st-12-xx (1027740), страница 5
Текст из файла (страница 5)
В этом случаеоценка частного показателя должна проводиться в соответствии с требованиями раздела6 настоящего стандарта.Результаты оценивания вопросов Приложения В должны быть документальнооформлены путем составления соответствующих листов для сбора свидетельств аудитаИБ, пример которых приведен в Приложении Б. При заполнении листов для сборасвидетельств аудита ИБ необходимо указать ссылки на соответствующие вопросыПриложения В и документы, содержащие свидетельства выполнения оцениваемойдеятельности, привести результаты опроса сотрудников проверяемой организации, атакже результаты наблюдений членов аудиторской группы. Результаты опроса инаблюдений должны быть подтверждены подписью опрашиваемого сотрудника или членааудиторской группы соответственно.10.5.
Все вопросы Приложения В должны быть оценены. Однако передоцениванием этих вопросов следует провести анализ актуальности соответствующих имтребований для деятельности проверяемой организации. Неактуальным вопрос можетбыть признан только в том случае если соответствующее ему требование не относятся кдеятельности организации или на момент оценки не является актуальными дляорганизации, что документально зафиксировано во внутренних документах организации.В этом случае вопрос определяется как неоцениваемый (выставляется оценка «1») и неучитывается в дальнейшем формировании оценок частных показателей. Решение опризнаниивопроса Приложения В как неоцениваемого должно приниматьсяответственным за процесс оценки из числа представителей проверяемой организации иоформляться документально.Ошибка! Закладка не определена. Определение уровнясоответствия информационной безопасности организациибанковской системы Российской Федерации требованиямСТО БР ИББС–1.0.
Отображение оценок16 Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данномунаправлению оценки присваивается нулевой уровень соответствия ИБ требованиямСТО БР ИББС–1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данномунаправлению оценки присваивается первый уровень соответствия ИБ требованиямСТО БР ИББС–1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данномунаправлению оценки присваивается второй уровень соответствия ИБ требованиямСТО БР ИББС–1.0.проект 11.05.201020СТО БР ИББС-1.2-20ххЕсли оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данномунаправлению оценки присваивается третий уровень соответствия ИБ требованиямСТО БР ИББС–1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данномунаправлению оценки присваивается четвертый уровень соответствия ИБ требованиямСТО БР ИББС–1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, тоданному направлению оценки присваивается пятый уровень соответствия ИБтребованиям СТО БР ИББС–1.0.17 Значение R определяется по наименьшему значению из трех оценок понаправлениям оценки:– оценки уровня осознания ИБ организации ( EV 3 );– оценки менеджмента ИБ организации ( EV 2 );– оценки текущего уровня ИБ организации ( EV 1 ).18 Полученное в результате оценки соответствия ИБ организации требованиямСТО БР ИББС–1.0 значение R является основой для формирования аудиторскогозаключения по результатам аудита ИБ.19 Значения R,соответствующие четвертому и пятому уровню, являютсярекомендуемыми Банком России.Значения R, соответствующие уровням с нулевого по третий, не являютсярекомендуемыми Банком России.20 Рисунок 1 представляет из себя круговую диаграмму для отображениярезультатов оценивания.Сектора с 1 по 10 используются для отображения оценки текущего уровня ИБорганизации.Сектора с 11 по 27 используются для отображения оценки процессов менеджментаИБ организации.Сектора с 28 по 34 используются для отображения оценки уровня осознания ИБорганизации.Пятому уровню соответствует окружность радиусом 0,95 и кольцо до окружностирадиусом 1.Четвертому уровню соответствует окружность радиусом 0,85 и кольцо доокружности радиусом 0,95.Третьему уровню соответствует окружность радиусом 0,7 и кольцо до окружностирадиусом 0,85.Второму уровню соответствует окружность радиусом 0,5 и кольцо до окружностирадиусом 0,7.Первому уровню соответствует окружность радиусом 0,25 и кольцо до окружностирадиусом 0,5.Нулевому уровню соответствует круг до окружности радиусом 0,25.11.6.
По результатам проведения оценки соответствия формируется документ –«Подтверждение соответствия организации БС РФ стандарту Банка России СТО БРИББС-1.0-20хх».«Подтверждение соответствия организации БС РФ стандарту Банка России СТОБР ИББС-1.0-20хх» формируется на основе:проект 11.05.2010СТО БР ИББС-1.2-20хх21− аудиторского заключения, в случае проведения оценки соответствия внешнейорганизацией.− отчета самооценки, в случае проведения оценки соответствия силамиорганизации БС РФ.В «Подтверждение соответствия организации БС РФ стандарту Банка России СТОБР ИББС-1.0-20хх», как минимум, следует включать следующие оценки:EVООПД — оценка степени выполнения требований СТО БР ИББС-1.0регламентирующих обработку персональных данных;EV1ОЗПД — оценка степени выполнения требований СТО БР ИББС-1.0,регламентирующих защиту персональных данных в информационных системахперсональных данных, без учета оценки степени выполнения требований СТО БР ИББС1.0 по обеспечению информационной безопасности при использовании средствкриптографической защиты информации;EVМ 6 оценка группового показателя М6 «Обеспечение информационнойбезопасности при использовании средств криптографической защиты информации»,применительно к банковскому технологическому процессу, в рамках которогообрабатываются персональные данные (оценка степени выполнения требований СТО БРИББС-1.0, регламентирующих защиту персональных данных в информационных системахперсональных данных прииспользовании средств криптографической защитыинформации);R — итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БРИББС-1.0.С целью направления «Подтверждение соответствия организации БС РФ стандартуБанка России СТО БР ИББС-1.0-20хх» регуляторам, осуществляющим надзор завыполнением законодательства в области персональных данных, данный документследует составлять в пяти экземплярах, один из которых предназначен дляиспользования в организации БС РФ.проект 11.05.201022СТО БР ИББС-1.2-20ххРисунок 1 – Круговая диаграмма для отображения результатов оцениванияпроект 11.05.2010СТО БР ИББС-1.2-20ххПриложение А(обязательное)Показатели информационной безопасностипроект 11.05.20102324СТО БР ИББС-1.2-20ххГрупповой показатель М1 «Обеспечение информационной безопасности при назначении ираспределении ролей и обеспечении доверия к персоналу»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ1.1М1.2М1.3М1.4М1.5М1.6М1.7М1.8М1.9М1.10М1.11М1.12Частный показатель ИБОбязательностьвыполнения0Определены ли в документах организации роли ееработников?Формируются ли роли, связанные с выполнениемдеятельности по обеспечению ИБ, на основаниитребований разделов 7 и 8 стандарта СТО БР ИББС-1.0?Персонифицированылироливорганизациисустановлением ответственности за их выполнение?Зафиксирована ли документально в должностныхинструкциях ответственность за выполнение ролей?Отсутствуют ли в организации роли, совмещающиефункции разработки и сопровождения системы/ПО?Отсутствуют ли в организации роли, совмещающиефункции разработки и эксплуатации системы/ПО?Отсутствуют ли в организации роли, совмещающиефункции сопровождения и эксплуатации?Отсутствуют ли в организации роли, совмещающиефункции администратора системы и администратораинформационной безопасности?Отсутствуют ли в организации роли, совмещающиефункции по выполнению операций в системе и контроляих выполнения?Определены ли документально в организации ивыполняются ли процедуры контроля деятельностиработников, обладающих совокупностью полномочий(ролями),позволяющих получить контроль надзащищаемым информационным активом организации?Определены ли в документах организации процедурыприема на работу, влияющую на обеспечение ИБ,включающие:−проверку подлинности предоставленных документов,заявляемойквалификации,точностииполнотыбиографических навыков;−проверку в части профессиональных навыков иоценку профессиональной пригодности?Предусматривают ли указанные в частном показателеМ1.11 процедуры документальную фиксацию результатовпроводимых проверок?проект 11.05.2010обязательный0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБ0,0581обязательный0,0291обязательныйобязательныйрекомендуемыйрекомендуемыйрекомендуемый0,05020,04610,05220,06100,0522рекомендуемый0,0661рекомендуемый0,0661обязательный0,1001обязательный0,0513обязательный0,0371ВычисленноезначениепоказателяИБ25М1.13Определены ли в документах организации процедурырегулярной проверки в части профессиональныхнавыков и оценки профессиональной пригодностиработников?М1.14Предусматривают ли указанные в частном показателеМ1.13 процедуры документальную фиксацию результатовпроводимых проверок?М1.15Определены ли в документах организации процедурывнеплановой проверки работников при выявлениифактов их нештатного поведения, участия в инцидентахИБ или подозрений в таком поведении или участии?М1.16Предусматривают ли указанные в частном показателеМ1.15 процедуры документальную фиксацию результатовпроводимых проверок?М1.17Обязаны ли все работники организации даватьписьменныеобязательстваособлюденииконфиденциальности,приверженностиправиламкорпоративнойэтики,включаятребованияпонедопущению конфликта интересов?М1.18Регламентируются ли положениями, включенными вдоговора (соглашения) с внешними организациями иклиентами, требования по ИБ?М1.19Определены ли в трудовых контрактах (соглашениях,договорах) и(или) должностных инструкциях обязанностиперсонала по выполнению требований ИБ?М1.20ПриравниваетсялиневыполнениеработникамиорганизациитребованийИБкневыполнениюдолжностных обязанностей и приводит ли, как минимум, кдисциплинарной ответственности?Итоговая оценка группового показателя М1проект 11.05.2010СТО БР ИББС-1.2-20ххрекомендуемый0,0302рекомендуемый0,0302рекомендуемый0,0433рекомендуемый0,0391обязательный0,0383обязательный0,0449обязательный0,0582обязательный0,046226СТО БР ИББС-1.2-20ххГрупповой показатель М2 «Обеспечение информационной безопасностиавтоматизированных банковских систем на стадиях жизненного цикла»ОбозначениечастногопоказателяИБМ2.1М2.2М2.3М2.4М2.5М2.6М2.7Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Рассматриваются ли при формировании требований ИБследующие стадии модели ЖЦ АБС:–разработка технических заданий;–проектирование;–создание и тестирование;–приемка и ввод в действие;–эксплуатация;–сопровождение и модернизации;–снятие с эксплуатации?Осуществляются ли разработка технических заданий иприемка АБС по согласованию и при участииподразделения (лиц) в организации, ответственных заобеспечение ИБ?Осуществляются ли ввод в действие, эксплуатация исопровождение (модернизация), снятие с эксплуатацииАБС под контролем подразделений (лиц) в организации,ответственных за обеспечение ИБ?Имеют ли соответствующие лицензии организации,которые привлекаются на договорной основе дляразработки и(или) производства средств и систем защитыАБС?СнабженылиразрабатываемыеАБСи(или)ихкомпонентыдокументацией,содержащейописаниереализованных защитных мер, в том числе, в отношенииугроз ИБ (источников угроз), описанных в модели угрозорганизации?Снабжены ли приобретаемые организацией АБС и(или) ихкомпонентыдокументацией,содержащейописаниереализованных защитных мер, в том числе, в отношенииугроз ИБ (источников угроз), описанных в модели угрозорганизации?Содержит ли документация на разрабатываемые АБС илиприобретаемые готовые АБС и их компоненты описаниереализованныхзащитныхмер,предпринятыхразработчиком относительно безопасности разработки ибезопасности поставки?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБрекомендуемый0,0504обязательный0,0616обязательный0,0591обязательный0,0563обязательный0,0646рекомендуемый0,0604обязательный0,0450проект 11.05.201027М2.8М2.9М2.10М2.11М2.12М2.13М2.14М2.15Реализуется ли при взаимодействии организации сразработчиком АБС и их компонентов одна из трехальтернатив:1.в договор (контракт) о разработке АБС или поставкеготовых АБС и их компонентов включаются положения посопровождению поставляемых изделий на весь срок ихслужбы;2.организация приобретает полный комплект рабочейконструкторскойдокументации,обеспечивающийвозможность сопровождения АБС и их компонентов безучастия разработчика;3.руководствоорганизацииоцениваетидокументальнооформляетдопустимостьрисканарушения ИБ, возникающего при невозможностисопровождения АБС и их компонентов?Учитывается ли при разработке технических заданий насистемы дистанционного банковского обслуживания, чтозащита данных должна обеспечиваться в условиях:−попытокдоступакбанковскойинформациианонимных, неавторизованных злоумышленников прииспользовании сетей общего пользования;−возможности ошибок авторизованных пользователейсистем;−возможности ненамеренного или неадекватногоиспользованияконфиденциальныхданныхавторизованными пользователями?Обеспечивается ли на стадии тестирования анонимностьданных и проверка адекватности разграничения доступа?Определены ли в документах организации и выполняютсяли на стадии эксплуатации АБС процедуры контроляработоспособности (функционирования, эффективности)реализованных в АБС защитных мер?Предусматривают ли указанные в частном показателеМ2.11 процедуры документальную фиксацию результатовконтроля?Определены ли в документах организации и выполняютсяли на стадии сопровождения (модернизации) АБСпроцедуры контроля, обеспечивающие защиту от:−умышленногонесанкционированногораскрытия,модификации или уничтожения информации;−неумышленной модификации, раскрытия илиуничтожения информации;−отказа в обслуживании или ухудшенияобслуживания?Предусматривают ли указанные в частном показателеМ2.13 процедуры документальную фиксацию результатовконтроля?Проводятся ли на стадии сопровождения (модернизации)при любом внесении изменений в АБС процедурыпроверкифункциональности,результатыкоторыхдокументируются?проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,0604обязательный0,0596обязательный0,0474обязательный0,0700обязательный0,0626обязательный0,0596обязательный0,0533обязательный0,064628СТО БР ИББС-1.2-20ххМ2.16Определены ли документально и выполняются ли настадииснятиясэксплуатациипроцедуры,обеспечивающиеудалениеинформации,несанкционированное использование которой можетнанести ущерб бизнес–деятельности организации, иинформации, используемой средствами обеспечения ИБ,из постоянной памяти АБС и с внешних носителей (заисключением архивов электронных документов ипротоколов электронного взаимодействия, ведение исохранность которых в течение определенного срокапредусмотрено соответствующими нормативными и(или)договорными документами)?М2.17Предусматривают ли указанные в частном показателеМ2.16 процедуры документальную фиксацию результатових выполнения?Итоговая оценка группового показателя М2обязательный0,0675обязательный0,0576проект 11.05.201029СТО БР ИББС-1.2-20ххГрупповой показатель М3 «Обеспечение информационной безопасности при управлениидоступом и регистрации»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ3.1М3.2М3.3М3.4М3.5М3.6М3.7М3.8М3.9М3.10М3.11М3.12М3.13М3.14Частный показатель ИБОбязательностьвыполнения0Определен ли в документах организации переченьинформационных активов (их типов)?Зафиксированы ли документально права доступаработников и клиентов к информационным активаморганизации?Применяются ли в составе АБС встроенные защитныемеры?Применяются ли в составе АБС сертифицированные илиразрешенные к применению руководством организациисредства защиты информации от НСД и НРД?Определены ли в документах организации, утвержденыли руководством организации, выполняются ли иконтролируютсялипроцедурыидентификации,аутентификации и авторизации?Документируются ли результаты контроля процедур,указанных в частном показателе М3.5?Определены ли в документах организации, выполняютсяли и контролируются ли процедуры управлениядоступом?Документируются ли результаты контроля процедур,указанных в частном показателе М3.7?Определены ли в документах организации, выполняютсялииконтролируютсялипроцедурыконтроляцелостности?Документируются ли результаты контроля процедур,указанных в частном показателе М3.9?Определены ли в документах организации, выполняютсяли и контролируются ли процедуры регистрации событийи действий?Документируются ли результаты контроля процедур,указанных в частном показателе М3.11?Исключаютлипроцедурыуправлениядоступомвозможность «самосанкционирования»?Определены ли в документах организации процедурымониторинга и анализа данных регистрации, действий иопераций, позволяющие выявить неправомерные илиподозрительные операции и транзакции?проект 11.05.2010обязательный0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБ0,0356обязательный0,0360обязательный0,0345рекомендуемый0,0334обязательный0,0366обязательный0,0345обязательный0,0360обязательный0,0334обязательный0,0340обязательный0,0319обязательный0,0319обязательныйобязательный0,02860,0308обязательный0,0331ВычисленноезначениепоказателяИБ30СТО БР ИББС-1.2-20ххМ3.15М3.16М3.17М3.18М3.19М3.20М3.21М3.22М3.23М3.24Используются ли специализированные программныеи(или) технические средства для проведения процедурмониторинга и анализа данных регистрации, действия иопераций?Используют ли процедуры мониторинга и анализадокументально определенные критерии выявлениянеправомерных или подозрительных действий иопераций?Применяются ли процедуры мониторинга и анализа нарегулярной основе (например, ежедневно), ко всемвыполненным операциям и транзакциям?Регламентированливовнутреннихдокументахорганизации порядок доступа работников организации впомещения, в которых размещаются объекты средыинформационных активов?Контролируется ли выполнение порядка доступаработников организации в помещения, в которыхразмещаются объекты среды информационных активов?Оформляются ли документально результаты выполненияконтроля порядка доступа работников организации впомещения, в которых размещаются объекты средыинформационных активов?Обеспечивают ли используемые в организации АБС, втомчислесистемыдистанционногобанковскогообслуживания, возможность регистрации:−операций с данными о клиентских счетах, включаяоперации открытия, модификации и закрытия клиентскихсчетов;−проводимых транзакций, имеющих финансовыепоследствия;−операций,связанныхсназначениемираспределением прав пользователей?Реализованы ли в системах дистанционного банковскогообслуживания, используемых в организации, защитныемеры, обеспечивающие невозможность отказа отавторства проводимых клиентами операций и транзакций(например, ЭЦП)?Придано ли протоколам операций, выполняемыхпосредством дистанционного банковского обслуживания,свойство юридической значимости, например, путемвнесения соответствующих положений в договора надистанционное банковское обслуживание?Производится ли при заключении договоров состоронними организациями юридическое оформлениедоговоренностей, определяющих необходимый уровеньвзаимодействия в случае выхода инцидента ИБ за рамкиотдельной организации?рекомендуемый0,0255обязательный0,0266обязательный0,0286обязательный0,0292обязательный0,0297обязательный0,0263обязательный0,0328обязательный0,0344рекомендуемый0,0312рекомендуемый0,0274проект 11.05.201031М3.25Определены ли в документах организации процедуры,определяющиедействияработниковиклиентоворганизации в случае компрометации информации,необходимой для их идентификации, аутентификациии(или) авторизации, в том числе произошедшей по ихвине, включая информацию о способах распознаваниятаких случаев?М3.26Доведены ли до сведения работникови клиентоворганизации процедуры, указанные в частном показателеМ3.25?М3.27Предусматривают ли указанные в частном показателеМ3.26процедуры документирование работниками иклиентами своих действий и их результатов?М3.28Реализованы ли в системах дистанционного банковскогообслуживания механизмы информирования (регулярного,непрерывного или по требованию) клиентов обо всехоперациях, совершаемых от их имен?М3.29Применяются ли в организации защитные меры,направленные на обеспечение защиты от НСД и НРД,повреждения или нарушения целостности информации,необходимойдлярегистрации,идентификации,аутентификациии(или)авторизацииклиентовиработников организации?М3.30Регистрируются ли все попытки НСД и НРД кинформации,необходимойдляидентификации,аутентификациии(или)авторизацииклиентовисотрудников организации?М3.31Определена ли в документах организации и выполняетсяли процедура пересмотра прав доступа при увольненииили изменении должностных обязанностей работниковорганизации,имевшихдоступкинформации,необходимой для идентификации, аутентификации и(или)авторизации клиентов и сотрудников организации?М3.32Осуществляется ли работа всех пользователей АБС подуникальными учетными записями?Итоговая оценка группового показателя М3проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,0294обязательный0,0283обязательный0,0254обязательный0,0239обязательный0,0319обязательный0,0326обязательный0,0316обязательный0,034932СТО БР ИББС-1.2-20ххГрупповой показатель М4 «Обеспечение информационной безопасности средствамиантивирусной защиты»ОбозначениечастногопоказателяИБМ4.1М4.2М4.3М4.4М4.5М4.6М4.7М4.8М4.9М4.10Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Применяются ли на всех автоматизированных рабочихместах и серверах АБС организации, если иное непредусмотрено технологическим процессом, средстваантивирусной защиты?Определены ли в документах организации процедурыустановкиирегулярногообновлениясредствантивирусной защиты (версий и баз данных) наавтоматизированных рабочих местах и серверах АБС?Осуществляется ли установка и регулярное обновлениесредств антивирусной защиты (версий и баз данных) наавтоматизированных рабочих местах и серверах АБСадминистраторамиАБСилиинымиофициальноуполномоченными лицами?Организован ли автоматический режим установкиобновлений антивирусного программного обеспечения иего баз данных?Контролируетсялиустановкаиобновлениеантивирусных средств представителями подразделения(лицами) в организации, ответственными за обеспечениеИБ?Организованолифункционированиепостояннойантивирусной защиты в автоматическом режиме?Разработаны и введены ли в действие инструкции поантивируснойзащите,учитывающиеособенностибанковских технологических процессов?Проводится ли антивирусная фильтрация всего трафикаэлектронного почтового обмена?Построеналиворганизацииэшелонированнаяцентрализованнаясистемаантивируснойзащиты,предусматривающаяиспользованиесредствантивирусной защиты различных производителей и ихраздельную установку на рабочих станциях, почтовыхсерверах и межсетевых экранах?Определены ли в документах организации и выполняютсялипроцедурыпредварительнойпроверкиустанавливаемогоилиизменяемогопрограммногообеспечения на отсутствие вирусов?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,0744обязательный0,0721обязательный0,0653рекомендуемый0,0559обязательный0,0688рекомендуемый0,0583обязательный0,0619обязательный0,0706рекомендуемый0,0501обязательный0,0605проект 11.05.201033М4.11Проводится ли антивирусная проверка после установки иизменения программного обеспечения?М4.12Документируются ли результаты установки, измененияпрограммного обеспечения и антивирусной проверки?М4.13Определены ли в документах организации процедуры,выполняемые в случае обнаружения компьютерныхвирусов, в которых зафиксированы:−необходимые меры по отражению и устранениюпоследствий вирусной атаки;−порядокофициальногоинформированияруководства;−порядок приостановления, при необходимости,работы (на период устранения последствий вируснойатаки)?М4.14Определены ли в документах организации и выполняютсяли процедуры контроля за отключением и обновлениемантивирусных средств на всех автоматизированныхрабочих местах и серверах АБС?М4.15Предусматривают ли указанные в частном показателеМ4.14 процедуры документальную фиксацию результатовконтроля?М4.16Возложена ли обязанность по выполнению предписанныхмер антивирусной защиты на каждого работникаорганизации, имеющего доступ к ЭВМ и(или) АБС, аответственность за выполнение требований инструкциипоантивируснойзащитенаруководителейфункциональных подразделений организации?Итоговая оценка группового показателя М4проект 11.05.2010обязательныйобязательныйСТО БР ИББС-1.2-20хх0,06160,0619обязательный0,0651обязательный0,0557обязательный0,0513обязательный0,066534СТО БР ИББС-1.2-20ххГрупповой показатель М5 «Обеспечение информационной безопасности при использованииресурсов сети Интернет»ОбозначениечастногопоказателяИБМ5.1М5.2М5.3М5.4М5.5М5.6М5.7М5.8М5.9Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Принято ли документально руководством организациирешениеобиспользованиисетиИнтернетдляпроизводственной и(или) собственной хозяйственнойдеятельности, в котором явно перечислены целииспользования сети Интернет?Запрещается ли использование ресурсов сети Интернет внеустановленных целях?Проведено ли в организации выделение ограниченногочисла пакетов, содержащих перечень сервисов иресурсов сети Интернет, доступных для пользователей?Проводится ли наделение работников организацииправамипользователяконкретногопакетавсоответствии с его должностными обязанностями, вчастности, в соответствии с назначенными ему ролями?Оформляется ли документально наделение работниковорганизации правами пользователя конкретного пакета?Определен ли документально в организации порядокподключения и использования ресурсов сети Интернет,включающий в том числе положение о контроле состороныподразделения(лиц)ворганизации,ответственных за обеспечение ИБ?Применяются ли при осуществлении дистанционногобанковского обслуживания с использованием сетиИнтернет средства защиты информации (межсетевыеэкраны,антивирусныесредства,средствакриптографическойзащитыинформации),которыеобеспечивают прием и передачу информации только вустановленном формате и только по конкретнойтехнологии?Выполнено ли выделение и организована ли физическаяизоляция от внутренних сетей тех ЭВМ, с помощьюкоторых осуществляется взаимодействие с сетьюИнтернет в режиме on-line?Применяются ли при осуществлении дистанционногобанковскогообслуживаниязащитныемеры,предотвращающиевозможностьподменыавторизованного клиента злоумышленником в рамкахсеанса работы?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,0586обязательный0,0512рекомендуемый0,0398рекомендуемый0,0355рекомендуемый0,0398обязательный0,0583обязательный0,0518рекомендуемый0,0292обязательный0,0479проект 11.05.201035М5.10М5.11М5.12М5.13М5.14М5.15М5.16М5.17Регистрируютсялирегламентированнымобразомпопыткиподменыавторизованногоклиентазлоумышленником в рамках сеанса работы?Все ли операции клиентов в течение сеанса работы ссистемами дистанционного банковского обслуживаниявыполняются только после выполнения процедуридентификации, аутентификации и авторизации?Обеспечивается ли повторное выполнение процедуридентификации, аутентификации и авторизации в случаяхнарушения или разрыва соединения при работе ссистемами дистанционного банковского обслуживания?Используетсялиспециализированноеклиентскоепрограммное обеспечение для доступа пользователей ксистемам дистанционного банковского обслуживания?Применяются ли защитные меры для осуществленияпочтового обмена через сеть Интернет?Определен ли в документах организации переченьзащитных мер и порядок их использования дляосуществления почтового обмена через сеть Интернет?Организован ли почтовый обмен с сетью Интернет черезограниченное количество точек, состоящих из внешнего(подключенного к сети Интернет) и внутреннего(подключенного к внутренним сетям организации)почтовых серверов с безопасной системой репликациипочтовых сообщений между ними (Интернет-киоски)?Осуществляется ли архивирование электронной почты?М5.18Доступен ли архив электронной почты подразделению(лицу), ответственному за обеспечение ИБ?М5.19Не допускаются ли изменения в архиве электроннойпочты?М5.20Определен ли документально порядок доступа кинформации архива электронной почты?М5.21Не применяется ли в организации практика хранения иобработки банковской информации (в т.ч.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
