¦ ¦ АБС или поставке готовых АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ компонентов включаются положения по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ сопровождению поставляемых изделий на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ весь срок их службы; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ 2) организация приобретает полный ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ комплект рабочей конструкторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документации, обеспечивающий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ возможность сопровождения АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ компонентов без участия разработчика; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ 3) руководство организации оценивает и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документально оформляет допустимость ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ риска нарушения ИБ, возникающего при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ невозможности сопровождения АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ компонентов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.9 ¦ Учитывается ли при разработке ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0596 ¦ ¦ ¦ ¦ технических заданий на системы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания, что защита данных должна ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обеспечиваться в условиях: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - попыток доступа к банковской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ информации анонимных, неавторизованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ злоумышленников при использовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ сетей общего пользования; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - возможности ошибок авторизованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ пользователей систем; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - возможности ненамеренного или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ неадекватного использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ конфиденциальных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ авторизованными пользователями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.10 ¦ Обеспечиваются ли на стадии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0474 ¦ ¦ ¦ ¦ тестирования анонимность данных и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ проверка адекватности разграничения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ доступа? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.11 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0700 ¦ ¦ ¦ ¦ и выполняются ли на стадии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ эксплуатации АБС процедуры контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ работоспособности (функционирования, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ эффективности) реализованных в АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.12 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0626 ¦ ¦ ¦ ¦ показателе M2.11 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.13 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0596 ¦ ¦ ¦ ¦ и выполняются ли на стадии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ сопровождения (модернизации) АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ процедуры контроля, обеспечивающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ защиту от: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - умышленного несанкционированного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ раскрытия, модификации или уничтожения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ информации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - неумышленной модификации, раскрытия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ или уничтожения информации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - отказа в обслуживании или ухудшения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.14 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0533 ¦ ¦ ¦ ¦ показателе M2.13 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.15 ¦ Проводятся ли на стадии сопровождения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦ ¦ ¦ (модернизации) при любом внесении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ изменений в АБС процедуры проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ функциональности, результаты которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документируются? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.16 ¦ Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0675 ¦ ¦ ¦ ¦ выполняются ли на стадии снятия с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ эксплуатации процедуры, обеспечивающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ удаление информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ несанкционированное использование ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ которой может нанести ущерб бизнес- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ деятельности организации, и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ информации, используемой средствами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обеспечения ИБ, из постоянной памяти ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ АБС и с внешних носителей (за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ исключением архивов электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документов и протоколов электронного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ взаимодействия, ведение и сохранность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ которых в течение определенного срока ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ предусмотрены соответствующими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ нормативными и (или) договорными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документами)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M2.17 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0576 ¦ ¦ ¦ ¦ показателе M2.16 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документальную фиксацию результатов их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ выполнения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ Итоговая оценка группового показателя M2 ¦ ¦ L---------------------------------------------------------------------------------------------------------------------------------------------+---------------- Групповой показатель M3 "Обеспечение информационной безопасности при управлении доступом и регистрации" -------------------T---------------------------------------------T----------------T------------------------------------------T----------------T---------------¬ ¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦ ¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦ ¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦ ¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦ ¦ ¦ ¦ +------T------T-------T------T------T------+ ¦ ¦ ¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.1 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0356 ¦ ¦ ¦ ¦ перечень информационных активов (их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ типов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.2 ¦ Зафиксированы ли документально права ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0360 ¦ ¦ ¦ ¦ доступа работников и клиентов к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ информационным активам организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.3 ¦ Применяются ли в составе АБС ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦ ¦ ¦ встроенные защитные меры? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.4 ¦ Применяются ли в составе АБС ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0334 ¦ ¦ ¦ ¦ сертифицированные или разрешенные к ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ применению руководством организации ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ средства защиты информации от НСД и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ НРД? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.5 ¦ Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0366 ¦ ¦ ¦ ¦ организации, утверждены ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ руководством организации, выполняются ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ли и контролируются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ идентификации, аутентификации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ авторизации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.6 ¦ Документируются ли результаты контроля ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦ ¦ ¦ процедур, указанных в частном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателе M3.5? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.7 ¦ Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0360 ¦ ¦ ¦ ¦ организации, выполняются ли и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ контролируются ли процедуры управления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ доступом? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.8 ¦ Документируются ли результаты контроля ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0334 ¦ ¦ ¦ ¦ процедур, указанных в частном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателе M3.7? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.9 ¦ Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0340 ¦ ¦ ¦ ¦ организации, выполняются ли и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ контролируются ли процедуры контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ целостности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.10 ¦ Документируются ли результаты контроля ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦ ¦ ¦ процедур, указанных в частном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателе M3.9? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.11 ¦ Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦ ¦ ¦ организации, выполняются ли и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ контролируются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ регистрации событий и действий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.12 ¦ Документируются ли результаты контроля ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0286 ¦ ¦ ¦ ¦ процедур, указанных в частном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателе M3.11? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.13 ¦ Исключают ли процедуры управления ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0308 ¦ ¦ ¦ ¦ доступом возможность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ "самосанкционирования"? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.14 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0331 ¦ ¦ ¦ ¦ процедуры мониторинга и анализа данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ регистрации, действий и операций, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ позволяющие выявить неправомерные или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ подозрительные операции и транзакции? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.15 ¦ Используются ли специализированные ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0255 ¦ ¦ ¦ ¦ программные и (или) технические ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ средства для проведения процедур ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ мониторинга и анализа данных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ регистрации, действия и операций? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.16 ¦ Используют ли процедуры мониторинга и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0266 ¦ ¦ ¦ ¦ анализа документально определенные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ критерии выявления неправомерных или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ подозрительных действий и операций? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.17 ¦ Применяются ли процедуры мониторинга и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0286 ¦ ¦ ¦ ¦ анализа на регулярной основе ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ (например, ежедневно) ко всем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ выполненным операциям и транзакциям? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.18 ¦ Регламентирован ли во внутренних ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0292 ¦ ¦ ¦ ¦ документах организации порядок доступа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ работников организации в помещения, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ которых размещаются объекты среды ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ информационных активов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.19 ¦ Контролируется ли выполнение порядка ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0297 ¦ ¦ ¦ ¦ доступа работников организации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ помещения, в которых размещаются ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ объекты среды информационных активов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.20 ¦ Оформляются ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0263 ¦ ¦ ¦ ¦ результаты выполнения контроля порядка ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ доступа работников организации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ помещения, в которых размещаются ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ объекты среды информационных активов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.21 ¦ Обеспечивают ли используемые в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0328 ¦ ¦ ¦ ¦ организации АБС, в том числе системы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания, возможность регистрации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - операций с данными о клиентских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ счетах, включая операции открытия, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ модификации и закрытия клиентских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ счетов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - проводимых транзакций, имеющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ финансовые последствия; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - операций, связанных с назначением и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ распределением прав пользователей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.22 ¦ Реализованы ли в системах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0344 ¦ ¦ ¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания, используемых в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ организации, защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обеспечивающие невозможность отказа от ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ авторства проводимых клиентами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ операций и транзакций (например, ЭЦП)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.23 ¦ Придано ли протоколам операций, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0312 ¦ ¦ ¦ ¦ выполняемых посредством дистанционного ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ банковского обслуживания, свойство ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ юридической значимости, например, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ путем внесения соответствующих ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ положений в договоры на дистанционное ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ банковское обслуживание? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.24 ¦ Производится ли при заключении ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0274 ¦ ¦ ¦ ¦ договоров со сторонними организациями ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ юридическое оформление ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ договоренностей, определяющих ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ необходимый уровень взаимодействия в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ случае выхода инцидента ИБ за рамки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ отдельной организации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.25 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0294 ¦ ¦ ¦ ¦ процедуры, определяющие действия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ работников и клиентов организации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ случае компрометации информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ необходимой для их идентификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ аутентификации и (или) авторизации, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ том числе произошедшей по их вине, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ включая информацию о способах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ распознавания таких случаев? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.26 ¦ Доведены ли до сведения работников и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0283 ¦ ¦ ¦ ¦ клиентов организации процедуры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ указанные в частном показателе M3.25? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.27 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0254 ¦ ¦ ¦ ¦ показателе M3.26 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документирование работниками и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ клиентами своих действий и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.28 ¦ Реализованы ли в системах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0239 ¦ ¦ ¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания механизмы информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ (регулярного, непрерывного или по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ требованию) клиентов обо всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ операциях, совершаемых от их имени? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.29 ¦ Применяются ли в организации защитные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦ ¦ ¦ меры, направленные на обеспечение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ защиты от НСД и НРД, повреждения или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ нарушения целостности информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ необходимой для регистрации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ идентификации, аутентификации и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ авторизации клиентов и работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.30 ¦ Регистрируются ли все попытки НСД и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0326 ¦ ¦ ¦ ¦ НРД к информации, необходимой для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ идентификации, аутентификации и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ авторизации клиентов и сотрудников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.31 ¦ Определена ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0316 ¦ ¦ ¦ ¦ и выполняется ли процедура пересмотра ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ прав доступа при увольнении или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ изменении должностных обязанностей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ работников организации, имевших доступ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ к информации, необходимой для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ идентификации, аутентификации и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ авторизации клиентов и сотрудников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M3.32 ¦ Осуществляется ли работа всех ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0349 ¦ ¦ ¦ ¦ пользователей АБС под уникальными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ учетными записями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ Итоговая оценка группового показателя M3 ¦ ¦ L---------------------------------------------------------------------------------------------------------------------------------------------+---------------- Групповой показатель M4 "Обеспечение информационной безопасности средствами антивирусной защиты" --------------------T--------------------------------------------T----------------T------------------------------------------T----------------T---------------¬ ¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦ ¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦ ¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦ ¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦ ¦ ¦ ¦ +------T------T-------T------T------T------+ ¦ ¦ ¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.1 ¦ Применяются ли на всех ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0744 ¦ ¦ ¦ ¦ автоматизированных рабочих местах и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ серверах АБС организации, если иное не ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ предусмотрено технологическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ процессом, средства антивирусной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ защиты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.2 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0721 ¦ ¦ ¦ ¦ процедуры установки и регулярного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обновления средств антивирусной защиты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ (версий и баз данных) на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ автоматизированных рабочих местах и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ серверах АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.3 ¦ Осуществляются ли установка и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0653 ¦ ¦ ¦ ¦ регулярное обновление средств ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ антивирусной защиты (версий и баз ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ данных) на автоматизированных рабочих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ местах и серверах АБС администраторами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ АБС или иными официально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ уполномоченными лицами? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.4 ¦ Организован ли автоматический режим ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0559 ¦ ¦ ¦ ¦ установки обновлений антивирусного ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ программного обеспечения и его баз ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ данных? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.5 ¦ Контролируются ли установка и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0688 ¦ ¦ ¦ ¦ обновление антивирусных средств ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ представителями подразделения (лицами) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ в организации, ответственными за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.6 ¦ Организовано ли функционирование ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0583 ¦ ¦ ¦ ¦ постоянной антивирусной защиты в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ автоматическом режиме? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.7 ¦ Разработаны и введены ли в действие ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0619 ¦ ¦ ¦ ¦ инструкции по антивирусной защите, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ учитывающие особенности банковских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ технологических процессов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.8 ¦ Проводится ли антивирусная фильтрация ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0706 ¦ ¦ ¦ ¦ всего трафика электронного почтового ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обмена? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.9 ¦ Построена ли в организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0501 ¦ ¦ ¦ ¦ эшелонированная централизованная ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ система антивирусной защиты, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ предусматривающая использование ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ средств антивирусной защиты различных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ производителей и их раздельную ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ установку на рабочих станциях, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ почтовых серверах и межсетевых ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ экранах? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.10 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0605 ¦ ¦ ¦ ¦ и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ предварительной проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ устанавливаемого или изменяемого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ программного обеспечения на отсутствие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ вирусов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.11 ¦ Проводится ли антивирусная проверка ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0616 ¦ ¦ ¦ ¦ после установки и изменения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ программного обеспечения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.12 ¦ Документируются ли результаты ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0619 ¦ ¦ ¦ ¦ установки, изменения программного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обеспечения и антивирусной проверки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.13 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0651 ¦ ¦ ¦ ¦ процедуры, выполняемые в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обнаружения компьютерных вирусов, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ которых зафиксированы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - необходимые меры по отражению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ устранению последствий вирусной атаки; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - порядок официального информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ руководства; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ - порядок приостановления при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ необходимости работы (на период ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ устранения последствий вирусной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ атаки)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.14 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0557 ¦ ¦ ¦ ¦ и выполняются ли процедуры контроля за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ отключением и обновлением антивирусных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ средств на всех автоматизированных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ рабочих местах и серверах АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.15 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0513 ¦ ¦ ¦ ¦ показателе M4.14 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M4.16 ¦ Возложена ли обязанность по выполнению ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0665 ¦ ¦ ¦ ¦ предписанных мер антивирусной защиты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ на каждого работника организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ имеющего доступ к ЭВМ и (или) АБС, а ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ответственность за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ требований инструкции по антивирусной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ защите - на руководителей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ функциональных подразделений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ Итоговая оценка группового показателя M4 ¦ ¦ L---------------------------------------------------------------------------------------------------------------------------------------------+---------------- Групповой показатель M5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет" -------------------T---------------------------------------------T----------------T------------------------------------------T----------------T---------------¬ ¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦ ¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦ ¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦ ¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦ ¦ ¦ ¦ +------T------T-------T------T------T------+ ¦ ¦ ¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.1 ¦ Принято ли документально руководством ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0586 ¦ ¦ ¦ ¦ организации решение об использовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ сети Интернет для производственной и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ (или) собственной хозяйственной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ деятельности, в котором явно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ перечислены цели использования сети ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.2 ¦ Запрещается ли использование ресурсов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0512 ¦ ¦ ¦ ¦ сети Интернет в неустановленных целях? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.3 ¦ Проведено ли в организации выделение ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0398 ¦ ¦ ¦ ¦ ограниченного числа пакетов, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ содержащих перечень сервисов и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ ресурсов сети Интернет, доступных для ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ пользователей? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.4 ¦ Проводится ли наделение работников ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0355 ¦ ¦ ¦ ¦ организации правами пользователя ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ конкретного пакета в соответствии с ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ его должностными обязанностями, в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ частности, в соответствии с ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ назначенными ему ролями? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.5 ¦ Оформляется ли документально наделение ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0398 ¦ ¦ ¦ ¦ работников организации правами ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ пользователя конкретного пакета? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.6 ¦ Определен ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0583 ¦ ¦ ¦ ¦ организации порядок подключения и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ использования ресурсов сети Интернет, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ включающий в том числе положение о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ контроле со стороны подразделения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ (лиц) в организации, ответственного за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.7 ¦ Применяются ли при осуществлении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0518 ¦ ¦ ¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания с использованием сети ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ Интернет средства защиты информации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ (межсетевые экраны, антивирусные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ средства, средства криптографической ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ защиты информации), которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обеспечивают прием и передачу ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ информации только в установленном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ формате и только по конкретной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ технологии? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.8 ¦ Выполнено ли выделение и организована ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0292 ¦ ¦ ¦ ¦ ли физическая изоляция от внутренних ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ сетей тех ЭВМ, с помощью которых ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ осуществляется взаимодействие с сетью ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ Интернет в режиме on-line? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.9 ¦ Применяются ли при осуществлении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0479 ¦ ¦ ¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ предотвращающие возможность подмены ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ авторизованного клиента ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ злоумышленником в рамках сеанса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ работы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.10 ¦ Регистрируются ли регламентированным ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0440 ¦ ¦ ¦ ¦ образом попытки подмены ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ авторизованного клиента ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ злоумышленником в рамках сеанса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ работы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.11 ¦ Все ли операции клиентов в течение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0581 ¦ ¦ ¦ ¦ сеанса работы с системами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания выполняются только после ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ выполнения процедур идентификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ аутентификации и авторизации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.12 ¦ Обеспечивается ли повторное выполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0415 ¦ ¦ ¦ ¦ процедур идентификации, аутентификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ и авторизации в случаях нарушения или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ разрыва соединения при работе с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ системами дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.13 ¦ Используется ли специализированное ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0331 ¦ ¦ ¦ ¦ клиентское программное обеспечение для ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ доступа пользователей к системам ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ дистанционного банковского ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ обслуживания? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.14 ¦ Применяются ли защитные меры для ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0450 ¦ ¦ ¦ ¦ осуществления почтового обмена через ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ сеть Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.15 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0491 ¦ ¦ ¦ ¦ перечень защитных мер и порядок их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ использования для осуществления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ почтового обмена через сеть Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.16 ¦ Организован ли почтовый обмен с сетью ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0331 ¦ ¦ ¦ ¦ Интернет через ограниченное количество ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ точек, состоящих из внешнего ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ (подключенного к сети Интернет) и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ внутреннего (подключенного к ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ внутренним сетям организации) почтовых ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ серверов с безопасной системой ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ репликации почтовых сообщений между ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ ними (интернет-киоски)? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.17 ¦ Осуществляется ли архивирование ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦ ¦ ¦ электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.18 ¦ Доступен ли архив электронной почты ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦ ¦ ¦ подразделению (лицу), ответственному ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.19 ¦ Не допускаются ли изменения в архиве ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0390 ¦ ¦ ¦ ¦ электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.20 ¦ Определен ли документально порядок ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0433 ¦ ¦ ¦ ¦ доступа к информации архива ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.21 ¦ Не применяется ли в организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0436 ¦ ¦ ¦ ¦ практика хранения и обработки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ банковской информации (в т.ч. ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ открытой) на ЭВМ, с помощью которой ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ осуществляется взаимодействие с сетью ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ ¦ ¦ Интернет в режиме on-line? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.22 ¦ Всегда ли наличие банковской ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0430 ¦ ¦ ¦ ¦ информации на ЭВМ, с помощью которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ осуществляется взаимодействие с сетью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ Интернет в режиме on-line, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ определяется бизнес-целями организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ и документально санкционируется ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ M5.23 ¦ Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0415 ¦ ¦ ¦ ¦ используются ли защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ позволяющие обеспечить противодействие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ атакам хакеров и распространению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ спама? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------+---------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+ ¦ Итоговая оценка группового показателя M5 ¦ ¦ L---------------------------------------------------------------------------------------------------------------------------------------------+---------------- Групповой показатель M6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации" |