СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. Распоряжение. Центральный банк РФ (ЦБР). 21.06.10 Р-705

Оглавление


Страницы: 1  2  3  4  5  6  7  8  


¦                   ¦ АБС или поставке готовых АБС и их          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ компонентов включаются положения по        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ сопровождению поставляемых изделий на      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ весь срок их службы;                       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ 2) организация приобретает полный          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ комплект рабочей конструкторской           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документации, обеспечивающий               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ возможность сопровождения АБС и их         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ компонентов без участия разработчика;      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ 3) руководство организации оценивает и     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документально оформляет допустимость       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ риска нарушения ИБ, возникающего при       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ невозможности сопровождения АБС и их       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ компонентов?                               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.9              ¦ Учитывается ли при разработке              ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0596         ¦               ¦
¦                   ¦ технических заданий на системы             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ дистанционного банковского                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обслуживания, что защита данных должна     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обеспечиваться в условиях:                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - попыток доступа к банковской             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ информации анонимных, неавторизованных     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ злоумышленников при использовании          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ сетей общего пользования;                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - возможности ошибок авторизованных        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ пользователей систем;                      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - возможности ненамеренного или            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ неадекватного использования                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ конфиденциальных данных                    ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ авторизованными пользователями?            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.10             ¦ Обеспечиваются ли на стадии                ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0474         ¦               ¦
¦                   ¦ тестирования анонимность данных и          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ проверка адекватности разграничения        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ доступа?                                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.11             ¦ Определены ли в документах организации     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0700         ¦               ¦
¦                   ¦ и выполняются ли на стадии                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ эксплуатации АБС процедуры контроля        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ работоспособности (функционирования,       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ эффективности) реализованных в АБС         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ защитных мер?                              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.12             ¦ Предусматривают ли указанные в частном     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0626         ¦               ¦
¦                   ¦ показателе M2.11 процедуры                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документальную фиксацию результатов        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ контроля?                                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.13             ¦ Определены ли в документах организации     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0596         ¦               ¦
¦                   ¦ и выполняются ли на стадии                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ сопровождения (модернизации) АБС           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ процедуры контроля, обеспечивающие         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ защиту от:                                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - умышленного несанкционированного         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ раскрытия, модификации или уничтожения     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ информации;                                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - неумышленной модификации, раскрытия      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ или уничтожения информации;                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - отказа в обслуживании или ухудшения      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обслуживания?                              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.14             ¦ Предусматривают ли указанные в частном     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0533         ¦               ¦
¦                   ¦ показателе M2.13 процедуры                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документальную фиксацию результатов        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ контроля?                                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.15             ¦ Проводятся ли на стадии сопровождения      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0646         ¦               ¦
¦                   ¦ (модернизации) при любом внесении          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ изменений в АБС процедуры проверки         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ функциональности, результаты которых       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документируются?                           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.16             ¦ Определены ли документально и              ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0675         ¦               ¦
¦                   ¦ выполняются ли на стадии снятия с          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ эксплуатации процедуры, обеспечивающие     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ удаление информации,                       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ несанкционированное использование          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ которой может нанести ущерб бизнес-        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ деятельности организации, и                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ информации, используемой средствами        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обеспечения ИБ, из постоянной памяти       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ АБС и с внешних носителей (за              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ исключением архивов электронных            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документов и протоколов электронного       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ взаимодействия, ведение и сохранность      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ которых в течение определенного срока      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ предусмотрены соответствующими             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ нормативными и (или) договорными           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документами)?                              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M2.17             ¦ Предусматривают ли указанные в частном     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0576         ¦               ¦
¦                   ¦ показателе M2.16 процедуры                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документальную фиксацию результатов их     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ выполнения?                                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ Итоговая оценка группового показателя M2                                                                                                    ¦               ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------- 
                                   
          Групповой показатель M3 "Обеспечение информационной
          безопасности при управлении доступом и регистрации"
                                   
-------------------T---------------------------------------------T----------------T------------------------------------------T----------------T---------------¬ 
¦ Обозначение      ¦ Частный показатель ИБ                       ¦ Обязательность ¦ Оценка частного                          ¦ Коэффициент    ¦ Вычисленное   ¦
¦ частного         ¦                                             ¦ выполнения     ¦ показателя ИБ                            ¦ значимости     ¦ значение      ¦
¦ показателя       ¦                                             ¦                ¦                                          ¦ частного       ¦ показателя    ¦
¦ ИБ               ¦                                             ¦                ¦                                          ¦ показателя     ¦ ИБ            ¦
¦                  ¦                                             ¦                ¦                                          ¦ ИБ             ¦               ¦
¦                  ¦                                             ¦                +------T------T-------T------T------T------+                ¦               ¦ 
¦                  ¦                                             ¦                ¦ 0    ¦ 0,25 ¦ 0,5   ¦ 0,75 ¦ 1    ¦ н/о  ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.1             ¦ Определен ли в документах организации       ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0356         ¦               ¦
¦                  ¦ перечень информационных активов (их         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ типов)?                                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.2             ¦ Зафиксированы ли документально права        ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0360         ¦               ¦
¦                  ¦ доступа работников и клиентов к             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ информационным активам организации?         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.3             ¦ Применяются ли в составе АБС                ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0345         ¦               ¦
¦                  ¦ встроенные защитные меры?                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.4             ¦ Применяются ли в составе АБС                ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0334         ¦               ¦
¦                  ¦ сертифицированные или разрешенные к         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ применению руководством организации         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ средства защиты информации от НСД и         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ НРД?                                        ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.5             ¦ Определены ли в документах                  ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0366         ¦               ¦
¦                  ¦ организации, утверждены ли                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ руководством организации, выполняются       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ ли и контролируются ли процедуры            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ идентификации, аутентификации и             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ авторизации?                                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.6             ¦ Документируются ли результаты контроля      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0345         ¦               ¦
¦                  ¦ процедур, указанных в частном               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ показателе M3.5?                            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.7             ¦ Определены ли в документах                  ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0360         ¦               ¦
¦                  ¦ организации, выполняются ли и               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ контролируются ли процедуры управления      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ доступом?                                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.8             ¦ Документируются ли результаты контроля      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0334         ¦               ¦
¦                  ¦ процедур, указанных в частном               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ показателе M3.7?                            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.9             ¦ Определены ли в документах                  ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0340         ¦               ¦
¦                  ¦ организации, выполняются ли и               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ контролируются ли процедуры контроля        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ целостности?                                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.10            ¦ Документируются ли результаты контроля      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0319         ¦               ¦
¦                  ¦ процедур, указанных в частном               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ показателе M3.9?                            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.11            ¦ Определены ли в документах                  ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0319         ¦               ¦
¦                  ¦ организации, выполняются ли и               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ контролируются ли процедуры                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ регистрации событий и действий?             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.12            ¦ Документируются ли результаты контроля      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0286         ¦               ¦
¦                  ¦ процедур, указанных в частном               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ показателе M3.11?                           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.13            ¦ Исключают ли процедуры управления           ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0308         ¦               ¦
¦                  ¦ доступом возможность                        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ "самосанкционирования"?                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.14            ¦ Определены ли в документах организации      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0331         ¦               ¦
¦                  ¦ процедуры мониторинга и анализа данных      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ регистрации, действий и операций,           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ позволяющие выявить неправомерные или       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ подозрительные операции и транзакции?       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.15            ¦ Используются ли специализированные          ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0255         ¦               ¦
¦                  ¦ программные и (или) технические             ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ средства для проведения процедур            ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ мониторинга и анализа данных                ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ регистрации, действия и операций?           ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.16            ¦ Используют ли процедуры мониторинга и       ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0266         ¦               ¦
¦                  ¦ анализа документально определенные          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ критерии выявления неправомерных или        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ подозрительных действий и операций?         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.17            ¦ Применяются ли процедуры мониторинга и      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0286         ¦               ¦
¦                  ¦ анализа на регулярной основе                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ (например, ежедневно) ко всем               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ выполненным операциям и транзакциям?        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.18            ¦ Регламентирован ли во внутренних            ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0292         ¦               ¦
¦                  ¦ документах организации порядок доступа      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ работников организации в помещения, в       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ которых размещаются объекты среды           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ информационных активов?                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.19            ¦ Контролируется ли выполнение порядка        ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0297         ¦               ¦
¦                  ¦ доступа работников организации в            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ помещения, в которых размещаются            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ объекты среды информационных активов?       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.20            ¦ Оформляются ли документально                ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0263         ¦               ¦
¦                  ¦ результаты выполнения контроля порядка      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ доступа работников организации в            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ помещения, в которых размещаются            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ объекты среды информационных активов?       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.21            ¦ Обеспечивают ли используемые в              ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0328         ¦               ¦
¦                  ¦ организации АБС, в том числе системы        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ дистанционного банковского                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обслуживания, возможность регистрации:      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ - операций с данными о клиентских           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ счетах, включая операции открытия,          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ модификации и закрытия клиентских           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ счетов;                                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ - проводимых транзакций, имеющих            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ финансовые последствия;                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ - операций, связанных с назначением и       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ распределением прав пользователей?          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.22            ¦ Реализованы ли в системах                   ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0344         ¦               ¦
¦                  ¦ дистанционного банковского                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обслуживания, используемых в                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ организации, защитные меры,                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обеспечивающие невозможность отказа от      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ авторства проводимых клиентами              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ операций и транзакций (например, ЭЦП)?      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.23            ¦ Придано ли протоколам операций,             ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0312         ¦               ¦
¦                  ¦ выполняемых посредством дистанционного      ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ банковского обслуживания, свойство          ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ юридической значимости, например,           ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ путем внесения соответствующих              ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ положений в договоры на дистанционное       ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ банковское обслуживание?                    ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.24            ¦ Производится ли при заключении              ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0274         ¦               ¦
¦                  ¦ договоров со сторонними организациями       ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ юридическое оформление                      ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ договоренностей, определяющих               ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ необходимый уровень взаимодействия в        ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ случае выхода инцидента ИБ за рамки         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ отдельной организации?                      ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.25            ¦ Определены ли в документах организации      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0294         ¦               ¦
¦                  ¦ процедуры, определяющие действия            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ работников и клиентов организации в         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ случае компрометации информации,            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ необходимой для их идентификации,           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ аутентификации и (или) авторизации, в       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ том числе произошедшей по их вине,          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ включая информацию о способах               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ распознавания таких случаев?                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.26            ¦ Доведены ли до сведения работников и        ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0283         ¦               ¦
¦                  ¦ клиентов организации процедуры,             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ указанные в частном показателе M3.25?       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.27            ¦ Предусматривают ли указанные в частном      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0254         ¦               ¦
¦                  ¦ показателе M3.26 процедуры                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ документирование работниками и              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ клиентами своих действий и их               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ результатов?                                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.28            ¦ Реализованы ли в системах                   ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0239         ¦               ¦
¦                  ¦ дистанционного банковского                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обслуживания механизмы информирования       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ (регулярного, непрерывного или по           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ требованию) клиентов обо всех               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ операциях, совершаемых от их имени?         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.29            ¦ Применяются ли в организации защитные       ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0319         ¦               ¦
¦                  ¦ меры, направленные на обеспечение           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ защиты от НСД и НРД, повреждения или        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ нарушения целостности информации,           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ необходимой для регистрации,                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ идентификации, аутентификации и (или)       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ авторизации клиентов и работников           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ организации?                                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.30            ¦ Регистрируются ли все попытки НСД и         ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0326         ¦               ¦
¦                  ¦ НРД к информации, необходимой для           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ идентификации, аутентификации и (или)       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ авторизации клиентов и сотрудников          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ организации?                                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.31            ¦ Определена ли в документах организации      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0316         ¦               ¦
¦                  ¦ и выполняется ли процедура пересмотра       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ прав доступа при увольнении или             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ изменении должностных обязанностей          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ работников организации, имевших доступ      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ к информации, необходимой для               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ идентификации, аутентификации и (или)       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ авторизации клиентов и сотрудников          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ организации?                                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M3.32            ¦ Осуществляется ли работа всех               ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0349         ¦               ¦
¦                  ¦ пользователей АБС под уникальными           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ учетными записями?                          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ Итоговая оценка группового показателя M3                                                                                                    ¦               ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------- 
                                   
          Групповой показатель M4 "Обеспечение информационной
              безопасности средствами антивирусной защиты"
                                   
--------------------T--------------------------------------------T----------------T------------------------------------------T----------------T---------------¬ 
¦ Обозначение       ¦ Частный показатель ИБ                      ¦ Обязательность ¦ Оценка частного                          ¦ Коэффициент    ¦ Вычисленное   ¦
¦ частного          ¦                                            ¦ выполнения     ¦ показателя ИБ                            ¦ значимости     ¦ значение      ¦
¦ показателя        ¦                                            ¦                ¦                                          ¦ частного       ¦ показателя    ¦
¦ ИБ                ¦                                            ¦                ¦                                          ¦ показателя     ¦ ИБ            ¦
¦                   ¦                                            ¦                ¦                                          ¦ ИБ             ¦               ¦
¦                   ¦                                            ¦                +------T------T-------T------T------T------+                ¦               ¦ 
¦                   ¦                                            ¦                ¦ 0    ¦ 0,25 ¦ 0,5   ¦ 0,75 ¦ 1    ¦ н/о  ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.1              ¦ Применяются ли на всех                     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0744         ¦               ¦
¦                   ¦ автоматизированных рабочих местах и        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ серверах АБС организации, если иное не     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ предусмотрено технологическим              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ процессом, средства антивирусной           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ защиты?                                    ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.2              ¦ Определены ли в документах организации     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0721         ¦               ¦
¦                   ¦ процедуры установки и регулярного          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обновления средств антивирусной защиты     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ (версий и баз данных) на                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ автоматизированных рабочих местах и        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ серверах АБС?                              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.3              ¦ Осуществляются ли установка и              ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0653         ¦               ¦
¦                   ¦ регулярное обновление средств              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ антивирусной защиты (версий и баз          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ данных) на автоматизированных рабочих      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ местах и серверах АБС администраторами     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ АБС или иными официально                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ уполномоченными лицами?                    ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.4              ¦ Организован ли автоматический режим        ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0559         ¦               ¦
¦                   ¦ установки обновлений антивирусного         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ программного обеспечения и его баз         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ данных?                                    ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.5              ¦ Контролируются ли установка и              ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0688         ¦               ¦
¦                   ¦ обновление антивирусных средств            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ представителями подразделения (лицами)     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ в организации, ответственными за           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обеспечение ИБ?                            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.6              ¦ Организовано ли функционирование           ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0583         ¦               ¦
¦                   ¦ постоянной антивирусной защиты в           ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ автоматическом режиме?                     ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.7              ¦ Разработаны и введены ли в действие        ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0619         ¦               ¦
¦                   ¦ инструкции по антивирусной защите,         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ учитывающие особенности банковских         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ технологических процессов?                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.8              ¦ Проводится ли антивирусная фильтрация      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0706         ¦               ¦
¦                   ¦ всего трафика электронного почтового       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обмена?                                    ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.9              ¦ Построена ли в организации                 ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0501         ¦               ¦
¦                   ¦ эшелонированная централизованная           ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ система антивирусной защиты,               ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ предусматривающая использование            ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ средств антивирусной защиты различных      ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ производителей и их раздельную             ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ установку на рабочих станциях,             ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ почтовых серверах и межсетевых             ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                   ¦ экранах?                                   ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.10             ¦ Определены ли в документах организации     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0605         ¦               ¦
¦                   ¦ и выполняются ли процедуры                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ предварительной проверки                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ устанавливаемого или изменяемого           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ программного обеспечения на отсутствие     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ вирусов?                                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.11             ¦ Проводится ли антивирусная проверка        ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0616         ¦               ¦
¦                   ¦ после установки и изменения                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ программного обеспечения?                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.12             ¦ Документируются ли результаты              ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0619         ¦               ¦
¦                   ¦ установки, изменения программного          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обеспечения и антивирусной проверки?       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.13             ¦ Определены ли в документах организации     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0651         ¦               ¦
¦                   ¦ процедуры, выполняемые в случае            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ обнаружения компьютерных вирусов, в        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ которых зафиксированы:                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - необходимые меры по отражению и          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ устранению последствий вирусной атаки;     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - порядок официального информирования      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ руководства;                               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ - порядок приостановления при              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ необходимости работы (на период            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ устранения последствий вирусной            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ атаки)?                                    ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.14             ¦ Определены ли в документах организации     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0557         ¦               ¦
¦                   ¦ и выполняются ли процедуры контроля за     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ отключением и обновлением антивирусных     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ средств на всех автоматизированных         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ рабочих местах и серверах АБС?             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.15             ¦ Предусматривают ли указанные в частном     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0513         ¦               ¦
¦                   ¦ показателе M4.14 процедуры                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ документальную фиксацию результатов        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ контроля?                                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M4.16             ¦ Возложена ли обязанность по выполнению     ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0665         ¦               ¦
¦                   ¦ предписанных мер антивирусной защиты       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ на каждого работника организации,          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ имеющего доступ к ЭВМ и (или) АБС, а       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ ответственность за выполнение              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ требований инструкции по антивирусной      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ защите - на руководителей                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ функциональных подразделений               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                   ¦ организации?                               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ Итоговая оценка группового показателя M4                                                                                                    ¦               ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------- 
                                   
          Групповой показатель M5 "Обеспечение информационной
         безопасности при использовании ресурсов сети Интернет"
                                   
-------------------T---------------------------------------------T----------------T------------------------------------------T----------------T---------------¬ 
¦ Обозначение      ¦ Частный показатель ИБ                       ¦ Обязательность ¦ Оценка частного                          ¦ Коэффициент    ¦ Вычисленное   ¦
¦ частного         ¦                                             ¦ выполнения     ¦ показателя ИБ                            ¦ значимости     ¦ значение      ¦
¦ показателя       ¦                                             ¦                ¦                                          ¦ частного       ¦ показателя    ¦
¦ ИБ               ¦                                             ¦                ¦                                          ¦ показателя     ¦ ИБ            ¦
¦                  ¦                                             ¦                ¦                                          ¦ ИБ             ¦               ¦
¦                  ¦                                             ¦                +------T------T-------T------T------T------+                ¦               ¦ 
¦                  ¦                                             ¦                ¦ 0    ¦ 0,25 ¦ 0,5   ¦ 0,75 ¦ 1    ¦ н/о  ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.1             ¦ Принято ли документально руководством       ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0586         ¦               ¦
¦                  ¦ организации решение об использовании        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ сети Интернет для производственной и        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ (или) собственной хозяйственной             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ деятельности, в котором явно                ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ перечислены цели использования сети         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ Интернет?                                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.2             ¦ Запрещается ли использование ресурсов       ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0512         ¦               ¦
¦                  ¦ сети Интернет в неустановленных целях?      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.3             ¦ Проведено ли в организации выделение        ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0398         ¦               ¦
¦                  ¦ ограниченного числа пакетов,                ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ содержащих перечень сервисов и              ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ ресурсов сети Интернет, доступных для       ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ пользователей?                              ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.4             ¦ Проводится ли наделение работников          ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0355         ¦               ¦
¦                  ¦ организации правами пользователя            ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ конкретного пакета в соответствии с         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ его должностными обязанностями, в           ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ частности, в соответствии с                 ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ назначенными ему ролями?                    ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.5             ¦ Оформляется ли документально наделение      ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0398         ¦               ¦
¦                  ¦ работников организации правами              ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ пользователя конкретного пакета?            ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.6             ¦ Определен ли документально в                ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0583         ¦               ¦
¦                  ¦ организации порядок подключения и           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ использования ресурсов сети Интернет,       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ включающий в том числе положение о          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ контроле со стороны подразделения           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ (лиц) в организации, ответственного за      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обеспечение ИБ?                             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.7             ¦ Применяются ли при осуществлении            ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0518         ¦               ¦
¦                  ¦ дистанционного банковского                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обслуживания с использованием сети          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ Интернет средства защиты информации         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ (межсетевые экраны, антивирусные            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ средства, средства криптографической        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ защиты информации), которые                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обеспечивают прием и передачу               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ информации только в установленном           ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ формате и только по конкретной              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ технологии?                                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.8             ¦ Выполнено ли выделение и организована       ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0292         ¦               ¦
¦                  ¦ ли физическая изоляция от внутренних        ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ сетей тех ЭВМ, с помощью которых            ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ осуществляется взаимодействие с сетью       ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ Интернет в режиме on-line?                  ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.9             ¦ Применяются ли при осуществлении            ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0479         ¦               ¦
¦                  ¦ дистанционного банковского                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обслуживания защитные меры,                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ предотвращающие возможность подмены         ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ авторизованного клиента                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ злоумышленником в рамках сеанса             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ работы?                                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.10            ¦ Регистрируются ли регламентированным        ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0440         ¦               ¦
¦                  ¦ образом попытки подмены                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ авторизованного клиента                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ злоумышленником в рамках сеанса             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ работы?                                     ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.11            ¦ Все ли операции клиентов в течение          ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0581         ¦               ¦
¦                  ¦ сеанса работы с системами                   ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ дистанционного банковского                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обслуживания выполняются только после       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ выполнения процедур идентификации,          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ аутентификации и авторизации?               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.12            ¦ Обеспечивается ли повторное выполнение      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0415         ¦               ¦
¦                  ¦ процедур идентификации, аутентификации      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ и авторизации в случаях нарушения или       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ разрыва соединения при работе с             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ системами дистанционного банковского        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ обслуживания?                               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.13            ¦ Используется ли специализированное          ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0331         ¦               ¦
¦                  ¦ клиентское программное обеспечение для      ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ доступа пользователей к системам            ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ дистанционного банковского                  ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ обслуживания?                               ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.14            ¦ Применяются ли защитные меры для            ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0450         ¦               ¦
¦                  ¦ осуществления почтового обмена через        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ сеть Интернет?                              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.15            ¦ Определены ли в документах организации      ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0491         ¦               ¦
¦                  ¦ перечень защитных мер и порядок их          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ использования для осуществления             ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ почтового обмена через сеть Интернет?       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.16            ¦ Организован ли почтовый обмен с сетью       ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0331         ¦               ¦
¦                  ¦ Интернет через ограниченное количество      ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ точек, состоящих из внешнего                ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ (подключенного к сети Интернет) и           ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ внутреннего (подключенного к                ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ внутренним сетям организации) почтовых      ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ серверов с безопасной системой              ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ репликации почтовых сообщений между         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ ними (интернет-киоски)?                     ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.17            ¦ Осуществляется ли архивирование             ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0368         ¦               ¦
¦                  ¦ электронной почты?                          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.18            ¦ Доступен ли архив электронной почты         ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0368         ¦               ¦
¦                  ¦ подразделению (лицу), ответственному        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ за обеспечение ИБ?                          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.19            ¦ Не допускаются ли изменения в архиве        ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0390         ¦               ¦
¦                  ¦ электронной почты?                          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.20            ¦ Определен ли документально порядок          ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0433         ¦               ¦
¦                  ¦ доступа к информации архива                 ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ электронной почты?                          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.21            ¦ Не применяется ли в организации             ¦ рекомендуемый  ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦ 0,0436         ¦               ¦
¦                  ¦ практика хранения и обработки               ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ банковской информации (в т.ч.               ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ открытой) на ЭВМ, с помощью которой         ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ осуществляется взаимодействие с сетью       ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
¦                  ¦ Интернет в режиме on-line?                  ¦                ¦ //   ¦ //// ¦ ////  ¦ //// ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.22            ¦ Всегда ли наличие банковской                ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0430         ¦               ¦
¦                  ¦ информации на ЭВМ, с помощью которых        ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ осуществляется взаимодействие с сетью       ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ Интернет в режиме on-line,                  ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ определяется бизнес-целями организации      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ и документально санкционируется ее          ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ руководством?                               ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ M5.23            ¦ Определены ли документально и               ¦ обязательный   ¦      ¦      ¦       ¦      ¦      ¦      ¦ 0,0415         ¦               ¦
¦                  ¦ используются ли защитные меры,              ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ позволяющие обеспечить противодействие      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ атакам хакеров и распространению            ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
¦                  ¦ спама?                                      ¦                ¦      ¦      ¦       ¦      ¦      ¦      ¦                ¦               ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ 
¦ Итоговая оценка группового показателя M5                                                                                                    ¦               ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------- 
                                   
                  Групповой показатель M6 "Обеспечение
         информационной безопасности при использовании средств
                  криптографической защиты информации"

Страницы: 1  2  3  4  5  6  7  8  


Оглавление