+----------------+------------------------------+----------------------+-----------------+------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------------+------------------------------+----------------------+-----------------+------------+
¦ ¦ ¦ ¦ ¦ ¦
+----------------+------------------------------+----------------------+-----------------+------------+
¦ ¦ ¦ ¦ ¦ ¦
L----------------+------------------------------+----------------------+-----------------+-------------
_____________________
(подпись)
_____________________
(подпись)
_____________________
(подпись)
Приложение В
(обязательное)
УТОЧНЯЮЩИЕ ВОПРОСЫ ЧАСТНЫХ ПОКАЗАТЕЛЕЙ ИБ
ДЛЯ ОЦЕНКИ СТЕПЕНИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ СТО БР ИББС-1.0,
РЕГЛАМЕНТИРУЮЩИХ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИСПДН
Таблица 1. Уточняющие вопросы частных показателей ИБ
----------------T-----------T-----------------------------------------T----------------¬
¦ N уточняющего ¦ Пункт ¦ Уточняющий вопрос ¦ Частный ¦
¦ вопроса ¦ РС БР ¦ ¦ показатель ¦
¦ ¦ ИББС-2.3 ¦ ¦ СТО БР ¦
¦ ¦ ¦ ¦ ИББС-1.2 ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 1 ¦ 5.2 ¦ Отнесена ли каждая информационная ¦ M10.2, M10.3, ¦
¦ ¦ ¦ система персональных данных (ИСПДн) ¦ M12.2, M12.3, ¦
¦ ¦ ¦ организации к одному из следующих ¦ M12.4 ¦
¦ ¦ ¦ классов - ИСПДн-С, ИСПДн-Б, ИСПДн-И, ¦ ¦
¦ ¦ ¦ ИСПДн-Д <*>? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 2 ¦ 6.1.1 ¦ Реализуются ли требования по ¦ M2.1, M2.2, ¦
¦ ¦ ¦ обеспечению безопасности персональных ¦ M2.3, M2.4 ¦
¦ ¦ ¦ данных в ИСПДн комплексом ¦ ¦
¦ ¦ ¦ организационных, технологических, ¦ ¦
¦ ¦ ¦ технических и программных мер, средств ¦ ¦
¦ ¦ ¦ и механизмов защиты информации? ¦ ¦
¦ ¦ ¦ Осуществляется ли реализация ¦ ¦
¦ ¦ ¦ требований и (или) организуется ли ¦ ¦
¦ ¦ ¦ выполнение требований по обеспечению ¦ ¦
¦ ¦ ¦ безопасности персональных данных ¦ ¦
¦ ¦ ¦ структурным подразделением или ¦ ¦
¦ ¦ ¦ должностным лицом (работником) ¦ ¦
¦ ¦ ¦ организации, ответственным за ¦ ¦
¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦ данных, либо на договорной основе ¦ ¦
¦ ¦ ¦ организацией - контрагентом ¦ ¦
¦ ¦ ¦ организации, имеющей лицензию на ¦ ¦
¦ ¦ ¦ деятельность по технической защите ¦ ¦
¦ ¦ ¦ конфиденциальной информации? ¦ ¦
¦ ¦ ¦ Допускается возложение ¦ ¦
¦ ¦ ¦ ответственности за организацию работы ¦ ¦
¦ ¦ ¦ по обеспечению безопасности ¦ ¦
¦ ¦ ¦ персональных данных на существующее в ¦ ¦
¦ ¦ ¦ организации подразделение (например, ¦ ¦
¦ ¦ ¦ на службу ИБ). ¦ ¦
¦ ¦ ¦ Осуществляется ли реализация ¦ ¦
¦ ¦ ¦ требований по обеспечению безопасности ¦ ¦
¦ ¦ ¦ ПДн по согласованию и под контролем ¦ ¦
¦ ¦ ¦ службы ИБ организации? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 3 ¦ 6.1.2 ¦ Включает ли создание ИСПДн ¦ M2.1, M2.2, ¦
¦ ¦ ¦ организации разработку и согласование ¦ M2.3, M2.5, ¦
¦ ¦ ¦ (утверждение) предусмотренной ¦ M2.6, M8.3, ¦
¦ ¦ ¦ техническим заданием организационно- ¦ M8.5, M15.6, ¦
¦ ¦ ¦ распорядительной, проектной и ¦ M15.7 ¦
¦ ¦ ¦ эксплуатационной документации на ¦ ¦
¦ ¦ ¦ создаваемую систему (в документации ¦ ¦
¦ ¦ ¦ должны быть отражены вопросы ¦ ¦
¦ ¦ ¦ обеспечения безопасности обрабатываемых ¦ ¦
¦ ¦ ¦ персональных данных)? ¦ ¦
¦ ¦ ¦ Осуществляются ли разработка ¦ ¦
¦ ¦ ¦ концепций, технических заданий, ¦ ¦
¦ ¦ ¦ проектирование, создание и ¦ ¦
¦ ¦ ¦ тестирование, приемка и ввод в действие ¦ ¦
¦ ¦ ¦ ИСПДн по согласованию и под контролем ¦ ¦
¦ ¦ ¦ структурного подразделения или ¦ ¦
¦ ¦ ¦ должностного лица (работника) ¦ ¦
¦ ¦ ¦ организации, ответственного за ¦ ¦
¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦ данных, и службы ИБ организации? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 4 ¦ 6.1.3 ¦ Защищены ли от воздействий ¦ M4.1, M4.5 ¦
¦ ¦ ¦ вредоносного кода все информационные ¦ ¦
¦ ¦ ¦ активы, принадлежащие ИСПДн ¦ ¦
¦ ¦ ¦ организации? ¦ ¦
¦ ¦ ¦ Определены ли в организации и ¦ ¦
¦ ¦ ¦ зафиксированы ли документально ¦ ¦
¦ ¦ ¦ требования по обеспечению безопасности ¦ ¦
¦ ¦ ¦ персональных данных средствами ¦ ¦
¦ ¦ ¦ антивирусной защиты и порядок ¦ ¦
¦ ¦ ¦ проведения контроля реализации этих ¦ ¦
¦ ¦ ¦ требований в соответствии с ¦ ¦
¦ ¦ ¦ требованиями пункта 7.5 СТО БР ¦ ¦
¦ ¦ ¦ ИББС-1.0? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 5 ¦ 6.1.4 ¦ Определена ли в организации система ¦ M3.5, M3.6, ¦
¦ ¦ ¦ контроля доступа, позволяющая ¦ M3.7, M3.8 ¦
¦ ¦ ¦ осуществлять контроль доступа к ¦ ¦
¦ ¦ ¦ коммуникационным портам, устройствам ¦ ¦
¦ ¦ ¦ ввода-вывода информации, съемным ¦ ¦
¦ ¦ ¦ машинным носителям и внешним ¦ ¦
¦ ¦ ¦ накопителям информации ИСПДн? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 6 ¦ 6.1.5 ¦ Действуют ли работники, ¦ M1.1, M1.3, ¦
¦ ¦ ¦ осуществляющие обработку персональных ¦ M1.4, M1.19, ¦
¦ ¦ ¦ данных в ИСПДн, в соответствии с ¦ M16.1, M29.1 ¦
¦ ¦ ¦ инструкцией (руководством, регламентом ¦ ¦
¦ ¦ ¦ и т.п.), входящей в состав ¦ ¦
¦ ¦ ¦ эксплуатационной документации на ИСПДн, ¦ ¦
¦ ¦ ¦ и соблюдают ли работники требования ¦ ¦
¦ ¦ ¦ документов организации по обеспечению ¦ ¦
¦ ¦ ¦ ИБ? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 7 ¦ 6.1.6 ¦ Возложены ли приказами ¦ M1.1, M1.3, ¦
¦ ¦ ¦ (распоряжениями) обязанности по ¦ M1.4, M8.4, ¦
¦ ¦ ¦ администрированию средств защиты и ¦ M8.5, M15.6, ¦
¦ ¦ ¦ механизмов защиты, реализующих ¦ M15.7, M15.8 ¦
¦ ¦ ¦ требования по обеспечению ИБ ИСПДн ¦ ¦
¦ ¦ ¦ организации, на администраторов ¦ ¦
¦ ¦ ¦ информационной безопасности ИСПДн? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 8 ¦ 6.1.7 ¦ Определен ли порядок действий ¦ M1.1, M1.3, ¦
¦ ¦ ¦ администратора информационной ¦ M1.4, M1.13, ¦
¦ ¦ ¦ безопасности ИСПДн и персонала, занятых ¦ M1.14, ¦
¦ ¦ ¦ в процессе обработки персональных ¦ M2.5, M2.6, ¦
¦ ¦ ¦ данных, инструкциями (руководствами), ¦ M2.11, M2.12, ¦
¦ ¦ ¦ которые готовятся разработчиком ИСПД в ¦ M3.2, M3.11, ¦
¦ ¦ ¦ составе эксплуатационной документации ¦ M3.12, M3.14, ¦
¦ ¦ ¦ на ИСПДн? ¦ M3.15, M3.16, ¦
¦ ¦ ¦ Выполняются ли следующие требования к ¦ M3.17, M8.5, ¦
¦ ¦ ¦ таким инструкциям (руководствам): ¦ M8.12, M15.6, ¦
¦ ¦ ¦ - устанавливают требования к ¦ M15.7, M15.8, ¦
¦ ¦ ¦ квалификации администратора ¦ M21.1, M21.7, ¦
¦ ¦ ¦ информационной безопасности и персонала ¦ M21.8, M32.1, ¦
¦ ¦ ¦ в области защиты информации, а также ¦ M32.2 ¦
¦ ¦ ¦ актуальный перечень защищаемых объектов ¦ ¦
¦ ¦ ¦ и правила его обновления; ¦ ¦
¦ ¦ ¦ - содержат в полном объеме актуальные ¦ ¦
¦ ¦ ¦ (по времени) данные о полномочиях ¦ ¦
¦ ¦ ¦ пользователей; ¦ ¦
¦ ¦ ¦ - содержат данные о технологии ¦ ¦
¦ ¦ ¦ обработки информации в объеме, ¦ ¦
¦ ¦ ¦ необходимом для администратора ¦ ¦
¦ ¦ ¦ информационной безопасности; ¦ ¦
¦ ¦ ¦ - устанавливают порядок и ¦ ¦
¦ ¦ ¦ периодичность анализа журналов ¦ ¦
¦ ¦ ¦ регистрации событий (архивов журналов)? ¦ ¦
¦ ¦ ¦ Определены ли в эксплуатационной ¦ ¦
¦ ¦ ¦ документации на ИСПДн параметры ¦ ¦
¦ ¦ ¦ конфигурации средств защиты и ¦ ¦
¦ ¦ ¦ механизмов защиты информации от НСД, ¦ ¦
¦ ¦ ¦ используемых в зоне ответственности ¦ ¦
¦ ¦ ¦ администратора информационной ¦ ¦
¦ ¦ ¦ безопасности? ¦ ¦
¦ ¦ ¦ Установлены ли в эксплуатационной ¦ ¦
¦ ¦ ¦ документации или регламентированы ли ¦ ¦
¦ ¦ ¦ внутренним документом организации ¦ ¦
¦ ¦ ¦ порядок и периодичность проверок ¦ ¦
¦ ¦ ¦ установленных параметров конфигурации ¦ ¦
¦ ¦ ¦ (при этом проверки должны проводиться ¦ ¦
¦ ¦ ¦ не реже чем раз в год)? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 9 ¦ 6.1.8 ¦ Определен ли в организации и ¦ M3.18, M3.19, ¦
¦ ¦ ¦ зафиксирован ли документально порядок ¦ M3.20, M11.9, ¦
¦ ¦ ¦ доступа в помещения, в которых ¦ M28.9 ¦
¦ ¦ ¦ размещаются технические средства ИСПДн ¦ ¦
¦ ¦ ¦ и хранятся носители персональных ¦ ¦
¦ ¦ ¦ данных, предусматривающий контроль ¦ ¦
¦ ¦ ¦ доступа в помещения посторонних лиц и ¦ ¦
¦ ¦ ¦ наличие препятствий для ¦ ¦
¦ ¦ ¦ несанкционированного проникновения в ¦ ¦
¦ ¦ ¦ помещения? ¦ ¦
¦ ¦ ¦ Разработан ли указанный порядок ¦ ¦
¦ ¦ ¦ структурным подразделением или ¦ ¦
¦ ¦ ¦ должностным лицом (работником) ¦ ¦
¦ ¦ ¦ организации, ответственным за ¦ ¦
¦ ¦ ¦ обеспечение режима физической ¦ ¦
¦ ¦ ¦ безопасности организации БС РФ и ¦ ¦
¦ ¦ ¦ согласован ли структурным ¦ ¦
¦ ¦ ¦ подразделением или должностным лицом ¦ ¦
¦ ¦ ¦ (работником) организации БС РФ, ¦ ¦
¦ ¦ ¦ ответственным за обеспечение ¦ ¦
¦ ¦ ¦ безопасности персональных данных, и со ¦ ¦
¦ ¦ ¦ службой ИБ организации? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 10 ¦ 6.1.9 ¦ Запрещено ли организационно- ¦ M15.6, M15.8, ¦
¦ ¦ ¦ техническими мерами в помещениях, в ¦ M21.1, M21.7, ¦
¦ ¦ ¦ которых размещаются технические ¦ M32.1 ¦
¦ ¦ ¦ средства ИСПДн, несанкционированное и ¦ ¦
¦ ¦ ¦ (или) нерегистрируемое (бесконтрольное) ¦ ¦
¦ ¦ ¦ копирование персональных данных, в том ¦ ¦
¦ ¦ ¦ числе с использованием отчуждаемых ¦ ¦
¦ ¦ ¦ носителей информации, мобильных ¦ ¦
¦ ¦ ¦ устройств копирования и переноса ¦ ¦
¦ ¦ ¦ информации, коммуникационных портов и ¦ ¦
¦ ¦ ¦ устройств ввода-вывода, реализующих ¦ ¦
¦ ¦ ¦ различные интерфейсы (включая ¦ ¦
¦ ¦ ¦ беспроводные), запоминающих устройств ¦ ¦
¦ ¦ ¦ мобильных средств (например, ноутбуков, ¦ ¦
¦ ¦ ¦ карманных персональных компьютеров, ¦ ¦
¦ ¦ ¦ смартфонов, мобильных телефонов), а ¦ ¦
¦ ¦ ¦ также устройств фото- и видеосъемки? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 11 ¦ 6.2.1 ¦ Регламентируются ли в проектной и ¦ M2.1, M8.6, ¦
¦ ¦ ¦ эксплуатационной документации процессы ¦ M15.6, M15.7 ¦
¦ ¦ ¦ обработки персональных данных, а также ¦ ¦
¦ ¦ ¦ порядок установки, настройки, ¦ ¦
¦ ¦ ¦ эксплуатации и восстановления ¦ ¦
¦ ¦ ¦ необходимых технических и программных ¦ ¦
¦ ¦ ¦ средств? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 12 ¦ 6.2.2 ¦ Обеспечиваются ли идентификация и ¦ M3.5, M3.6, ¦
¦ ¦ ¦ аутентификация (проверка подлинности) ¦ M3.7, M3.8, ¦
¦ ¦ ¦ субъекта доступа при входе в ИСПДн по ¦ M15.6, M15.8 ¦
¦ ¦ ¦ идентификатору (коду) и периодически ¦ ¦
¦ ¦ ¦ обновляемому паролю длиной не менее ¦ ¦
¦ ¦ ¦ шести буквенно-цифровых символов? ¦ ¦
¦ ¦ ¦ Ограничено ли при наличии технической ¦ ¦
¦ ¦ ¦ возможности количество последовательных ¦ ¦
¦ ¦ ¦ неудачных попыток ввода пароля (от 3 до ¦ ¦
¦ ¦ ¦ 5 попыток)? ¦ ¦
¦ ¦ ¦ Блокируют ли при превышении ¦ ¦
¦ ¦ ¦ указанного количества средства защиты и ¦ ¦
¦ ¦ ¦ механизм защиты возможность дальнейшего ¦ ¦
¦ ¦ ¦ ввода пароля, включая правильное ¦ ¦
¦ ¦ ¦ значение пароля, до вмешательства ¦ ¦
¦ ¦ ¦ администратора информационной ¦ ¦
¦ ¦ ¦ безопасности? ¦ ¦
¦ ¦ ¦ Регламентируются ли порядок ¦ ¦
¦ ¦ ¦ формирования и смены паролей, а также ¦ ¦
¦ ¦ ¦ порядок контроля исполнения этих ¦ ¦
¦ ¦ ¦ процедур разработчиком ИСПДн в ¦ ¦
¦ ¦ ¦ эксплуатационной документации в ¦ ¦
¦ ¦ ¦ инструкциях (руководствах) ¦ ¦
¦ ¦ ¦ администраторов информационной ¦ ¦
¦ ¦ ¦ безопасности? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 13 ¦ 6.2.3 ¦ Осуществляется ли передача ¦ M3.9, M5.1, ¦
¦ ¦ ¦ персональных данных только при условии ¦ M5.15, M5.23, ¦
¦ ¦ ¦ обеспечения их целостности с помощью ¦ M11.9, M28.9 ¦
¦ ¦ ¦ защитных мер, механизмов и средств, ¦ ¦
¦ ¦ ¦ применяемых по согласованию со ¦ ¦
¦ ¦ ¦ структурным подразделением или ¦ ¦
¦ ¦ ¦ должностным лицом (работником) ¦ ¦
¦ ¦ ¦ организации, ответственным за ¦ ¦
¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦ данных? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 14 ¦ 6.3.2 ¦ Обеспечивается ли выполнение функций ¦ M2.1, M3.4 ¦
¦ ¦ ¦ обеспечения безопасности персональных ¦ ¦
¦ ¦ ¦ данных в ИСПДн средствами защиты ¦ ¦
¦ ¦ ¦ информации, прошедшими в установленном ¦ ¦
¦ ¦ ¦ порядке процедуру оценки соответствия, ¦ ¦
¦ ¦ ¦ а также комплексом встроенных ¦ ¦
¦ ¦ ¦ механизмов защиты электронных ¦ ¦
¦ ¦ ¦ вычислительных машин (ЭВМ), ¦ ¦
¦ ¦ ¦ операционных систем (ОС), систем ¦ ¦
¦ ¦ ¦ управления базами данных (СУБД), ¦ ¦
¦ ¦ ¦ прикладного программного обеспечения ¦ ¦
¦ ¦ ¦ (ПО)? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 15 ¦ 6.3.3 ¦ Выполнены ли разработчиком ИСПДн на ¦ M3.4, M11.9, ¦
¦ ¦ ¦ стадии ввода в действие настройки ¦ M21.1, M28.9 ¦
¦ ¦ ¦ средств и механизмов обеспечения ¦ ¦
¦ ¦ ¦ безопасности, не допускающие ¦ ¦
¦ ¦ ¦ несанкционированного изменения ¦ ¦
¦ ¦ ¦ пользователем предоставленных ему ¦ ¦
¦ ¦ ¦ полномочий? ¦ ¦
¦ ¦ ¦ Определен ли разработчиком ИСПДн ¦ ¦
¦ ¦ ¦ порядок постоянного контроля ¦ ¦
¦ ¦ ¦ фактического состояния настроек средств ¦ ¦
¦ ¦ ¦ и механизмов обеспечения безопасности ¦ ¦
¦ ¦ ¦ на предмет их соответствия ¦ ¦
¦ ¦ ¦ установленным правилам? ¦ ¦
¦ ¦ ¦ Согласован ли указанный порядок со ¦ ¦
¦ ¦ ¦ структурным подразделением или ¦ ¦
¦ ¦ ¦ должностным лицом (работником) ¦ ¦
¦ ¦ ¦ организации, ответственным за ¦ ¦
¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦ данных, и согласован ли со службой ИБ ¦ ¦
¦ ¦ ¦ организации? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 16 ¦ 6.3.4 ¦ Выполняется ли в обязательном порядке ¦ M3.11, M3.12 ¦
¦ ¦ ¦ регистрация входа в ИСПДн (выхода из ¦ ¦
¦ ¦ ¦ ИСПДн) субъектов доступа? Указываются ¦ ¦
¦ ¦ ¦ ли в журнале регистрации событий, ¦ ¦
¦ ¦ ¦ который ведется в электронном виде ¦ ¦
¦ ¦ ¦ ИСПДн, следующие параметры: ¦ ¦
¦ ¦ ¦ - дата и время входа в систему ¦ ¦
¦ ¦ ¦ (выхода из системы) субъекта доступа; ¦ ¦
¦ ¦ ¦ - идентификатор субъекта, ¦ ¦
¦ ¦ ¦ предъявленный при запросе доступа; ¦ ¦
¦ ¦ ¦ - результат попытки входа: успешная ¦ ¦
¦ ¦ ¦ или неуспешная (несанкционированная); ¦ ¦
¦ ¦ ¦ - идентификатор (адрес) устройства ¦ ¦
¦ ¦ ¦ (компьютера), используемого для входа в ¦ ¦
¦ ¦ ¦ систему? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 17 ¦ 6.3.6 ¦ Определен ли в организации и ¦ M2.16, M2.17, ¦
¦ ¦ ¦ зафиксирован ли документально порядок ¦ M3.1, M3.11, ¦
¦ ¦ ¦ постановки на учет и снятия с учета ¦ M3.12, M8.1, ¦
¦ ¦ ¦ машинных носителей, предназначенных для ¦ M8.6, M8.7, ¦
¦ ¦ ¦ размещения персональных данных? ¦ M12.2, M12.3, ¦
¦ ¦ ¦ Проводится ли снятие с учета машинных ¦ M17.2 ¦
¦ ¦ ¦ носителей, на которых были размещены ¦ ¦
¦ ¦ ¦ персональные данные, по акту путем ¦ ¦
¦ ¦ ¦ стирания с них информации средствами ¦ ¦
¦ ¦ ¦ гарантированного стирания информации ¦ ¦
¦ ¦ ¦ или по акту путем их уничтожения? ¦ ¦
¦ ¦ ¦ Регламентируется ли разработчиком ¦ ¦
¦ ¦ ¦ ИСПДн в эксплуатационной документации ¦ ¦
¦ ¦ ¦ на ИСПДн процедура стирания информации ¦ ¦
¦ ¦ ¦ в зависимости от применяемого средства ¦ ¦
¦ ¦ ¦ гарантированного стирания? ¦ ¦
¦ ¦ ¦ Осуществляется ли (при наличии ¦ ¦
¦ ¦ ¦ технической возможности) очистка ¦ ¦
¦ ¦ ¦ освобождаемых областей памяти на ¦ ¦
¦ ¦ ¦ носителях, ранее использованных для ¦ ¦
¦ ¦ ¦ хранения персональных данных? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 18 ¦ 6.3.7 ¦ Определены ли в соответствии с ¦ M2.13, M2.14, ¦
¦ ¦ ¦ требованиями пункта 7.9.7 СТО БР ИББС- ¦ M8.9, M8.10 ¦
¦ ¦ ¦ 1.0 и зафиксированы ли документально ¦ ¦
¦ ¦ ¦ состав и назначение ПО ИСПДн? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 19 ¦ 6.3.8 ¦ Регламентирован ли порядок внесения ¦ M2.1, M2.13, ¦
¦ ¦ ¦ изменений в установленное ПО ИСПДн, ¦ M2.14, M15.6, ¦
¦ ¦ ¦ включая контроль действий программистов ¦ M15.7, M15.8 ¦
¦ ¦ ¦ в процессе модификации ПО? ¦ ¦
¦ ¦ ¦ Учтены ли эталонные копии ПО, ¦ ¦
¦ ¦ ¦ регламентирован ли доступ к ним? ¦ ¦
¦ ¦ ¦ Готовятся ли разработчиком ИСПДн ¦ ¦
¦ ¦ ¦ соответствующие регламенты в виде ¦ ¦
¦ ¦ ¦ инструкций, руководств и включаются ли ¦ ¦
¦ ¦ ¦ в эксплуатационную документацию на ¦ ¦
¦ ¦ ¦ ИСПДн? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 20 ¦ 6.3.9 ¦ Подлежат ли резервному копированию ¦ M2.13, M2.14, ¦
¦ ¦ ¦ все программные средства, архивы, ¦ M8.13, M20.3, ¦
¦ ¦ ¦ журналы, информационные ресурсы ¦ M20.5 ¦
¦ ¦ ¦ (данные), используемые и создаваемые в ¦ ¦
¦ ¦ ¦ процессе эксплуатации ИСПДн? ¦ ¦
¦ ¦ ¦ Предусматривают ли средства ¦ ¦
¦ ¦ ¦ восстановления функций обеспечения ¦ ¦
¦ ¦ ¦ безопасности персональных данных в ¦ ¦
¦ ¦ ¦ ИСПДн ведение не менее двух независимых ¦ ¦
¦ ¦ ¦ копий программных средств? ¦ ¦
¦ ¦ ¦ Регламентирован ли порядок создания и ¦ ¦
¦ ¦ ¦ сопровождения резервных копий, ¦ ¦
¦ ¦ ¦ включающий способ и периодичность ¦ ¦
¦ ¦ ¦ копирования, процедуры создания, учета, ¦ ¦
¦ ¦ ¦ хранения, использования (для ¦ ¦
¦ ¦ ¦ восстановления) и уничтожения резервных ¦ ¦
¦ ¦ ¦ копий, разработчиком ИСПДн в ¦ ¦
¦ ¦ ¦ эксплуатационной документации на ИСПДн? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 21 ¦ 6.3.10 ¦ Осуществляется ли (в случае нештатной ¦ M1.1, M1.3, ¦
¦ ¦ ¦ ситуации) восстановление функций ¦ M1.4, M2.5, ¦
¦ ¦ ¦ обеспечения безопасности персональных ¦ M2.6, M2.13, ¦
¦ ¦ ¦ данных в ИСПДн администратором ИСПДн с ¦ M8.4, M8.5, ¦
¦ ¦ ¦ обязательным привлечением ¦ M8.13, M20.2 ¦
¦ ¦ ¦ администратора информационной ¦ ¦
¦ ¦ ¦ безопасности ИСПДн (при необходимости - ¦ ¦
¦ ¦ ¦ с привлечением специалистов ¦ ¦
¦ ¦ ¦ структурного подразделения или ¦ ¦
¦ ¦ ¦ должностного лица (работника) ¦ ¦
¦ ¦ ¦ организации, ответственного за ¦ ¦
¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦ данных, и службы ИБ организации)? ¦ ¦
¦ ¦ ¦ Регламентирована ли разработчиком ¦ ¦
¦ ¦ ¦ ИСПДн в эксплуатационной документации ¦ ¦
¦ ¦ ¦ на ИСПДн процедура восстановления? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 22 ¦ 6.3.11 ¦ Осуществляется ли подключение ИСПДн к ¦ M5.1, M5.15, ¦
¦ ¦ ¦ ИСПДн другого класса или к сети ¦ M5.23 ¦
¦ ¦ ¦ Интернет с использованием средств ¦ ¦
¦ ¦ ¦ межсетевого экранирования (межсетевых ¦ ¦
¦ ¦ ¦ экранов), которые обеспечивают ¦ ¦
¦ ¦ ¦ выполнение следующих функций: ¦ ¦
¦ ¦ ¦ - фильтрацию на сетевом уровне для ¦ ¦
¦ ¦ ¦ каждого сетевого пакета независимо ¦ ¦
¦ ¦ ¦ (решение о фильтрации принимается на ¦ ¦
¦ ¦ ¦ основе сетевых адресов отправителя и ¦ ¦
¦ ¦ ¦ получателя или на основе других ¦ ¦
¦ ¦ ¦ эквивалентных атрибутов); ¦ ¦
¦ ¦ ¦ - идентификацию и аутентификацию ¦ ¦
¦ ¦ ¦ администратора межсетевого экрана при ¦ ¦
¦ ¦ ¦ его локальных запросах на доступ по ¦ ¦
¦ ¦ ¦ идентификатору (коду) и паролю условно- ¦ ¦
¦ ¦ ¦ постоянного действия; ¦ ¦
¦ ¦ ¦ - регистрацию входа (выхода) ¦ ¦
¦ ¦ ¦ администратора межсетевого экрана в ¦ ¦
¦ ¦ ¦ систему (из системы) либо загрузки и ¦ ¦
¦ ¦ ¦ инициализации системы и ее программного ¦ ¦
¦ ¦ ¦ останова (регистрация выхода из системы ¦ ¦
¦ ¦ ¦ не проводится в моменты аппаратурного ¦ ¦
¦ ¦ ¦ отключения межсетевого экрана); ¦ ¦
¦ ¦ ¦ - возможность проверки (контроля) ¦ ¦
¦ ¦ ¦ целостности программной и ¦ ¦
¦ ¦ ¦ информационной части средства ¦ ¦
¦ ¦ ¦ межсетевого экранирования (в том числе ¦ ¦
¦ ¦ ¦ с применением внешних программных ¦ ¦
¦ ¦ ¦ средств, не встроенных в средство ¦ ¦
¦ ¦ ¦ межсетевого экранирования); ¦ ¦
¦ ¦ ¦ - фильтрацию пакетов служебных ¦ ¦
¦ ¦ ¦ протоколов, служащих для диагностики и ¦ ¦
¦ ¦ ¦ управления работой сетевых устройств; ¦ ¦
¦ ¦ ¦ - восстановление свойств межсетевого ¦ ¦
¦ ¦ ¦ экрана после сбоев и отказов ¦ ¦
¦ ¦ ¦ оборудования (в том числе с применением ¦ ¦
¦ ¦ ¦ внешних программных средств, не ¦ ¦
¦ ¦ ¦ встроенных в средство межсетевого ¦ ¦
¦ ¦ ¦ экранирования); ¦ ¦
¦ ¦ ¦ - возможность проведения регламентного ¦ ¦
¦ ¦ ¦ тестирования реализации правил ¦ ¦
¦ ¦ ¦ фильтрации, процесса идентификации и ¦ ¦
¦ ¦ ¦ аутентификации администратора ¦ ¦
¦ ¦ ¦ межсетевого экрана, процесса ¦ ¦
¦ ¦ ¦ регистрации действий администратора ¦ ¦
¦ ¦ ¦ межсетевого экрана, процесс контроля за ¦ ¦
¦ ¦ ¦ целостностью программной и ¦ ¦
¦ ¦ ¦ информационной части, процедур ¦ ¦
¦ ¦ ¦ восстановления (в том числе с ¦ ¦
¦ ¦ ¦ применением внешних программных ¦ ¦
¦ ¦ ¦ средств, не встроенных в средство ¦ ¦
¦ ¦ ¦ межсетевого экранирования)? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 23 ¦ 6.4.1 ¦ Выполняются ли для информационных ¦ M2.5, M2.6, ¦
¦ ¦ ¦ систем обработки биометрических ¦ M3.1, M3.3, ¦
¦ ¦ ¦ персональных данных требования, ¦ M3.4, M3.7, ¦
¦ ¦ ¦ установленные Постановлением ¦ M3.8, M3.9, ¦
¦ ¦ ¦ Правительства от 6 июля 2008 г. N 512 ¦ M3.10, M3.11, ¦
¦ ¦ ¦ "Об утверждении требований к ¦ M3.12, M6.3, ¦
¦ ¦ ¦ материальным носителям биометрических ¦ M6.4, M8.1, ¦
¦ ¦ ¦ персональных данных и технологиям ¦ M8.7, M11.9, ¦
¦ ¦ ¦ хранения таких данных вне ¦ M12.2, M12.3, ¦
¦ ¦ ¦ информационных систем персональных ¦ M17.2, M28.9 ¦
¦ ¦ ¦ данных"? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 24 ¦ 6.5.2 ¦ Осуществляется ли идентификация по ¦ M3.4, M3.5 ¦
¦ ¦ ¦ логическим именам информационных ¦ ¦
¦ ¦ ¦ ресурсов (например, информационных ¦ ¦
¦ ¦ ¦ массивов, баз данных, файлов, ¦ ¦
¦ ¦ ¦ обрабатывающих их программ), содержащих ¦ ¦
¦ ¦ ¦ персональные данные? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 25 ¦ 6.5.3 ¦ Осуществляется ли обязательный ¦ M3.2, M3.4, ¦
¦ ¦ ¦ контроль доступа субъектов к защищаемым ¦ M3.5, M3.6, ¦
¦ ¦ ¦ информационным ресурсам в соответствии ¦ M3.7, M3.8 ¦
¦ ¦ ¦ с правами доступа указанных субъектов? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 26 ¦ 6.5.4 ¦ Выполняется ли в обязательном порядке ¦ M3.11, M3.12 ¦
¦ ¦ ¦ регистрация печати материалов, ¦ ¦
¦ ¦ ¦ содержащих персональные данные? ¦ ¦
¦ ¦ ¦ Указываются ли в журнале регистрации ¦ ¦
¦ ¦ ¦ событий, который ведется в электронном ¦ ¦
¦ ¦ ¦ виде ИСПДн, следующие параметры: ¦ ¦
¦ ¦ ¦ - дата и время печати; ¦ ¦
¦ ¦ ¦ - спецификация устройства печати ¦ ¦
¦ ¦ ¦ (логическое имя (номер) внешнего ¦ ¦
¦ ¦ ¦ устройства); ¦ ¦
¦ ¦ ¦ - полное наименование (вид, шифр, код) ¦ ¦
¦ ¦ ¦ материала; ¦ ¦
¦ ¦ ¦ - идентификатор субъекта доступа, ¦ ¦
¦ ¦ ¦ запросившего печать материала; ¦ ¦
¦ ¦ ¦ - объем фактически отпечатанного ¦ ¦
¦ ¦ ¦ материала (количество страниц, листов, ¦ ¦
¦ ¦ ¦ копий) и результат печати: успешная ¦ ¦
¦ ¦ ¦ (весь объем) или неуспешная? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 27 ¦ 6.5.5 ¦ Выполняется ли обязательная ¦ M3.11, M3.12 ¦
¦ ¦ ¦ регистрация запуска программ и ¦ ¦
¦ ¦ ¦ процессов, осуществляющих доступ к ¦ ¦
¦ ¦ ¦ защищаемым информационным ресурсам? ¦ ¦
¦ ¦ ¦ Указываются ли в журнале регистрации ¦ ¦
¦ ¦ ¦ событий, который ведется в электронном ¦ ¦
¦ ¦ ¦ виде ИСПДн, следующие параметры: ¦ ¦
¦ ¦ ¦ - дата и время запуска; ¦ ¦
¦ ¦ ¦ - имя (идентификатор) программы ¦ ¦
¦ ¦ ¦ (процесса, задания); ¦ ¦
¦ ¦ ¦ - идентификатор субъекта доступа, ¦ ¦
¦ ¦ ¦ запросившего программу (процесс, ¦ ¦
¦ ¦ ¦ задание); ¦ ¦
¦ ¦ ¦ - результат попытки запуска: успешная ¦ ¦
¦ ¦ ¦ или неуспешная (несанкционированная); ¦ ¦
¦ ¦ ¦ - дата и время попытки доступа к ¦ ¦
¦ ¦ ¦ защищаемому информационному ресурсу; ¦ ¦
¦ ¦ ¦ - имя (идентификатор) защищаемого ¦ ¦
¦ ¦ ¦ информационного ресурса; ¦ ¦
¦ ¦ ¦ - вид запрашиваемой операции (например, ¦ ¦
¦ ¦ ¦ чтение, запись, модификация, удаление); ¦ ¦
¦ ¦ ¦ - результат попытки доступа: успешная ¦ ¦
¦ ¦ ¦ или неуспешная (несанкционированная)? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 28 ¦ 6.5.6 ¦ Выполняется ли обязательная ¦ M3.11, M3.12 ¦
¦ ¦ ¦ регистрация изменений полномочий ¦ ¦
¦ ¦ ¦ субъектов доступа и статуса объектов ¦ ¦
¦ ¦ ¦ доступа (защищаемых информационных ¦ ¦
¦ ¦ ¦ ресурсов)? ¦ ¦
¦ ¦ ¦ Указываются ли в журнале регистрации ¦ ¦
¦ ¦ ¦ событий, который ведется в электронном ¦ ¦
¦ ¦ ¦ виде ИСПДн, следующие параметры: ¦ ¦
¦ ¦ ¦ - дата и время изменения; ¦ ¦
¦ ¦ ¦ - содержание изменения с указанием ¦ ¦
¦ ¦ ¦ идентификатора субъекта доступа, чьи ¦ ¦
¦ ¦ ¦ полномочия подверглись изменению, или ¦ ¦
¦ ¦ ¦ логического имени защищаемого ¦ ¦
¦ ¦ ¦ информационного ресурса, чей статус ¦ ¦
¦ ¦ ¦ изменился; ¦ ¦
¦ ¦ ¦ - идентификатор администратора ¦ ¦
¦ ¦ ¦ информационной безопасности, ¦ ¦
¦ ¦ ¦ осуществившего изменение? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 29 ¦ 6.3.5 ¦ Не имеют ли ИСПДн субъектов доступа, ¦ M1.9, M3.11, ¦
¦ ¦ 6.5.7 ¦ обладающих полномочиями, а при ¦ M3.12, M8.4, ¦
¦ ¦ ¦ возможности и техническими средствами ¦ M8.5, M15.6, ¦
¦ ¦ ¦ по уничтожению и модификации ¦ M15.8 ¦
¦ ¦ ¦ информации, содержащейся в журналах ¦ ¦
¦ ¦ ¦ регистрации событий, указанных в ¦ ¦
¦ ¦ ¦ пунктах 6.3.4, 6.5.4 - 6.5.6 ¦ ¦
¦ ¦ ¦ РС БР ИББС-2.3? ¦ ¦
¦ ¦ ¦ Регламентирована ли очистка журналов ¦ ¦
¦ ¦ ¦ регистрации событий, указанных ¦ ¦
¦ ¦ ¦ в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦
¦ ¦ ¦ ИББС-2.3, разработчиком ИСПДн в ¦ ¦
¦ ¦ ¦ эксплуатационной документации на ИСПДн? ¦ ¦
¦ ¦ ¦ Проводится ли перед очисткой журналов ¦ ¦
¦ ¦ ¦ регистрации событий, указанных ¦ ¦
¦ ¦ ¦ в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦
¦ ¦ ¦ ИББС-2.3, архивирование содержащейся в ¦ ¦
¦ ¦ ¦ них информации путем перемещения ¦ ¦
¦ ¦ ¦ информации в соответствующий архив? ¦ ¦
¦ ¦ ¦ Регистрируются ли операции по ¦ ¦
¦ ¦ ¦ архивированию журнала регистрации ¦ ¦
¦ ¦ ¦ событий, указанных в пунктах 6.3.4, ¦ ¦
¦ ¦ ¦ 6.5.4 - 6.5.6 РС БР ИББС-2.3, с ¦ ¦
¦ ¦ ¦ указанием времени и идентификатора ¦ ¦
¦ ¦ ¦ работника, выполнившего операцию, в ¦ ¦
¦ ¦ ¦ качестве первой записи в действующем ¦ ¦
¦ ¦ ¦ журнале регистрации событий? ¦ ¦
¦ ¦ ¦ Уничтожаются ли архивы журналов ¦ ¦
¦ ¦ ¦ регистрации событий, указанных в ¦ ¦
¦ ¦ ¦ пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦
¦ ¦ ¦ ИББС-2.3, только администратором ¦ ¦
¦ ¦ ¦ информационной безопасности, в зоне ¦ ¦
¦ ¦ ¦ ответственности которого находятся ¦ ¦
¦ ¦ ¦ данные архивы не ранее чем через три ¦ ¦
¦ ¦ ¦ года с момента появления последней ¦ ¦
¦ ¦ ¦ записи в данной архивной копии? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 30 ¦ 6.5.8 ¦ В случае, если комплекс средств ¦ M2.1, M2.13 ¦
¦ ¦ ¦ автоматизации ИСПДн представляет собой ¦ ¦
¦ ¦ ¦ автономное, изолированное на физическом ¦ ¦
¦ ¦ ¦ уровне в соответствии с эталонной ¦ ¦
¦ ¦ ¦ моделью взаимодействия открытых систем ¦ ¦
¦ ¦ ¦ - моделью OSI, автоматизированное ¦ ¦
¦ ¦ ¦ рабочее место (АРМ) работника или ¦ ¦
¦ ¦ ¦ работников - исключены ли из ИСПДн ¦ ¦
¦ ¦ ¦ программные средства, предназначенные ¦ ¦
¦ ¦ ¦ для разработки и отладки ПО (либо ¦ ¦
¦ ¦ ¦ содержащие средства разработки, отладки ¦ ¦
¦ ¦ ¦ и тестирования программно-аппаратного ¦ ¦
¦ ¦ ¦ обеспечения)? ¦ ¦
¦ ¦ ¦ В случае, если стандартные ¦ ¦
¦ ¦ ¦ программные средства общего назначения ¦ ¦
¦ ¦ ¦ (например, MS Office) не обеспечивают ¦ ¦
¦ ¦ ¦ возможности выборочного удаления из них ¦ ¦
¦ ¦ ¦ средств разработки и отладки ПО - ¦ ¦
¦ ¦ ¦ введен ли документально запрет ¦ ¦
¦ ¦ ¦ использования отдельных компонент ¦ ¦
¦ ¦ ¦ (средств разработки и отладки ПО) ¦ ¦
¦ ¦ ¦ стандартных программных средств общего ¦ ¦
¦ ¦ ¦ назначения (например, MS Office)? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 31 ¦ 6.5.9 ¦ В случае, если комплекс средств ¦ M2.7, M2.10, ¦
¦ ¦ ¦ автоматизации ИСПДн включает одно или ¦ M8.8, M8.12 ¦
¦ ¦ ¦ несколько сетевых АРМ, сетевого ¦ ¦
¦ ¦ ¦ оборудования и серверов - располагаются ¦ ¦
¦ ¦ ¦ ли технические и программные средства, ¦ ¦
¦ ¦ ¦ предназначенные для разработки и ¦ ¦
¦ ¦ ¦ отладки ПО либо содержащие средства ¦ ¦
¦ ¦ ¦ разработки, отладки и тестирования ¦ ¦
¦ ¦ ¦ программно-аппаратного обеспечения, в ¦ ¦
¦ ¦ ¦ сегментах локальной вычислительной сети ¦ ¦
¦ ¦ ¦ (ЛВС), изолированных (на уровне не выше ¦ ¦
¦ ¦ ¦ сетевого в соответствии с эталонной ¦ ¦
¦ ¦ ¦ моделью взаимодействия открытых систем ¦ ¦
¦ ¦ ¦ - моделью OSI) от сегментов, ¦ ¦
¦ ¦ ¦ задействованных в обработке ¦ ¦
¦ ¦ ¦ персональных данных? ¦ ¦
¦ ¦ ¦ Регламентированы ли разработчиком в ¦ ¦
¦ ¦ ¦ эксплуатационной документации на ИСПДн ¦ ¦
¦ ¦ ¦ параметры настроек технических и ¦ ¦
¦ ¦ ¦ программных средств, обеспечивающих ¦ ¦
¦ ¦ ¦ указанное разделение, а также процедура ¦ ¦
¦ ¦ ¦ контроля этих параметров настроек? ¦ ¦
¦ ¦ ¦ В случае, если стандартные ¦ ¦
¦ ¦ ¦ программные средства общего назначения ¦ ¦
¦ ¦ ¦ (например, MS Office) не обеспечивают ¦ ¦
¦ ¦ ¦ возможности выборочного удаления из них ¦ ¦
¦ ¦ ¦ средств разработки и отладки ПО - ¦ ¦
¦ ¦ ¦ введен ли документально запрет ¦ ¦
¦ ¦ ¦ использования отдельных компонент ¦ ¦
¦ ¦ ¦ (средств разработки и отладки ПО) ¦ ¦
¦ ¦ ¦ стандартных программных средств общего ¦ ¦
¦ ¦ ¦ назначения (например, MS Office), ¦ ¦
¦ ¦ ¦ использующихся в сегментах, ¦ ¦
¦ ¦ ¦ задействованных в обработке ¦ ¦
¦ ¦ ¦ персональных данных? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 32 ¦ 6.5.10 ¦ В случае осуществления передачи ¦ M3.4, M6.1 ¦
¦ ¦ ¦ персональных данных между ¦ ¦
¦ ¦ ¦ подразделениям организации по ¦ ¦
¦ ¦ ¦ телекоммуникационным каналам и линиям ¦ ¦
¦ ¦ ¦ связи, не принадлежащим организации или ¦ ¦
¦ ¦ ¦ не пролегающим только по территории ¦ ¦
¦ ¦ ¦ организации - осуществляется ли такая ¦ ¦
¦ ¦ ¦ передача только при обеспечении защиты ¦ ¦
¦ ¦ ¦ персональных данных с помощью ¦ ¦
¦ ¦ ¦ организации виртуальных частных сетей ¦ ¦
¦ ¦ ¦ (Virtual Private Network - VPN) или ¦ ¦
¦ ¦ ¦ иных защитных мер, механизмов и ¦ ¦
¦ ¦ ¦ средств, применение которых ¦ ¦
¦ ¦ ¦ определяется структурным подразделением ¦ ¦
¦ ¦ ¦ или должностным лицом (работником) ¦ ¦
¦ ¦ ¦ организации, ответственным за ¦ ¦
¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦ данных, и согласовывается со службой ИБ ¦ ¦
¦ ¦ ¦ организации? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 33 ¦ 6.5.11 ¦ В случае осуществления передачи ¦ M3.4, M6.1, ¦
¦ ¦ ¦ персональных данных по ¦ M11.9 ¦
¦ ¦ ¦ телекоммуникационных каналам и линиям ¦ ¦
¦ ¦ ¦ связи между подразделениями ¦ ¦
¦ ¦ ¦ организации, с одной стороны, и ¦ ¦
¦ ¦ ¦ внешними организациями, с другой ¦ ¦
¦ ¦ ¦ стороны - осуществляется ли такая ¦ ¦
¦ ¦ ¦ передача с использованием ¦ ¦
¦ ¦ ¦ сертифицированных СКЗИ или иных ¦ ¦
¦ ¦ ¦ защитных механизмов, применение которых ¦ ¦
¦ ¦ ¦ определяется структурным подразделением ¦ ¦
¦ ¦ ¦ или должностным лицом (работником) ¦ ¦
¦ ¦ ¦ организации, ответственным за ¦ ¦
¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦ данных, и согласовывается со службой ИБ ¦ ¦
¦ ¦ ¦ организации? ¦ ¦
¦ ¦ ¦ В случае использования СКЗИ - ¦ ¦
¦ ¦ ¦ выполняются ли требования нормативных ¦ ¦
¦ ¦ ¦ правовых актов ФСБ России? ¦ ¦
¦ ¦ ¦ В случае обмена информацией с другой ¦ ¦
¦ ¦ ¦ организацией - определены ли ¦ ¦
¦ ¦ ¦ соглашением сторон (в частности, ¦ ¦
¦ ¦ ¦ условиями договора) правила ¦ ¦
¦ ¦ ¦ использования СКЗИ? ¦ ¦
¦ ¦ ¦ В случае отсутствия указанной ¦ ¦
¦ ¦ ¦ технической возможности - ¦ ¦
¦ ¦ ¦ осуществляется ли передача персональных ¦ ¦
¦ ¦ ¦ данных в электронном виде на съемных ¦ ¦
¦ ¦ ¦ носителях в порядке, согласованном со ¦ ¦
¦ ¦ ¦ структурным подразделением или ¦ ¦
¦ ¦ ¦ должностным лицом (работником) ¦ ¦
¦ ¦ ¦ организации, ответственным за ¦ ¦
¦ ¦ ¦ обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦ данных и со службой ИБ организации? ¦ ¦
+---------------+-----------+-----------------------------------------+----------------+
¦ 34 ¦ 6.5.12 ¦ Осуществляется ли подключение ИСПДн к ¦ M3.4, M5.1, ¦
¦ ¦ ¦ ИСПДн другого класса или к сети ¦ M5.15, M5.23 ¦
¦ ¦ ¦ Интернет с использованием средств ¦ ¦
¦ ¦ ¦ межсетевого экранирования (межсетевых ¦ ¦
¦ ¦ ¦ экранов), которые имеют подтвержденный ¦ ¦
¦ ¦ ¦ сертификатом класс защиты не ниже ¦ ¦
¦ ¦ ¦ четвертого при возможности ¦ ¦
¦ ¦ ¦ информационного обмена между всеми ¦ ¦
¦ ¦ ¦ компонентами защищаемой ИСПДн без ¦ ¦
¦ ¦ ¦ использования компонентов других ¦ ¦
¦ ¦ ¦ автоматизированных банковских систем ¦ ¦
¦ ¦ ¦ организации (в иных случаях - не ниже ¦ ¦
¦ ¦ ¦ третьего класса)? ¦ ¦
¦ ¦ ¦ Указанные классы защиты ¦ ¦
¦ ¦ ¦ устанавливаются в соответствии с ¦ ¦
¦ ¦ ¦ руководящим документом "Средства ¦ ¦
¦ ¦ ¦ вычислительной техники. Межсетевые ¦ ¦
¦ ¦ ¦ экраны. Защита от несанкционированного ¦ ¦
¦ ¦ ¦ доступа к информации. Показатели ¦ ¦
¦ ¦ ¦ защищенности от несанкционированного ¦ ¦
¦ ¦ ¦ доступа к информации", утвержденного ¦ ¦
¦ ¦ ¦ решением председателя Государственной ¦ ¦
¦ ¦ ¦ технической комиссии при Президенте ¦ ¦
¦ ¦ ¦ Российской Федерации от 25 июля 1997 ¦ ¦
¦ ¦ ¦ года ¦ ¦
L---------------+-----------+-----------------------------------------+-----------------
--------------------------------
<*> Классы ИСПДн:
ИСПДн-С - ИСПДн обработки специальных категорий персональных
данных;
ИСПДн-Б - ИСПДн обработки биометрических персональных данных;
ИСПДн-И - ИСПДн обработки персональных данных, не являющихся
биометрическими и не относящихся к специальным категориям, доступ к
которым должен быть ограничен;
ИСПДн-Д - ИСПДн обработки общедоступных и (или) обезличенных
персональных данных.
Таблица 2. Таблица соответствия частных показателей и положений РС
БР ИББС-2.3
-----------------------T-------------------------------T--------------------------------¬
¦ СТО БР ИББС-1.2 ¦ Класс ИСПДн ¦ РС БР ИББС-2.3 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M1.1 ¦ ИСПДн-Д ¦ 6.1.5, 6.1.6, 6.1.7 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M1.3 ¦ ИСПДн-Д ¦ 6.1.5, 6.1.6, 6.1.7 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M1.4 ¦ ИСПДн-Д ¦ 6.1.5, 6.1.6, 6.1.7 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M1.9 ¦ ИСПДн-И ¦ 6.3.5 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.3.5 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.3.5, 6.5.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M1.13 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M1.14 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M1.19 ¦ Все классы ¦ 6.1.5 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.1 ¦ ИСПДн-Д ¦ 6.1.1, 6.1.2, 6.2.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.1, 6.1.2, 6.2.1, 6.3.2, ¦
¦ ¦ ¦ 6.3.8 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.1, 6.1.2, 6.2.1, 6.3.2, ¦
¦ ¦ ¦ 6.3.8, 6.5.8 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.2 ¦ Все классы ¦ 6.1.1, 6.1.2 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.3 ¦ Все классы ¦ 6.1.1, 6.1.2 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.4 ¦ Все классы ¦ 6.1.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.5 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.7 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-С ¦ 6.1.2, 6.1.7, 6.3.10 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.1.2, 6.1.7, 6.3.10, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.6 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.7 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-С ¦ 6.1.2, 6.1.7, 6.3.10 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.1.2, 6.1.7, 6.3.10, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.7 ¦ ИСПДн-С ¦ 6.5.9 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.10 ¦ ИСПДн-С ¦ 6.5.9 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.11 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.12 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.13 ¦ ИСПДн-И, ИСПДн-Б ¦ 6.3.7, 6.3.8, 6.3.9, 6.3.10 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.3.7, 6.3.8, 6.3.9, 6.3.10, ¦
¦ ¦ ¦ 6.5.8 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.14 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.7, 6.3.8, 6.3.9 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.16 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.6 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M2.17 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.6 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.1 ¦ ИСПДн-И, ИСПДн-С ¦ 6.3.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.3.6, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.2 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.7 ¦
¦ ¦ ИСПДн-Б ¦ ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.7, 6.5.3 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.3 ¦ ИСПДН-Б ¦ 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.4 ¦ ИСПДн-И ¦ 6.3.2, 6.3.3 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.3.2, 6.3.3, 6.4.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.3.2, 6.3.3, 6.4.1, 6.5.2, ¦
¦ ¦ ¦ 6.5.3, 6.5.10, 6.5.11, 6.5.12 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.5 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.4, 6.2.2 ¦
¦ ¦ ИСПДн-Б ¦ ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.4, 6.2.2, 6.5.2, 6.5.3 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.6 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.4, 6.2.2 ¦
¦ ¦ ИСПДн-Б ¦ ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.4, 6.2.2, 6.5.3 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.7 ¦ ИСПДн-Д, ИСПДн-И ¦ 6.1.4, 6.2.2 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.1.4, 6.2.2, 6.4.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.4, 6.2.2, 6.5.3 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.8 ¦ ИСПДн-Д, ИСПДн-И ¦ 6.1.4, 6.2.2 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.1.4, 6.2.2, 6.4.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.4, 6.2.2, 6.5.3 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.9 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.2.3 ¦
¦ ¦ ИСПДн-С ¦ ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.2.3, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.10 ¦ ИСПДн-Б ¦ 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.11 ¦ ИСПДн-Д ¦ 6.1.7 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦
¦ ¦ ¦ 6.4.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦
¦ ¦ ¦ 6.5.4, 6.5.5, 6.5.6, 6.5.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.12 ¦ ИСПДн-Д ¦ 6.1.7 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦
¦ ¦ ¦ 6.4.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦
¦ ¦ ¦ 6.5.4, 6.5.5, 6.5.6, 6.5.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.14 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.15 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.16 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.17 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.18 ¦ Все классы ¦ 6.1.8 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.19 ¦ Все классы ¦ 6.1.8 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M3.20 ¦ Все классы ¦ 6.1.8 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M4.1 ¦ Все классы ¦ 6.1.3 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M4.5 ¦ Все классы ¦ 6.1.3 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M5.1 ¦ ИСПДн-Д ¦ 6.2.3 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.2.3, 6.3.11 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.2.3, 6.3.11, 6.5.12 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M5.15 ¦ ИСПДн-Д ¦ 6.2.3 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.2.3, 6.3.11 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.2.3, 6.3.11, 6.5.12 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M5.23 ¦ ИСПДн-Д ¦ 6.2.3 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.2.3, 6.3.11 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.2.3, 6.3.11, 6.5.12 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M6.1 ¦ ИСПДн-С ¦ 6.5.10, 6.5.11 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M6.3 ¦ ИСПДн-Б ¦ 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M6.4 ¦ ИСПДн-Б ¦ 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.1 ¦ ИСПДн-И, ИСПДн-С ¦ 6.3.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.3.6, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.3 ¦ Все классы ¦ 6.1.2 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.4 ¦ ИСПДн-Д ¦ 6.1.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.6, 6.3.5, 6.3.10 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.6, 6.3.5, 6.3.10, 6.5.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.5 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.6, 6.1.7 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.2, 6.1.6, 6.1.7, 6.3.5, ¦
¦ ¦ ¦ 6.3.10 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.2, 6.1.6, 6.1.7, 6.3.5, ¦
¦ ¦ ¦ 6.3.10, 6.5.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.6 ¦ ИСПДн-Д ¦ 6.2.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.2.1, 6.3.6 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.7 ¦ ИСПДн-И, ИСПДн-С ¦ 6.3.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.3.6, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.8 ¦ ИСПДн-С ¦ 6.5.9 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.9 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.7 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.10 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.7 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.12 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.7 ¦
¦ ¦ ИСПДн-Б ¦ ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.7, 6.5.9 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M8.13 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.9, 6.3.10 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M10.2 ¦ Все классы ¦ 5.2 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M10.3 ¦ Все классы ¦ 5.2 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M11.9 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.8, 6.2.3, 6.3.3 ¦
¦ ¦ ИСПДн-С ¦ ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.1.8, 6.2.3, 6.3.3, 6.4.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.8, 6.2.3, 6.3.3, 6.5.11 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M12.2 ¦ ИСПДн-Д ¦ 5.2 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-С ¦ 5.2, 6.3.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 5.2, 6.3.6, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M12.3 ¦ ИСПДн-Д ¦ 5.2 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-С ¦ 5.2, 6.3.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 5.2, 6.3.6, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M12.4 ¦ Все классы ¦ 5.2 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M15.6 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦
¦ ¦ ¦ 6.2.1, 6.2.2 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦
¦ ¦ ¦ 6.2.1, 6.2.2, 6.3.5, 6.3.8 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦
¦ ¦ ¦ 6.2.1, 6.2.2, 6.3.5, 6.3.8 ¦
¦ ¦ ¦ 6.5.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M15.7 ¦ ИСПДн-Д ¦ 6.1.2, 6.1.6, 6.1.7, 6.2.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.2, 6.1.6, 6.1.7, 6.2.1, ¦
¦ ¦ ИСПДн-С ¦ 6.3.8 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M15.8 ¦ ИСПДн-Д ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2, ¦
¦ ¦ ¦ 6.3.5, 6.3.8 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.6, 6.1.7, 6.1.9, 6.2.2, ¦
¦ ¦ ¦ 6.3.5, 6.3.8, 6.5.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M16.1 ¦ Все классы ¦ 6.1.5 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M17.2 ¦ ИСПДн-И, ИСПДн-С ¦ 6.3.6 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.3.6, 6.4.1 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M20.2 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.10 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M20.3 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.9 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M20.5 ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.3.9 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M21.1 ¦ ИСПДн-Д ¦ 6.1.7, 6.1.9 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-И, ИСПДн-Б, ¦ 6.1.7, 6.1.9, 6.3.3 ¦
¦ ¦ ИСПДн-С ¦ ¦
+----------------------+-------------------------------+--------------------------------+
¦ M21.7 ¦ Все классы ¦ 6.1.7, 6.1.9 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M21.8 ¦ Все классы ¦ 6.1.7 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M28.9 ¦ ИСПДн-Д, ИСПДн-И, ¦ 6.1.8, 6.2.3, 6.3.3 ¦
¦ ¦ ИСПДн-С ¦ ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-Б ¦ 6.1.8, 6.2.3, 6.3.3, 6.4.1 ¦
¦ +-------------------------------+--------------------------------+
¦ ¦ ИСПДн-С ¦ 6.1.8, 6.2.3, 6.3.3, 6.5.11 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M29.1 ¦ Все классы ¦ 6.1.5 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M32.1 ¦ Все классы ¦ 6.1.7, 6.1.9 ¦
+----------------------+-------------------------------+--------------------------------+
¦ M32.2 ¦ Все классы ¦ 6.1.7 ¦
L----------------------+-------------------------------+---------------------------------
Ключевые слова: банковская система Российской Федерации,
информационная безопасность, методика оценки соответствия, показатели
информационной безопасности, текущий уровень информационной
безопасности, система менеджмента информационной безопасности,
осознание информационной безопасности, требования информационной
безопасности.
21 июня 2010 года
N Р-705
|