|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.1 |Определен ли в документах | обязательный | | | | | | | 0,0356 | |
| |организации перечень | | | | | | | | | |
| |информационных активов (их | | | | | | | | | |
| |типов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.2 |Зафиксированы ли документально | обязательный | | | | | | | 0,0360 | |
| |права доступа работников и | | | | | | | | | |
| |клиентов к информационным активам | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.3 |Применяются ли в составе АБС | обязательный | | | | | | | 0,0345 | |
| |встроенные защитные меры? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.4 |Применяются ли в составе АБС | рекомендуемый |////|/////|/////|/////| | | 0,0334 | |
| |сертифицированные или разрешенные | |////|/////|/////|/////| | | | |
| |к применению руководством | |////|/////|/////|/////| | | | |
| |организации средства защиты | |////|/////|/////|/////| | | | |
| |информации от НСД и НРД и | |////|/////|/////|/////| | | | |
| |средства криптографической защиты | |////|/////|/////|/////| | | | |
| |информации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.5 |Определены ли в документах | обязательный | | | | | | | 0,0366 | |
| |организации, утверждены ли | | | | | | | | | |
| |руководством организации, | | | | | | | | | |
| |выполняются ли и контролируются | | | | | | | | | |
| |ли процедуры идентификации, | | | | | | | | | |
| |аутентификации и авторизации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.6 |Документируются ли результаты | обязательный | | | | | | | 0,0345 | |
| |контроля процедур, указанных в | | | | | | | | | |
| |частном показателе М3.5? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.7 |Определены ли в документах | обязательный | | | | | | | 0,0360 | |
| |организации, выполняются ли и | | | | | | | | | |
| |контролируются ли процедуры | | | | | | | | | |
| |управления доступом? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.8 |Документируются ли результаты | обязательный | | | | | | | 0,0334 | |
| |контроля процедур, указанных в | | | | | | | | | |
| |частном показателе М3.7? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.9 |Определены ли в документах | обязательный | | | | | | | 0,0340 | |
| |организации, выполняются ли и | | | | | | | | | |
| |контролируются ли процедуры | | | | | | | | | |
| |контроля целостности? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.10 |Документируются ли результаты | обязательный | | | | | | | 0,0319 | |
| |контроля процедур, указанных в | | | | | | | | | |
| |частном показателе М3.9? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.11 |Определены ли в документах | обязательный | | | | | | | 0,0319 | |
| |организации, выполняются ли и | | | | | | | | | |
| |контролируются ли процедуры | | | | | | | | | |
| |регистрации событий и действий? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.12 |Документируются ли результаты | обязательный | | | | | | | 0,0286 | |
| |контроля процедур, указанных в | | | | | | | | | |
| |частном показателе М3.11? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.13 |Исключают ли процедуры управления | обязательный | | | | | | | 0,0308 | |
| |доступом возможность | | | | | | | | | |
| |"самосанкционирования"? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.14 |Определены ли в документах | обязательный | | | | | | | 0,0331 | |
| |организации процедуры мониторинга | | | | | | | | | |
| |и анализа данных регистрации, | | | | | | | | | |
| |действий и операций, позволяющие | | | | | | | | | |
| |выявить неправомерные или | | | | | | | | | |
| |подозрительные операции и | | | | | | | | | |
| |транзакции? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.15 |Используются ли | рекомендуемый |////|/////|/////|/////| | | 0,0255 | |
| |специализированные программные | |////|/////|/////|/////| | | | |
| |и (или) технические средства для | |////|/////|/////|/////| | | | |
| |проведения процедур мониторинга и | |////|/////|/////|/////| | | | |
| |анализа данных регистрации, | |////|/////|/////|/////| | | | |
| |действия и операций? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.16 |Используют ли процедуры | обязательный | | | | | | | 0,0266 | |
| |мониторинга и анализа | | | | | | | | | |
| |документально определенные | | | | | | | | | |
| |критерии выявления неправомерных | | | | | | | | | |
| |или подозрительных действий и | | | | | | | | | |
| |операций? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.17 |Применяются ли процедуры | обязательный | | | | | | | 0,0286 | |
| |мониторинга и анализа на | | | | | | | | | |
| |регулярной основе (например, | | | | | | | | | |
| |ежедневно) ко всем выполненным | | | | | | | | | |
| |операциям и транзакциям? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.18 |Регламентирован ли во внутренних | обязательный | | | | | | | 0,0292 | |
| |документах организации порядок | | | | | | | | | |
| |доступа работников организации в | | | | | | | | | |
| |помещения, в которых размещаются | | | | | | | | | |
| |объекты среды информационных | | | | | | | | | |
| |активов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.19 |Контролируется ли выполнение | обязательный | | | | | | | 0,0297 | |
| |порядка доступа работников | | | | | | | | | |
| |организации в помещения, в | | | | | | | | | |
| |которых размещаются объекты среды | | | | | | | | | |
| |информационных активов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.20 |Оформляются ли документально | обязательный | | | | | | | 0,0263 | |
| |результаты выполнения контроля | | | | | | | | | |
| |порядка доступа работников | | | | | | | | | |
| |организации в помещения, в | | | | | | | | | |
| |которых размещаются объекты среды | | | | | | | | | |
| |информационных активов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.21 |Обеспечивают ли используемые в | обязательный | | | | | | | 0,0328 | |
| |организации АБС, в том числе | | | | | | | | | |
| |системы дистанционного | | | | | | | | | |
| |банковского обслуживания, | | | | | | | | | |
| |возможность регистрации: | | | | | | | | | |
| |- операций с данными о клиентских | | | | | | | | | |
| |счетах, включая операции | | | | | | | | | |
| |открытия, модификации и закрытия | | | | | | | | | |
| |клиентских счетов; | | | | | | | | | |
| |- проводимых транзакций, имеющих | | | | | | | | | |
| |финансовые последствия; | | | | | | | | | |
| |- операций, связанных с | | | | | | | | | |
| |назначением и распределением прав | | | | | | | | | |
| |пользователей? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.22 |Реализованы ли в системах | обязательный | | | | | | | 0,0344 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания, используемых в | | | | | | | | | |
| |организации, защитные меры, | | | | | | | | | |
| |обеспечивающие невозможность | | | | | | | | | |
| |отказа от авторства проводимых | | | | | | | | | |
| |клиентами операций и транзакций | | | | | | | | | |
| |(например, ЭЦП)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.23 |Придано ли протоколам операций, | рекомендуемый |////|/////|/////|/////| | | 0,0312 | |
| |выполняемых посредством | |////|/////|/////|/////| | | | |
| |дистанционного банковского | |////|/////|/////|/////| | | | |
| |обслуживания, свойство | |////|/////|/////|/////| | | | |
| |юридической значимости, например, | |////|/////|/////|/////| | | | |
| |путем внесения соответствующих | |////|/////|/////|/////| | | | |
| |положений в договоры на | |////|/////|/////|/////| | | | |
| |дистанционное банковское | |////|/////|/////|/////| | | | |
| |обслуживание? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.24 |Производится ли при заключении | рекомендуемый |////|/////|/////|/////| | | 0,0274 | |
| |договоров со сторонними | |////|/////|/////|/////| | | | |
| |организациями юридическое | |////|/////|/////|/////| | | | |
| |оформление договоренностей, | |////|/////|/////|/////| | | | |
| |определяющих необходимый уровень | |////|/////|/////|/////| | | | |
| |взаимодействия в случае выхода | |////|/////|/////|/////| | | | |
| |инцидента ИБ за рамки отдельной | |////|/////|/////|/////| | | | |
| |организации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.25 |Определены ли в документах | обязательный | | | | | | | 0,0294 | |
| |организации процедуры, | | | | | | | | | |
| |определяющие действия работников | | | | | | | | | |
| |и клиентов организации в случае | | | | | | | | | |
| |компрометации информации, | | | | | | | | | |
| |необходимой для их идентификации, | | | | | | | | | |
| |аутентификации и (или) | | | | | | | | | |
| |авторизации, в том числе | | | | | | | | | |
| |произошедшей по их вине, включая | | | | | | | | | |
| |информацию о способах | | | | | | | | | |
| |распознавания таких случаев? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.26 |Доведены ли до сведения | обязательный | | | | | | | 0,0283 | |
| |работников и клиентов организации | | | | | | | | | |
| |процедуры, указанные в частном | | | | | | | | | |
| |показателе М3.25? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.27 |Предусматривают ли указанные в | обязательный | | | | | | | 0,0254 | |
| |частном показателе М3.26 | | | | | | | | | |
| |процедуры документирование | | | | | | | | | |
| |работниками и клиентами своих | | | | | | | | | |
| |действий и их результатов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.28 |Реализованы ли в системах | обязательный | | | | | | | 0,0239 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания механизмы | | | | | | | | | |
| |информирования (регулярного, | | | | | | | | | |
| |непрерывного или по требованию) | | | | | | | | | |
| |клиентов обо всех операциях, | | | | | | | | | |
| |совершаемых от их имени? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.29 |Применяются ли в организации | обязательный | | | | | | | 0,0319 | |
| |защитные меры, направленные на | | | | | | | | | |
| |обеспечение защиты от НСД и НРД, | | | | | | | | | |
| |повреждения или нарушения | | | | | | | | | |
| |целостности информации, | | | | | | | | | |
| |необходимой для регистрации, | | | | | | | | | |
| |идентификации, аутентификации | | | | | | | | | |
| |и(или) авторизации клиентов и | | | | | | | | | |
| |работников организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.30 |Регистрируются ли все попытки НСД | обязательный | | | | | | | 0,0326 | |
| |и НРД к информации, необходимой | | | | | | | | | |
| |для идентификации, аутентификации | | | | | | | | | |
| |и (или) авторизации клиентов и | | | | | | | | | |
| |сотрудников организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.31 |Определена ли в документах | обязательный | | | | | | | 0,0316 | |
| |организации и выполняется ли | | | | | | | | | |
| |процедура пересмотра прав доступа | | | | | | | | | |
| |при увольнении или изменении | | | | | | | | | |
| |должностных обязанностей | | | | | | | | | |
| |работников организации, имевших | | | | | | | | | |
| |доступ к информации, необходимой | | | | | | | | | |
| |для идентификации, аутентификации | | | | | | | | | |
| |и(или) авторизации клиентов и | | | | | | | | | |
| |сотрудников организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М3.32 |Осуществляется ли работа всех | обязательный | | | | | | | 0,0349 | |
| |пользователей АБС под уникальными | | | | | | | | | |
| |учетными записями? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М3 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М4 "Обеспечение информационной
безопасности средствами антивирусной защиты"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.1 |Применяются ли на всех | обязательный | | | | | | | 0,0744 | |
| |автоматизированных рабочих местах | | | | | | | | | |
| |и серверах АБС организации, если | | | | | | | | | |
| |иное не предусмотрено | | | | | | | | | |
| |технологическим процессом, | | | | | | | | | |
| |средства антивирусной защиты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.2 |Определены ли в документах | обязательный | | | | | | | 0,0721 | |
| |организации процедуры установки и | | | | | | | | | |
| |регулярного обновления средств | | | | | | | | | |
| |антивирусной защиты (версий и баз | | | | | | | | | |
| |данных) на автоматизированных | | | | | | | | | |
| |рабочих местах и серверах АБС? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.3 |Осуществляются ли установка и | обязательный | | | | | | | 0,0653 | |
| |регулярное обновление средств | | | | | | | | | |
| |антивирусной защиты (версий и баз | | | | | | | | | |
| |данных) на автоматизированных | | | | | | | | | |
| |рабочих местах и серверах АБС | | | | | | | | | |
| |администраторами АБС или иными | | | | | | | | | |
| |официально уполномоченными | | | | | | | | | |
| |лицами? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.4 |Организован ли автоматический | рекомендуемый |////|/////|/////|/////| | | 0,0559 | |
| |режим установки обновлений | |////|/////|/////|/////| | | | |
| |антивирусного программного | |////|/////|/////|/////| | | | |
| |обеспечения и его баз данных? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.5 |Контролируются ли установка и | обязательный | | | | | | | 0,0688 | |
| |обновление антивирусных средств | | | | | | | | | |
| |представителями подразделения | | | | | | | | | |
| |(лицами) в организации, | | | | | | | | | |
| |ответственными за обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.6 |Организовано ли функционирование | рекомендуемый |////|/////|/////|/////| | | 0,0583 | |
| |постоянной антивирусной защиты в | |////|/////|/////|/////| | | | |
| |автоматическом режиме? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.7 |Разработаны и введены ли в | обязательный | | | | | | | 0,0619 | |
| |действие инструкции по | | | | | | | | | |
| |антивирусной защите, учитывающие | | | | | | | | | |
| |особенности банковских | | | | | | | | | |
| |технологических процессов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.8 |Проводится ли антивирусная | обязательный | | | | | | | 0,0706 | |
| |фильтрация всего трафика | | | | | | | | | |
| |электронного почтового обмена? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.9 |Построена ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0501 | |
| |эшелонированная централизованная | |////|/////|/////|/////| | | | |
| |система антивирусной защиты, | |////|/////|/////|/////| | | | |
| |предусматривающая использование | |////|/////|/////|/////| | | | |
| |средств антивирусной защиты | |////|/////|/////|/////| | | | |
| |различных производителей и их | |////|/////|/////|/////| | | | |
| |раздельную установку на рабочих | |////|/////|/////|/////| | | | |
| |станциях, почтовых серверах и | |////|/////|/////|/////| | | | |
| |межсетевых экранах? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.10 |Определены ли в документах | обязательный | | | | | | | 0,0605 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры предварительной | | | | | | | | | |
| |проверки устанавливаемого или | | | | | | | | | |
| |изменяемого программного | | | | | | | | | |
| |обеспечения на отсутствие | | | | | | | | | |
| |вирусов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.11 |Проводится ли антивирусная | обязательный | | | | | | | 0,0616 | |
| |проверка после установки и | | | | | | | | | |
| |изменения программного | | | | | | | | | |
| |обеспечения? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.12 |Документируются ли результаты | обязательный | | | | | | | 0,0619 | |
| |установки, изменения программного | | | | | | | | | |
| |обеспечения и антивирусной | | | | | | | | | |
| |проверки? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.13 |Определены ли в документах | обязательный | | | | | | | 0,0651 | |
| |организации процедуры, | | | | | | | | | |
| |выполняемые в случае обнаружения | | | | | | | | | |
| |компьютерных вирусов, в которых | | | | | | | | | |
| |зафиксированы: | | | | | | | | | |
| |- необходимые меры по отражению и | | | | | | | | | |
| |устранению последствий вирусной | | | | | | | | | |
| |атаки; | | | | | | | | | |
| |- порядок официального | | | | | | | | | |
| |информирования руководства; | | | | | | | | | |
| |- порядок приостановления при | | | | | | | | | |
| |необходимости работы (на период | | | | | | | | | |
| |устранения последствий вирусной | | | | | | | | | |
| |атаки)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.14 |Определены ли в документах | обязательный | | | | | | | 0,0557 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры контроля за отключением | | | | | | | | | |
| |и обновлением антивирусных | | | | | | | | | |
| |средств на всех | | | | | | | | | |
| |автоматизированных рабочих местах | | | | | | | | | |
| |и серверах АБС? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.15 |Предусматривают ли указанные в | обязательный | | | | | | | 0,0513 | |
| |частном показателе М4.14 | | | | | | | | | |
| |процедуры документальную фиксацию | | | | | | | | | |
| |результатов контроля? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М4.16 |Возложена ли обязанность по | обязательный | | | | | | | 0,0665 | |
| |выполнению предписанных мер | | | | | | | | | |
| |антивирусной защиты на каждого | | | | | | | | | |
| |работника организации, имеющего | | | | | | | | | |
| |доступ к ЭВМ и(или) АБС, а | | | | | | | | | |
| |ответственность за выполнение | | | | | | | | | |
| |требований инструкции по | | | | | | | | | |
| |антивирусной защите - на | | | | | | | | | |
| |руководителей функциональных | | | | | | | | | |
| |подразделений организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М4 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М5 "Обеспечение информационной
безопасности при использовании ресурсов сети Интернет"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.1 |Принято ли документально | обязательный | | | | | | | 0,0586 | |
| |руководством организации решение | | | | | | | | | |
| |об использовании сети Интернет | | | | | | | | | |
| |для производственной и(или) | | | | | | | | | |
| |собственной хозяйственной | | | | | | | | | |
| |деятельности, в котором явно | | | | | | | | | |
| |перечислены цели использования | | | | | | | | | |
| |сети Интернет? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.2 |Запрещается ли использование | обязательный | | | | | | | 0,0512 | |
| |ресурсов сети Интернет в | | | | | | | | | |
| |неустановленных целях? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.3 |Проведено ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0398 | |
| |выделение ограниченного числа | |////|/////|/////|/////| | | | |
| |пакетов, содержащих перечень | |////|/////|/////|/////| | | | |
| |сервисов и ресурсов сети | |////|/////|/////|/////| | | | |
| |Интернет, доступных для | |////|/////|/////|/////| | | | |
| |пользователей? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.4 |Проводится ли наделение | рекомендуемый |////|/////|/////|/////| | | 0,0355 | |
| |работников организации правами | |////|/////|/////|/////| | | | |
| |пользователя конкретного пакета в | |////|/////|/////|/////| | | | |
| |соответствии с его должностными | |////|/////|/////|/////| | | | |
| |обязанностями, в частности, в | |////|/////|/////|/////| | | | |
| |соответствии с назначенными ему | |////|/////|/////|/////| | | | |
| |ролями? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.5 |Оформляется ли документально | рекомендуемый |////|/////|/////|/////| | | 0,0398 | |
| |наделение работников организации | |////|/////|/////|/////| | | | |
| |правами пользователя конкретного | |////|/////|/////|/////| | | | |
| |пакета? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.6 |Определен ли документально в | обязательный | | | | | | | 0,0583 | |
| |организации порядок подключения и | | | | | | | | | |
| |использования ресурсов сети | | | | | | | | | |
| |Интернет, включающий в том числе | | | | | | | | | |
| |положение о контроле со стороны | | | | | | | | | |
| |подразделения (лиц) в | | | | | | | | | |
| |организации, ответственных за | | | | | | | | | |
| |обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.7 |Применяются ли при осуществлении | обязательный | | | | | | | 0,0518 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания с использованием | | | | | | | | | |
| |сети Интернет средства защиты | | | | | | | | | |
| |информации (межсетевые экраны, | | | | | | | | | |
| |антивирусные средства, средства | | | | | | | | | |
| |криптографической защиты | | | | | | | | | |
| |информации), которые обеспечивают | | | | | | | | | |
| |прием и передачу информации | | | | | | | | | |
| |только в установленном формате и | | | | | | | | | |
| |только по конкретной технологии? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.8 |Выполнено ли выделение и | рекомендуемый |////|/////|/////|/////| | | 0,0292 | |
| |организована ли физическая | |////|/////|/////|/////| | | | |
| |изоляция от внутренних сетей тех | |////|/////|/////|/////| | | | |
| |ЭВМ, с помощью которых | |////|/////|/////|/////| | | | |
| |осуществляется взаимодействие с | |////|/////|/////|/////| | | | |
| |сетью Интернет в режиме on-line? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.9 |Применяются ли при осуществлении | обязательный | | | | | | | 0,0479 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания защитные меры, | | | | | | | | | |
| |предотвращающие возможность | | | | | | | | | |
| |подмены авторизованного клиента | | | | | | | | | |
| |злоумышленником в рамках сеанса | | | | | | | | | |
| |работы? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.10 |Регистрируются ли | обязательный | | | | | | | 0,0440 | |
| |регламентированным образом | | | | | | | | | |
| |попытки подмены авторизованного | | | | | | | | | |
| |клиента злоумышленником в рамках | | | | | | | | | |
| |сеанса работы? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.11 |Все ли операции клиентов в | обязательный | | | | | | | 0,0581 | |
| |течение сеанса работы с системами | | | | | | | | | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания выполняются только | | | | | | | | | |
| |после проведения процедур | | | | | | | | | |
| |идентификации, аутентификации и | | | | | | | | | |
| |авторизации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.12 |Обеспечивается ли повторное | обязательный | | | | | | | 0,0415 | |
| |выполнение процедур | | | | | | | | | |
| |идентификации, аутентификации и | | | | | | | | | |
| |авторизации в случаях нарушения | | | | | | | | | |
| |или разрыва соединения при работе | | | | | | | | | |
| |с системами дистанционного | | | | | | | | | |
| |банковского обслуживания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.13 |Используется ли | рекомендуемый |////|/////|/////|/////| | | 0,0331 | |
| |специализированное клиентское | |////|/////|/////|/////| | | | |
| |программное обеспечение для | |////|/////|/////|/////| | | | |
| |доступа пользователей к системам | |////|/////|/////|/////| | | | |
| |дистанционного банковского | |////|/////|/////|/////| | | | |
| |обслуживания? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.14 |Применяются ли защитные меры для | обязательный | | | | | | | 0,0450 | |
| |осуществления почтового обмена | | | | | | | | | |
| |через сеть Интернет? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.15 |Определены ли в документах | обязательный | | | | | | | 0,0491 | |
| |организации перечень защитных мер | | | | | | | | | |
| |и порядок их использования для | | | | | | | | | |
| |осуществления почтового обмена | | | | | | | | | |
| |через сеть Интернет? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.16 |Организован ли почтовый обмен с | рекомендуемый | | | | | | | 0,0331 | |
| |сетью Интернет через ограниченное | | | | | | | | | |
| |количество точек, состоящих из | | | | | | | | | |
| |внешнего (подключенного к сети | | | | | | | | | |
| |Интернет) и внутреннего | | | | | | | | | |
| |(подключенного к внутренним сетям | | | | | | | | | |
| |организации) почтовых серверов с | | | | | | | | | |
| |безопасной системой репликации | | | | | | | | | |
| |почтовых сообщений между ними | | | | | | | | | |
| |(интернет-киоски)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.17 |Осуществляется ли архивирование | обязательный | | | | | | | 0,0368 | |
| |электронной почты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.18 |Доступен ли архив электронной | обязательный | | | | | | | 0,0368 | |
| |почты подразделению (лицу), | | | | | | | | | |
| |ответственному за обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.19 |Не допускаются ли изменения в | обязательный | | | | | | | 0,0390 | |
| |архиве электронной почты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.20 |Определен ли документально | обязательный | | | | | | | 0,0433 | |
| |порядок доступа к информации | | | | | | | | | |
| |архива электронной почты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.21 |Не применяется ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0436 | |
| |практика хранения и обработки | |////|/////|/////|/////| | | | |
| |банковской информации (в т.ч. | |////|/////|/////|/////| | | | |
| |открытой) на ЭВМ, с помощью | |////|/////|/////|/////| | | | |
| |которой осуществляется | |////|/////|/////|/////| | | | |
| |взаимодействие с сетью Интернет в | |////|/////|/////|/////| | | | |
| |режиме on-line? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.22 |Всегда ли наличие банковской | обязательный | | | | | | | 0,0430 | |
| |информации на ЭВМ, с помощью | | | | | | | | | |
| |которых осуществляется | | | | | | | | | |
| |взаимодействие с сетью Интернет в | | | | | | | | | |
| |режиме on-line, определяется | | | | | | | | | |
| |бизнес-целями организации и | | | | | | | | | |
| |документально санкционируется ее | | | | | | | | | |
| |руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М5.23 |Определены ли документально и | обязательный | | | | | | | 0,0415 | |
| |используются ли защитные меры, | | | | | | | | | |
| |позволяющие обеспечить | | | | | | | | | |
| |противодействие атакам хакеров и | | | | | | | | | |
| |распространению спама? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М5 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М6 "Обеспечение информационной
безопасности при использовании средств криптографической
защиты информации"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.1 |Проводится ли применение СКЗИ в | обязательный | | | | | | | 0,0776 | |
| |АБС в соответствии с моделью | | | | | | | | | |
| |нарушителя, принятой в | | | | | | | | | |
| |организации, с целью защиты | | | | | | | | | |
| |информации при ее обработке, | | | | | | | | | |
| |хранении и передаче по каналам | | | | | | | | | |
| |связи? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.2 |Утверждена ли политика | рекомендуемый |////|/////|/////|/////| | | 0,0694 | |
| |(концепция) применения СКЗИ в | |////|/////|/////|/////| | | | |
| |организации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.3 |Допускают ли СКЗИ возможность | обязательный | | | | | | | 0,0691 | |
| |встраивания в технологическую | | | | | | | | | |
| |схему обработки электронных | | | | | | | | | |
| |сообщений? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.4 |Обеспечивают ли СКЗИ | обязательный | | | | | | | 0,0691 | |
| |взаимодействие с прикладным | | | | | | | | | |
| |программным обеспечением на | | | | | | | | | |
| |уровне обработки запросов на | | | | | | | | | |
| |криптографические преобразования | | | | | | | | | |
| |и выдачи результатов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.5 |Поставляются ли СКЗИ | обязательный | | | | | | | 0,0919 | |
| |разработчиками с полным | | | | | | | | | |
| |комплектом эксплуатационной | | | | | | | | | |
| |документации, включающей описание | | | | | | | | | |
| |ключевой системы, правила работы | | | | | | | | | |
| |с ней и обоснование необходимого | | | | | | | | | |
| |организационно-штатного | | | | | | | | | |
| |обеспечения? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.6 |Выполняется ли как минимум одна | обязательный | | | | | | | 0,0936 | |
| |из трех альтернатив: | | | | | | | | | |
| |- сертифицированы ли СКЗИ | | | | | | | | | |
| |уполномоченным государственным | | | | | | | | | |
| |органом; | | | | | | | | | |
| |- реализованы ли СКЗИ на основе | | | | | | | | | |
| |рекомендованных уполномоченным | | | | | | | | | |
| |государственным органом | | | | | | | | | |
| |алгоритмов либо алгоритмов, | | | | | | | | | |
| |определенных условиями договора с | | | | | | | | | |
| |контрагентом (клиентом) | | | | | | | | | |
| |организации; | | | | | | | | | |
| |- соответствуют ли СКЗИ | | | | | | | | | |
| |стандартам организации, | | | | | | | | | |
| |взаимодействующей с проверяемой | | | | | | | | | |
| |организацией? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.7 |Поддерживается ли непрерывность | обязательный | | | | | | | 0,0755 | |
| |процессов протоколирования работы | | | | | | | | | |
| |СКЗИ при применении СКЗИ в АБС? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.8 |Поддерживается ли непрерывность | обязательный | | | | | | | 0,0755 | |
| |процессов обеспечения целостности | | | | | | | | | |
| |программного обеспечения для всех | | | | | | | | | |
| |звеньев АБС, взаимодействующих со | | | | | | | | | |
| |СКЗИ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.9 |Обеспечивается ли ИБ процессов | обязательный | | | | | | | 0,0847 | |
| |изготовления ключевых документов | | | | | | | | | |
| |СКЗИ комплексом технологических, | | | | | | | | | |
| |организационных, технических и | | | | | | | | | |
| |программных мер и средств защиты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.10 |Реализованы ли процедуры | рекомендуемый |////|/////|/////|/////| | | 0,0755 | |
| |мониторинга, предусматривающие | |////|/////|/////|/////| | | | |
| |регистрацию всех значимых | |////|/////|/////|/////| | | | |
| |событий, состоявшихся в процессе | |////|/////|/////|/////| | | | |
| |обмена электронными сообщениями, | |////|/////|/////|/////| | | | |
| |и всех инцидентов ИБ? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.11 |Определен ли руководством порядок | обязательный | | | | | | | 0,0745 | |
| |применения СКЗИ в АБС, | | | | | | | | | |
| |включающий: | | | | | | | | | |
| |- порядок ввода в действие, | | | | | | | | | |
| |включая процедуры встраивания | | | | | | | | | |
| |СКЗИ в АБС; | | | | | | | | | |
| |- порядок эксплуатации; | | | | | | | | | |
| |- порядок восстановления | | | | | | | | | |
| |работоспособности в аварийных | | | | | | | | | |
| |случаях; | | | | | | | | | |
| |- порядок внесения изменений; | | | | | | | | | |
| |- порядок снятия с эксплуатации; | | | | | | | | | |
| |- порядок управления ключевой | | | | | | | | | |
| |системой; | | | | | | | | | |
| |- порядок обращения с носителями | | | | | | | | | |
| |ключевой информации, включая | | | | | | | | | |
| |действия при смене и | | | | | | | | | |
| |компрометации ключей? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.12 |Самостоятельно ли изготавливаются | обязательный | | | | | | | 0,0663 | |
| |в организации и(или) физическим | | | | | | | | | |
| |лицом ключи ЭЦП и(или) иных СКЗИ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М6.13 |Отражены ли в соответствующих | обязательный | | | | | | | 0,0773 | |
| |договорах правовые и | | | | | | | | | |
| |организационные последствия | | | | | | | | | |
| |изготовления ключей СКЗИ для | | | | | | | | | |
| |одной организации в другой | | | | | | | | | |
| |организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М6 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.1 |Определен ли в документах | обязательный | | | | | | | 0,0405 | |
| |организации банковский платежный | | | | | | | | | |
| |технологический процесс? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.2 |Определены ли документально | обязательный | | | | | | | 0,0365 | |
| |перечни программного обеспечения, | | | | | | | | | |
| |устанавливаемого и(или) | | | | | | | | | |
| |используемого в ЭВМ и АБС и | | | | | | | | | |
| |необходимого для выполнения | | | | | | | | | |
| |конкретных банковских платежных | | | | | | | | | |
| |технологических процессов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.3 |Соответствует ли состав | обязательный | | | | | | | 0,0389 | |
| |установленного и используемого в | | | | | | | | | |
| |ЭВМ и АБС программного | | | | | | | | | |
| |обеспечения определенному | | | | | | | | | |
| |перечню? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.4 |Контролируется ли выполнение | обязательный | | | | | | | 0,0319 | |
| |требований, оцениваемых в частных | | | | | | | | | |
| |показателях М7.2, М7.3 с | | | | | | | | | |
| |документированием результатов | | | | | | | | | |
| |контроля? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.5 |Зафиксирован ли порядок обмена | обязательный | | | | | | | 0,0451 | |
| |платежной информацией в договорах | | | | | | | | | |
| |между участниками данного обмена? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.6 |Отсутствуют ли в организации | обязательный | | | | | | | 0,0448 | |
| |работники, обладающие | | | | | | | | | |
| |полномочиями для бесконтрольного | | | | | | | | | |
| |создания, авторизации, | | | | | | | | | |
|