ¦ ¦ ¦ ¦ администратора межсетевого экрана при ¦ ¦ ¦ ¦ ¦ его локальных запросах на доступ по ¦ ¦ ¦ ¦ ¦ идентификатору (коду) и паролю условно- ¦ ¦ ¦ ¦ ¦ постоянного действия; ¦ ¦ ¦ ¦ ¦ - регистрацию входа (выхода) ¦ ¦ ¦ ¦ ¦ администратора межсетевого экрана в ¦ ¦ ¦ ¦ ¦ систему (из системы) либо загрузки и ¦ ¦ ¦ ¦ ¦ инициализации системы и ее программного ¦ ¦ ¦ ¦ ¦ останова (регистрация выхода из системы ¦ ¦ ¦ ¦ ¦ не проводится в моменты аппаратурного ¦ ¦ ¦ ¦ ¦ отключения межсетевого экрана); ¦ ¦ ¦ ¦ ¦ - возможность проверки (контроля) ¦ ¦ ¦ ¦ ¦ целостности программной и ¦ ¦ ¦ ¦ ¦ информационной части средства ¦ ¦ ¦ ¦ ¦ межсетевого экранирования (в том числе ¦ ¦ ¦ ¦ ¦ с применением внешних программных ¦ ¦ ¦ ¦ ¦ средств, не встроенных в средство ¦ ¦ ¦ ¦ ¦ межсетевого экранирования); ¦ ¦ ¦ ¦ ¦ - фильтрацию пакетов служебных ¦ ¦ ¦ ¦ ¦ протоколов, служащих для диагностики и ¦ ¦ ¦ ¦ ¦ управления работой сетевых устройств; ¦ ¦ ¦ ¦ ¦ - восстановление свойств межсетевого ¦ ¦ ¦ ¦ ¦ экрана после сбоев и отказов ¦ ¦ ¦ ¦ ¦ оборудования (в том числе с применением ¦ ¦ ¦ ¦ ¦ внешних программных средств, не ¦ ¦ ¦ ¦ ¦ встроенных в средство межсетевого ¦ ¦ ¦ ¦ ¦ экранирования); ¦ ¦ ¦ ¦ ¦ - возможность проведения регламентного ¦ ¦ ¦ ¦ ¦ тестирования реализации правил ¦ ¦ ¦ ¦ ¦ фильтрации, процесса идентификации и ¦ ¦ ¦ ¦ ¦ аутентификации администратора ¦ ¦ ¦ ¦ ¦ межсетевого экрана, процесса ¦ ¦ ¦ ¦ ¦ регистрации действий администратора ¦ ¦ ¦ ¦ ¦ межсетевого экрана, процесс контроля за ¦ ¦ ¦ ¦ ¦ целостностью программной и ¦ ¦ ¦ ¦ ¦ информационной части, процедур ¦ ¦ ¦ ¦ ¦ восстановления (в том числе с ¦ ¦ ¦ ¦ ¦ применением внешних программных ¦ ¦ ¦ ¦ ¦ средств, не встроенных в средство ¦ ¦ ¦ ¦ ¦ межсетевого экранирования)? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 23 ¦ 6.4.1 ¦ Выполняются ли для информационных ¦ M2.5, M2.6, ¦ ¦ ¦ ¦ систем обработки биометрических ¦ M3.1, M3.3, ¦ ¦ ¦ ¦ персональных данных требования, ¦ M3.4, M3.7, ¦ ¦ ¦ ¦ установленные Постановлением ¦ M3.8, M3.9, ¦ ¦ ¦ ¦ Правительства от 6 июля 2008 г. N 512 ¦ M3.10, M3.11, ¦ ¦ ¦ ¦ "Об утверждении требований к ¦ M3.12, M6.3, ¦ ¦ ¦ ¦ материальным носителям биометрических ¦ M6.4, M8.1, ¦ ¦ ¦ ¦ персональных данных и технологиям ¦ M8.7, M11.9, ¦ ¦ ¦ ¦ хранения таких данных вне ¦ M12.2, M12.3, ¦ ¦ ¦ ¦ информационных систем персональных ¦ M17.2, M28.9 ¦ ¦ ¦ ¦ данных"? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 24 ¦ 6.5.2 ¦ Осуществляется ли идентификация по ¦ M3.4, M3.5 ¦ ¦ ¦ ¦ логическим именам информационных ¦ ¦ ¦ ¦ ¦ ресурсов (например, информационных ¦ ¦ ¦ ¦ ¦ массивов, баз данных, файлов, ¦ ¦ ¦ ¦ ¦ обрабатывающих их программ), содержащих ¦ ¦ ¦ ¦ ¦ персональные данные? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 25 ¦ 6.5.3 ¦ Осуществляется ли обязательный ¦ M3.2, M3.4, ¦ ¦ ¦ ¦ контроль доступа субъектов к защищаемым ¦ M3.5, M3.6, ¦ ¦ ¦ ¦ информационным ресурсам в соответствии ¦ M3.7, M3.8 ¦ ¦ ¦ ¦ с правами доступа указанных субъектов? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 26 ¦ 6.5.4 ¦ Выполняется ли в обязательном порядке ¦ M3.11, M3.12 ¦ ¦ ¦ ¦ регистрация печати материалов, ¦ ¦ ¦ ¦ ¦ содержащих персональные данные? ¦ ¦ ¦ ¦ ¦ Указываются ли в журнале регистрации ¦ ¦ ¦ ¦ ¦ событий, который ведется в электронном ¦ ¦ ¦ ¦ ¦ виде ИСПДн, следующие параметры: ¦ ¦ ¦ ¦ ¦ - дата и время печати; ¦ ¦ ¦ ¦ ¦ - спецификация устройства печати ¦ ¦ ¦ ¦ ¦ (логическое имя (номер) внешнего ¦ ¦ ¦ ¦ ¦ устройства); ¦ ¦ ¦ ¦ ¦ - полное наименование (вид, шифр, код) ¦ ¦ ¦ ¦ ¦ материала; ¦ ¦ ¦ ¦ ¦ - идентификатор субъекта доступа, ¦ ¦ ¦ ¦ ¦ запросившего печать материала; ¦ ¦ ¦ ¦ ¦ - объем фактически отпечатанного ¦ ¦ ¦ ¦ ¦ материала (количество страниц, листов, ¦ ¦ ¦ ¦ ¦ копий) и результат печати: успешная ¦ ¦ ¦ ¦ ¦ (весь объем) или неуспешная? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 27 ¦ 6.5.5 ¦ Выполняется ли обязательная ¦ M3.11, M3.12 ¦ ¦ ¦ ¦ регистрация запуска программ и ¦ ¦ ¦ ¦ ¦ процессов, осуществляющих доступ к ¦ ¦ ¦ ¦ ¦ защищаемым информационным ресурсам? ¦ ¦ ¦ ¦ ¦ Указываются ли в журнале регистрации ¦ ¦ ¦ ¦ ¦ событий, который ведется в электронном ¦ ¦ ¦ ¦ ¦ виде ИСПДн, следующие параметры: ¦ ¦ ¦ ¦ ¦ - дата и время запуска; ¦ ¦ ¦ ¦ ¦ - имя (идентификатор) программы ¦ ¦ ¦ ¦ ¦ (процесса, задания); ¦ ¦ ¦ ¦ ¦ - идентификатор субъекта доступа, ¦ ¦ ¦ ¦ ¦ запросившего программу (процесс, ¦ ¦ ¦ ¦ ¦ задание); ¦ ¦ ¦ ¦ ¦ - результат попытки запуска: успешная ¦ ¦ ¦ ¦ ¦ или неуспешная (несанкционированная); ¦ ¦ ¦ ¦ ¦ - дата и время попытки доступа к ¦ ¦ ¦ ¦ ¦ защищаемому информационному ресурсу; ¦ ¦ ¦ ¦ ¦ - имя (идентификатор) защищаемого ¦ ¦ ¦ ¦ ¦ информационного ресурса; ¦ ¦ ¦ ¦ ¦ - вид запрашиваемой операции (например, ¦ ¦ ¦ ¦ ¦ чтение, запись, модификация, удаление); ¦ ¦ ¦ ¦ ¦ - результат попытки доступа: успешная ¦ ¦ ¦ ¦ ¦ или неуспешная (несанкционированная)? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 28 ¦ 6.5.6 ¦ Выполняется ли обязательная ¦ M3.11, M3.12 ¦ ¦ ¦ ¦ регистрация изменений полномочий ¦ ¦ ¦ ¦ ¦ субъектов доступа и статуса объектов ¦ ¦ ¦ ¦ ¦ доступа (защищаемых информационных ¦ ¦ ¦ ¦ ¦ ресурсов)? ¦ ¦ ¦ ¦ ¦ Указываются ли в журнале регистрации ¦ ¦ ¦ ¦ ¦ событий, который ведется в электронном ¦ ¦ ¦ ¦ ¦ виде ИСПДн, следующие параметры: ¦ ¦ ¦ ¦ ¦ - дата и время изменения; ¦ ¦ ¦ ¦ ¦ - содержание изменения с указанием ¦ ¦ ¦ ¦ ¦ идентификатора субъекта доступа, чьи ¦ ¦ ¦ ¦ ¦ полномочия подверглись изменению, или ¦ ¦ ¦ ¦ ¦ логического имени защищаемого ¦ ¦ ¦ ¦ ¦ информационного ресурса, чей статус ¦ ¦ ¦ ¦ ¦ изменился; ¦ ¦ ¦ ¦ ¦ - идентификатор администратора ¦ ¦ ¦ ¦ ¦ информационной безопасности, ¦ ¦ ¦ ¦ ¦ осуществившего изменение? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 29 ¦ 6.3.5 ¦ Не имеют ли ИСПДн субъектов доступа, ¦ M1.9, M3.11, ¦ ¦ ¦ 6.5.7 ¦ обладающих полномочиями, а при ¦ M3.12, M8.4, ¦ ¦ ¦ ¦ возможности и техническими средствами ¦ M8.5, M15.6, ¦ ¦ ¦ ¦ по уничтожению и модификации ¦ M15.8 ¦ ¦ ¦ ¦ информации, содержащейся в журналах ¦ ¦ ¦ ¦ ¦ регистрации событий, указанных в ¦ ¦ ¦ ¦ ¦ пунктах 6.3.4, 6.5.4 - 6.5.6 ¦ ¦ ¦ ¦ ¦ РС БР ИББС-2.3? ¦ ¦ ¦ ¦ ¦ Регламентирована ли очистка журналов ¦ ¦ ¦ ¦ ¦ регистрации событий, указанных ¦ ¦ ¦ ¦ ¦ в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦ ¦ ¦ ¦ ИББС-2.3, разработчиком ИСПДн в ¦ ¦ ¦ ¦ ¦ эксплуатационной документации на ИСПДн? ¦ ¦ ¦ ¦ ¦ Проводится ли перед очисткой журналов ¦ ¦ ¦ ¦ ¦ регистрации событий, указанных ¦ ¦ ¦ ¦ ¦ в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦ ¦ ¦ ¦ ИББС-2.3, архивирование содержащейся в ¦ ¦ ¦ ¦ ¦ них информации путем перемещения ¦ ¦ ¦ ¦ ¦ информации в соответствующий архив? ¦ ¦ ¦ ¦ ¦ Регистрируются ли операции по ¦ ¦ ¦ ¦ ¦ архивированию журнала регистрации ¦ ¦ ¦ ¦ ¦ событий, указанных в пунктах 6.3.4, ¦ ¦ ¦ ¦ ¦ 6.5.4 - 6.5.6 РС БР ИББС-2.3, с ¦ ¦ ¦ ¦ ¦ указанием времени и идентификатора ¦ ¦ ¦ ¦ ¦ работника, выполнившего операцию, в ¦ ¦ ¦ ¦ ¦ качестве первой записи в действующем ¦ ¦ ¦ ¦ ¦ журнале регистрации событий? ¦ ¦ ¦ ¦ ¦ Уничтожаются ли архивы журналов ¦ ¦ ¦ ¦ ¦ регистрации событий, указанных в ¦ ¦ ¦ ¦ ¦ пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦ ¦ ¦ ¦ ИББС-2.3, только администратором ¦ ¦ ¦ ¦ ¦ информационной безопасности, в зоне ¦ ¦ ¦ ¦ ¦ ответственности которого находятся ¦ ¦ ¦ ¦ ¦ данные архивы не ранее чем через три ¦ ¦ ¦ ¦ ¦ года с момента появления последней ¦ ¦ ¦ ¦ ¦ записи в данной архивной копии? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 30 ¦ 6.5.8 ¦ В случае, если комплекс средств ¦ M2.1, M2.13 ¦ ¦ ¦ ¦ автоматизации ИСПДн представляет собой ¦ ¦ ¦ ¦ ¦ автономное, изолированное на физическом ¦ ¦ ¦ ¦ ¦ уровне в соответствии с эталонной ¦ ¦ ¦ ¦ ¦ моделью взаимодействия открытых систем ¦ ¦ ¦ ¦ ¦ - моделью OSI, автоматизированное ¦ ¦ ¦ ¦ ¦ рабочее место (АРМ) работника или ¦ ¦ ¦ ¦ ¦ работников - исключены ли из ИСПДн ¦ ¦ ¦ ¦ ¦ программные средства, предназначенные ¦ ¦ ¦ ¦ ¦ для разработки и отладки ПО (либо ¦ ¦ ¦ ¦ ¦ содержащие средства разработки, отладки ¦ ¦ ¦ ¦ ¦ и тестирования программно-аппаратного ¦ ¦ ¦ ¦ ¦ обеспечения)? ¦ ¦ ¦ ¦ ¦ В случае, если стандартные ¦ ¦ ¦ ¦ ¦ программные средства общего назначения ¦ ¦ ¦ ¦ ¦ (например, MS Office) не обеспечивают ¦ ¦ ¦ ¦ ¦ возможности выборочного удаления из них ¦ ¦ ¦ ¦ ¦ средств разработки и отладки ПО - ¦ ¦ ¦ ¦ ¦ введен ли документально запрет ¦ ¦ ¦ ¦ ¦ использования отдельных компонент ¦ ¦ ¦ ¦ ¦ (средств разработки и отладки ПО) ¦ ¦ ¦ ¦ ¦ стандартных программных средств общего ¦ ¦ ¦ ¦ ¦ назначения (например, MS Office)? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 31 ¦ 6.5.9 ¦ В случае, если комплекс средств ¦ M2.7, M2.10, ¦ ¦ ¦ ¦ автоматизации ИСПДн включает одно или ¦ M8.8, M8.12 ¦ ¦ ¦ ¦ несколько сетевых АРМ, сетевого ¦ ¦ ¦ ¦ ¦ оборудования и серверов - располагаются ¦ ¦ ¦ ¦ ¦ ли технические и программные средства, ¦ ¦ ¦ ¦ ¦ предназначенные для разработки и ¦ ¦ ¦ ¦ ¦ отладки ПО либо содержащие средства ¦ ¦ ¦ ¦ ¦ разработки, отладки и тестирования ¦ ¦ ¦ ¦ ¦ программно-аппаратного обеспечения, в ¦ ¦ ¦ ¦ ¦ сегментах локальной вычислительной сети ¦ ¦ ¦ ¦ ¦ (ЛВС), изолированных (на уровне не выше ¦ ¦ ¦ ¦ ¦ сетевого в соответствии с эталонной ¦ ¦ ¦ ¦ ¦ моделью взаимодействия открытых систем ¦ ¦ ¦ ¦ ¦ - моделью OSI) от сегментов, ¦ ¦ ¦ ¦ ¦ задействованных в обработке ¦ ¦ ¦ ¦ ¦ персональных данных? ¦ ¦ ¦ ¦ ¦ Регламентированы ли разработчиком в ¦ ¦ ¦ ¦ ¦ эксплуатационной документации на ИСПДн ¦ ¦ ¦ ¦ ¦ параметры настроек технических и ¦ ¦ ¦ ¦ ¦ программных средств, обеспечивающих ¦ ¦ ¦ ¦ ¦ указанное разделение, а также процедура ¦ ¦ ¦ ¦ ¦ контроля этих параметров настроек? ¦ ¦ ¦ ¦ ¦ В случае, если стандартные ¦ ¦ ¦ ¦ ¦ программные средства общего назначения ¦ ¦ ¦ ¦ ¦ (например, MS Office) не обеспечивают ¦ ¦ ¦ ¦ ¦ возможности выборочного удаления из них ¦ ¦ ¦ ¦ ¦ средств разработки и отладки ПО - ¦ ¦ ¦ ¦ ¦ введен ли документально запрет ¦ ¦ ¦ ¦ ¦ использования отдельных компонент ¦ ¦ ¦ ¦ ¦ (средств разработки и отладки ПО) ¦ ¦ ¦ ¦ ¦ стандартных программных средств общего ¦ ¦ ¦ ¦ ¦ назначения (например, MS Office), ¦ ¦ ¦ ¦ ¦ использующихся в сегментах, ¦ ¦ ¦ ¦ ¦ задействованных в обработке ¦ ¦ ¦ ¦ ¦ персональных данных? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 32 ¦ 6.5.10 ¦ В случае осуществления передачи ¦ M3.4, M6.1 ¦ ¦ ¦ ¦ персональных данных между ¦ ¦ ¦ ¦ ¦ подразделениям организации по ¦ ¦ ¦ ¦ ¦ телекоммуникационным каналам и линиям ¦ ¦ ¦ ¦ ¦ связи, не принадлежащим организации или ¦ ¦ ¦ ¦ ¦ не пролегающим только по территории ¦ ¦ ¦ ¦ ¦ организации - осуществляется ли такая ¦ ¦ ¦ ¦ ¦ передача только при обеспечении защиты ¦ ¦ ¦ ¦ ¦ персональных данных с помощью ¦ ¦ ¦ ¦ ¦ организации виртуальных частных сетей ¦ ¦ ¦ ¦ ¦ (Virtual Private Network - VPN) или ¦ ¦ ¦ ¦ ¦ иных защитных мер, механизмов и ¦ ¦ ¦ ¦ ¦ средств, применение которых ¦ ¦ ¦ ¦ ¦ определяется структурным подразделением ¦ ¦ ¦ ¦ ¦ или должностным лицом (работником) ¦ ¦ ¦ ¦ ¦ организации, ответственным за ¦ ¦ ¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦ ¦ ¦ ¦ данных, и согласовывается со службой ИБ ¦ ¦ ¦ ¦ ¦ организации? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 33 ¦ 6.5.11 ¦ В случае осуществления передачи ¦ M3.4, M6.1, ¦ ¦ ¦ ¦ персональных данных по ¦ M11.9 ¦ ¦ ¦ ¦ телекоммуникационных каналам и линиям ¦ ¦ ¦ ¦ ¦ связи между подразделениями ¦ ¦ ¦ ¦ ¦ организации, с одной стороны, и ¦ ¦ ¦ ¦ ¦ внешними организациями, с другой ¦ ¦ ¦ ¦ ¦ стороны - осуществляется ли такая ¦ ¦ ¦ ¦ ¦ передача с использованием ¦ ¦ ¦ ¦ ¦ сертифицированных СКЗИ или иных ¦ ¦ ¦ ¦ ¦ защитных механизмов, применение которых ¦ ¦ ¦ ¦ ¦ определяется структурным подразделением ¦ ¦ ¦ ¦ ¦ или должностным лицом (работником) ¦ ¦ ¦ ¦ ¦ организации, ответственным за ¦ ¦ ¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦ ¦ ¦ ¦ данных, и согласовывается со службой ИБ ¦ ¦ ¦ ¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ В случае использования СКЗИ - ¦ ¦ ¦ ¦ ¦ выполняются ли требования нормативных ¦ ¦ ¦ ¦ ¦ правовых актов ФСБ России? ¦ ¦ ¦ ¦ ¦ В случае обмена информацией с другой ¦ ¦ ¦ ¦ ¦ организацией - определены ли ¦ ¦ ¦ ¦ ¦ соглашением сторон (в частности, ¦ ¦ ¦ ¦ ¦ условиями договора) правила ¦ ¦ ¦ ¦ ¦ использования СКЗИ? ¦ ¦ ¦ ¦ ¦ В случае отсутствия указанной ¦ ¦ ¦ ¦ ¦ технической возможности - ¦ ¦ ¦ ¦ ¦ осуществляется ли передача персональных ¦ ¦ ¦ ¦ ¦ данных в электронном виде на съемных ¦ ¦ ¦ ¦ ¦ носителях в порядке, согласованном со ¦ ¦ ¦ ¦ ¦ структурным подразделением или ¦ ¦ ¦ ¦ ¦ должностным лицом (работником) ¦ ¦ ¦ ¦ ¦ организации, ответственным за ¦ ¦ ¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦ ¦ ¦ ¦ данных и со службой ИБ организации? ¦ ¦ +---------------+-----------+-----------------------------------------+----------------+ ¦ 34 ¦ 6.5.12 ¦ Осуществляется ли подключение ИСПДн к ¦ M3.4, M5.1, ¦ ¦ ¦ ¦ ИСПДн другого класса или к сети ¦ M5.15, M5.23 ¦ ¦ ¦ ¦ Интернет с использованием средств ¦ ¦ ¦ ¦ ¦ межсетевого экранирования (межсетевых ¦ ¦ ¦ ¦ ¦ экранов), которые имеют подтвержденный ¦ ¦ ¦ ¦ ¦ сертификатом класс защиты не ниже ¦ ¦ ¦ ¦ ¦ четвертого при возможности ¦ ¦ ¦ ¦ ¦ информационного обмена между всеми ¦ ¦ ¦ ¦ ¦ компонентами защищаемой ИСПДн без ¦ ¦ ¦ ¦ ¦ использования компонентов других ¦ ¦ ¦ ¦ ¦ автоматизированных банковских систем ¦ ¦ ¦ ¦ ¦ организации (в иных случаях - не ниже ¦ ¦ ¦ ¦ ¦ третьего класса)? ¦ ¦ ¦ ¦ ¦ Указанные классы защиты ¦ ¦ ¦ ¦ ¦ устанавливаются в соответствии с ¦ ¦ ¦ ¦ ¦ руководящим документом "Средства ¦ ¦ ¦ ¦ ¦ вычислительной техники. Межсетевые ¦ ¦ ¦ ¦ ¦ экраны. Защита от несанкционированного ¦ ¦ ¦ ¦ ¦ доступа к информации. Показатели ¦ ¦ ¦ ¦ ¦ защищенности от несанкционированного ¦ ¦ ¦ ¦ ¦ доступа к информации", утвержденного ¦ ¦ ¦ ¦ ¦ решением председателя Государственной ¦ ¦ ¦ ¦ ¦ технической комиссии при Президенте ¦ ¦ ¦ ¦ ¦ Российской Федерации от 25 июля 1997 ¦ ¦ ¦ ¦ ¦ года ¦ ¦ L---------------+-----------+-----------------------------------------+----------------- -------------------------------- <*> Классы ИСПДн: ИСПДн-С - ИСПДн обработки специальных категорий персональных данных; ИСПДн-Б - ИСПДн обработки биометрических персональных данных; ИСПДн-И - ИСПДн обработки персональных данных, не являющихся биометрическими и не относящихся к специальным категориям, доступ к которым должен быть ограничен; ИСПДн-Д - ИСПДн обработки общедоступных и (или) обезличенных персональных данных. Таблица 2. Таблица соответствия частных показателей и положений РС БР ИББС-2.3 -----------------------T-------------------------------T--------------------------------¬ ¦ СТО БР ИББС-1.2 ¦ Класс ИСПДн ¦ РС БР ИББС-2.3 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M1.1 ¦ ИСПДн-Д ¦ 6.1.5, 6.1.6, 6.1.7 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M1.3 ¦ ИСПДн-Д ¦ 6.1.5, 6.1.6, 6.1.7 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M1.4 ¦ ИСПДн-Д ¦ 6.1.5, 6.1.6, 6.1.7 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M1.9 ¦ ИСПДн-И ¦ 6.3.5 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.3.5 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.3.5, 6.5.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M1.13 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M1.14 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M1.19 ¦ Все классы ¦ 6.1.5 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.1 ¦ ИСПДн-Д ¦ 6.1.1, 6.1.2, 6.2.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.1, 6.1.2, 6.2.1, 6.3.2, ¦ ¦ ¦ ¦ 6.3.8 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.1, 6.1.2, 6.2.1, 6.3.2, ¦ ¦ ¦ ¦ 6.3.8, 6.5.8 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.2 ¦ Все классы ¦ 6.1.1, 6.1.2 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.3 ¦ Все классы ¦ 6.1.1, 6.1.2 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.4 ¦ Все классы ¦ 6.1.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.5 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.7 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-С ¦ 6.1.2, 6.1.7, 6.3.10 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.1.2, 6.1.7, 6.3.10, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.6 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.7 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-С ¦ 6.1.2, 6.1.7, 6.3.10 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.1.2, 6.1.7, 6.3.10, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.7 ¦ ИСПДн-С ¦ 6.5.9 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.10 ¦ ИСПДн-С ¦ 6.5.9 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.11 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.12 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.13 ¦ ИСПДн-И, ИСПДн-Б ¦ 6.3.7, 6.3.8, 6.3.9, 6.3.10 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.3.7, 6.3.8, 6.3.9, 6.3.10, ¦ ¦ ¦ ¦ 6.5.8 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.14 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.7, 6.3.8, 6.3.9 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.16 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.6 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M2.17 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.6 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.1 ¦ ИСПДн-И, ИСПДн-С ¦ 6.3.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.3.6, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.2 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.7 ¦ ¦ ¦ ИСПДн-Б ¦ ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.7, 6.5.3 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.3 ¦ ИСПДН-Б ¦ 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.4 ¦ ИСПДн-И ¦ 6.3.2, 6.3.3 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.3.2, 6.3.3, 6.4.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.3.2, 6.3.3, 6.4.1, 6.5.2, ¦ ¦ ¦ ¦ 6.5.3, 6.5.10, 6.5.11, 6.5.12 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.5 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.4, 6.2.2 ¦ ¦ ¦ ИСПДн-Б ¦ ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.4, 6.2.2, 6.5.2, 6.5.3 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.6 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.4, 6.2.2 ¦ ¦ ¦ ИСПДн-Б ¦ ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.4, 6.2.2, 6.5.3 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.7 ¦ ИСПДн-Д, ИСПДн-И ¦ 6.1.4, 6.2.2 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.1.4, 6.2.2, 6.4.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.4, 6.2.2, 6.5.3 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.8 ¦ ИСПДн-Д, ИСПДн-И ¦ 6.1.4, 6.2.2 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.1.4, 6.2.2, 6.4.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.4, 6.2.2, 6.5.3 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.9 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.2.3 ¦ ¦ ¦ ИСПДн-С ¦ ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.2.3, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.10 ¦ ИСПДн-Б ¦ 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.11 ¦ ИСПДн-Д ¦ 6.1.7 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦ ¦ ¦ ¦ 6.4.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦ ¦ ¦ ¦ 6.5.4, 6.5.5, 6.5.6, 6.5.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.12 ¦ ИСПДн-Д ¦ 6.1.7 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦ ¦ ¦ ¦ 6.4.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦ ¦ ¦ ¦ 6.5.4, 6.5.5, 6.5.6, 6.5.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.14 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.15 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.16 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.17 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.18 ¦ Все классы ¦ 6.1.8 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.19 ¦ Все классы ¦ 6.1.8 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M3.20 ¦ Все классы ¦ 6.1.8 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M4.1 ¦ Все классы ¦ 6.1.3 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M4.5 ¦ Все классы ¦ 6.1.3 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M5.1 ¦ ИСПДн-Д ¦ 6.2.3 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.2.3, 6.3.11 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.2.3, 6.3.11, 6.5.12 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M5.15 ¦ ИСПДн-Д ¦ 6.2.3 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.2.3, 6.3.11 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.2.3, 6.3.11, 6.5.12 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M5.23 ¦ ИСПДн-Д ¦ 6.2.3 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.2.3, 6.3.11 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.2.3, 6.3.11, 6.5.12 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M6.1 ¦ ИСПДн-С ¦ 6.5.10, 6.5.11 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M6.3 ¦ ИСПДн-Б ¦ 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M6.4 ¦ ИСПДн-Б ¦ 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.1 ¦ ИСПДн-И, ИСПДн-С ¦ 6.3.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.3.6, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.3 ¦ Все классы ¦ 6.1.2 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.4 ¦ ИСПДн-Д ¦ 6.1.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.6, 6.3.5, 6.3.10 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.6, 6.3.5, 6.3.10, 6.5.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.5 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.6, 6.1.7 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.2, 6.1.6, 6.1.7, 6.3.5, ¦ ¦ ¦ ¦ 6.3.10 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.2, 6.1.6, 6.1.7, 6.3.5, ¦ ¦ ¦ ¦ 6.3.10, 6.5.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.6 ¦ ИСПДн-Д ¦ 6.2.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.2.1, 6.3.6 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.7 ¦ ИСПДн-И, ИСПДн-С ¦ 6.3.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.3.6, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.8 ¦ ИСПДн-С ¦ 6.5.9 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.9 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.7 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.10 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.7 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.12 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.7 ¦ ¦ ¦ ИСПДн-Б ¦ ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.7, 6.5.9 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M8.13 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.9, 6.3.10 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M10.2 ¦ Все классы ¦ 5.2 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M10.3 ¦ Все классы ¦ 5.2 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M11.9 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.8, 6.2.3, 6.3.3 ¦ ¦ ¦ ИСПДн-С ¦ ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.1.8, 6.2.3, 6.3.3, 6.4.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.8, 6.2.3, 6.3.3, 6.5.11 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M12.2 ¦ ИСПДн-Д ¦ 5.2 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-С ¦ 5.2, 6.3.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 5.2, 6.3.6, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M12.3 ¦ ИСПДн-Д ¦ 5.2 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-С ¦ 5.2, 6.3.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 5.2, 6.3.6, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M12.4 ¦ Все классы ¦ 5.2 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M15.6 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦ ¦ ¦ ¦ 6.2.1, 6.2.2 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦ ¦ ¦ ¦ 6.2.1, 6.2.2, 6.3.5, 6.3.8 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦ ¦ ¦ ¦ 6.2.1, 6.2.2, 6.3.5, 6.3.8 ¦ ¦ ¦ ¦ 6.5.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M15.7 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.6, 6.1.7, 6.2.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.2, 6.1.6, 6.1.7, 6.2.1, ¦ ¦ ¦ ИСПДн-С ¦ 6.3.8 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M15.8 ¦ ИСПДн-Д ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2, ¦ ¦ ¦ ¦ 6.3.5, 6.3.8 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2, ¦ ¦ ¦ ¦ 6.3.5, 6.3.8, 6.5.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M16.1 ¦ Все классы ¦ 6.1.5 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M17.2 ¦ ИСПДн-И, ИСПДн-С ¦ 6.3.6 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.3.6, 6.4.1 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M20.2 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.10 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M20.3 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.9 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M20.5 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.9 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M21.1 ¦ ИСПДн-Д ¦ 6.1.7, 6.1.9 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.7, 6.1.9, 6.3.3 ¦ ¦ ¦ ИСПДн-С ¦ ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M21.7 ¦ Все классы ¦ 6.1.7, 6.1.9 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M21.8 ¦ Все классы ¦ 6.1.7 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M28.9 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.8, 6.2.3, 6.3.3 ¦ ¦ ¦ ИСПДн-С ¦ ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-Б ¦ 6.1.8, 6.2.3, 6.3.3, 6.4.1 ¦ ¦ +-------------------------------+--------------------------------+ ¦ ¦ ИСПДн-С ¦ 6.1.8, 6.2.3, 6.3.3, 6.5.11 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M29.1 ¦ Все классы ¦ 6.1.5 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M32.1 ¦ Все классы ¦ 6.1.7, 6.1.9 ¦ +----------------------+-------------------------------+--------------------------------+ ¦ M32.2 ¦ Все классы ¦ 6.1.7 ¦ L----------------------+-------------------------------+--------------------------------- Ключевые слова: банковская система Российской Федерации, информационная безопасность, методика оценки соответствия, показатели информационной безопасности, текущий уровень информационной безопасности, система менеджмента информационной безопасности, осознание информационной безопасности, требования информационной безопасности. 21 июня 2010 года N Р-705 |
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".