st-12-xx (1027740), страница 6
Текст из файла (страница 6)
открытой) наЭВМ,спомощьюкоторойосуществляетсявзаимодействие с сетью Интернет в режиме on-line?М5.22Всегда ли наличие банковской информации на ЭВМ, спомощью которых осуществляется взаимодействие ссетью Интернет в режиме on-line, определяется бизнесцелями организации и документально санкционируется ееруководством?М5.23Определены ли документально и используются лизащитныемеры,позволяющиеобеспечитьпротиводействие атакам хакеров и распространениюспама?Итоговая оценка группового показателя М5проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,0440обязательный0,0581обязательный0,0415рекомендуемый0,0331обязательный0,0450обязательный0,0491рекомендуемый0,0331обязательныйобязательныйобязательныйобязательный0,03680,03680,03900,0433рекомендуемый0,0436обязательный0,0430обязательный0,041536СТО БР ИББС-1.2-20ххГрупповой показатель М6 «Обеспечение информационной безопасности при использованиисредств криптографической защиты информации»ОбозначениечастногопоказателяИБМ6.1М6.2М6.3М6.4М6.5М6.6М6.7М6.8Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Проводится ли применение СКЗИ в организации всоответствии с моделью угроз ИБ и моделью нарушителяИБ, принятыми организацией?Имеют ли СКЗИ, применяемые для защиты персональныхданных, класс не ниже КС2?Проводятся ли работы по обеспечению безопасностиинформации с помощью СКЗИ в соответствии сдействующими в настоящее время нормативнымидокументами, регламентирующими вопросы эксплуатацииСКЗИ,техническойдокументациейнаСКЗИилицензионными требованиями ФСБ России?Утверждена ли частная политика, касающаяся примененияСКЗИ в организации?Допускают ли СКЗИ возможность встраивания втехнологические процессыобработки электронныхсообщений?Обеспечивают ли СКЗИ взаимодействие с прикладнымпрограммным обеспечением на уровне обработкизапросов на криптографические преобразования ивыдачи результатов?Поставляются ли СКЗИ разработчиками с полнымкомплектомэксплуатационнойдокументации,включающей описание ключевой системы, правилаработыснейиобоснованиенеобходимогоорганизационно-штатного обеспечения?СертифицированылиСКЗИуполномоченнымгосударственныморганомилиимеютлиСКЗИразрешение ФСБ России?Осуществляется ли установка и ввод в эксплуатацию, атакжеэксплуатацияСКЗИвсоответствиисэксплуатационной и технической документацией к этимсредствам?Поддерживаетсялинепрерывностьпроцессовпротоколирования работы СКЗИ при применении?0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБобязательный0,0857рекомендуемый0,0628обязательный0,0628обязательный0,0628обязательный0,0842обязательный0,0857обязательный0,0845обязательный0,0651проект 11.05.201037М6.9Поддерживаетсялинепрерывностьпроцессовобеспечения целостности программного обеспечения длясреды функционирования СКЗИ, представляющую собойсовокупность технических и программных средств,совместноскоторымипроисходитштатноефункционирование СКЗИ и которые способны повлиятьна выполнение предъявляемых к СКЗИ требований?М6.10ОбеспечиваетсялиИБпроцессовизготовлениякриптографическихключейСКЗИкомплексомтехнологических,организационных,техническихипрограммных мер и средств защиты?М6.11Реализованылипроцедурымониторинга,регистрирующие все значимые события, состоявшиеся впроцессеобменакриптографическизащищеннымиданными, и всех инциденты ИБ?М6.12Определен ли руководством на основании указанныхразделе 7.7 СТО БР ИББС-1.0 документов порядокприменения СКЗИ, включающий:−порядок ввода в действие, включая процедурывстраивания СКЗИ в АБС;−порядок эксплуатации;−порядок восстановленияработоспособности ваварийных случаях;−порядок внесения изменений;−порядок снятия с эксплуатации;−порядок управления ключевой системой;−порядокобращениясносителямиключевойинформации,включаядействияприсменеикомпрометации ключей?М6.13Самостоятельно ли изготавливаются в организациии(или) клиентом организации ключи СКЗИ?М6.14Регулируются ли заключаемыми договорами отношения,возникающие между организациями и их клиентами?Итоговая оценка группового показателя М6проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,0651обязательный0,0776рекомендуемый0,0651обязательный0,0671рекомендуемыйобязательный0,06070,070838СТО БР ИББС-1.2-20ххГрупповой показатель М7 «Обеспечение информационной безопасности банковскихплатежных технологических процессов»ОбозначениечастногопоказателяИБМ7.1М7.2М7.3М7.4М7.5М7.6М7.7М7.8М7.9М7.10Оценка частного показателя ИБЧастный показатель ИБОбязательностьвыполнения0Определен ли в документах организации банковскийплатежный технологический процесс?Определены ли документально перечни программногообеспечения, устанавливаемого и(или) используемого вЭВМ и АБС и необходимого для выполнения конкретныхбанковских платежных технологических процессов?Соответствует ли состав установленного и используемогов ЭВМ и АБС программного обеспечения определенномуперечню?Контролируетсяливыполнениетребований,оцениваемых в частных показателей М7.2, М7.3 сдокументированием результатов контроля?Зафиксированлипорядокобменаплатежнойинформацией в договорах между участниками данногообмена?Отсутствуют ли в организации работники, обладающиеполномочиямидлябесконтрольногосоздания,авторизации, уничтожения и изменения платежнойинформации, а также проведение несанкционированныхопераций по изменению состояния банковских счетов?Контролируются (проверяются) ли и удостоверяются лирезультаты технологических операций по обработкеплатежной информации лицами/автоматизированнымипроцессами?Осуществляется ли обработка платежной информации иконтроль (проверка) результатов обработки разнымиработниками/автоматизированными процессами?Возложены ли обязанности по администрированиюсредств защиты платежной информации приказами илираспоряжениями по организации на администраторов ИБ,с отражением этих обязанностей в должностныхинструкциях?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессазащитуплатежнойинформацииотискажения,фальсификации, переадресации, несанкционированногоуничтожения,ложнойавторизацииэлектронныхплатежных сообщений?обязательный0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБВычисленноезначениепоказателяИБ0,0405обязательный0,0365обязательный0,0389обязательный0,0319обязательный0,0451обязательный0,0448обязательный0,0458рекомендуемый0,0442рекомендуемый0,0365обязательный0,0436проект 11.05.201039М7.11М7.12М7.13М7.14М7.15М7.16М7.17М7.18М7.19М7.20Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессадоступ работника организации только к тем ресурсамбанковского платежного технологического процесса,которые необходимы ему для исполнения должностныхобязанностей или реализации прав, предусмотренныхтехнологией обработки платежной информации?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессаконтроль(мониторинг)исполненияустановленнойтехнологии подготовки, обработки, передачи и храненияплатежной информации?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессааутентификацию входящих электронныхплатежныхсообщений?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессадвустороннюю аутентификацию автоматизированныхрабочих мест (рабочих станций и серверов), участниковобмена электронными платежными сообщениями?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессавозможность ввода платежной информации в АБС толькодля авторизованных пользователей?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессаконтроль, направленный на исключение возможностисовершения злоумышленных действий (двойной ввод,сверка, установление ограничений в зависимости отсуммы совершения операций и т.д.)?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессавосстановление платежной информации в случае ееумышленного (случайного) разрушения (искажения) иливыхода из строя средств вычислительной техники?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процесса приосуществлениимежбанковскихрасчетовсверкувыходныхэлектронныхплатежныхсообщенийссоответствующимивходнымииобработаннымиэлектронными платежными сообщениями?Предусматривает ли комплекс мер по обеспечению ИБбанковского платежного технологического процессадоставку электронных платежных сообщений участникамобмена?Организован ли в организации авторизованный вводплатежной информации в АБС двумя работниками споследующей программной сверкой результатов ввода насовпадение (принцип «двойного управления»)?проект 11.05.2010СТО БР ИББС-1.2-20ххобязательный0,0384обязательный0,0389обязательный0,0412обязательный0,0412обязательный0,0436обязательный0,0436обязательный0,0392обязательный0,0436обязательный0,0408рекомендуемый0,036440СТО БР ИББС-1.2-20ххМ7.21Определены ли в документах организации и выполняютсяли при проектировании, разработке, эксплуатации системдистанционного банковского обслуживания процедуры,реализующие механизмы:−снижениявероятностивыполнениянепреднамеренных или случайных операций илитранзакций авторизованными клиентами;−доведения информации о возможных рисках,связанных с выполнением операций или транзакций доклиентов?М7.22Обеспеченыликлиентысистемдистанционногобанковского обслуживания детальными инструкциями,описывающими процедуры выполнения операций илитранзакций?М7.23Определены ли в документах организации и выполняютсяли процедуры обслуживания средств вычислительнойтехники, используемыхв банковском платежномтехнологическом процессе,включая замену ихпрограммных и(или) аппаратных частей?М7.24Определена ли в документах организации, согласована лисо службой либо лицом, отвечающим в организации заобеспечениеИБ,ивыполняетсялипроцедурапериодическогоконтролявсехреализованныхпрограммно-техническимисредствамифункций(требований)пообеспечениюИБплатежнойинформации?М7.25Определена ли в документах организации, согласована лисо службой либо лицом, отвечающим в организации заобеспечение ИБ,и выполняется ли процедуравосстановлениявсехреализованныхпрограммнотехническими средствами функций по обеспечению ИБплатежной информации?Итоговая оценка группового показателя М7обязательный0,0337обязательный0,0364обязательный0,0368обязательный0,0392обязательный0,0392проект 11.05.201041СТО БР ИББС-1.2-20ххГрупповой показатель М8 «Обеспечение информационной безопасности банковскихинформационных технологических процессов»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ8.1М8.2М8.3М8.4М8.5М8.6М8.7М8.8М8.9Частный показатель ИБОбязательностьвыполнения0Проведена ли в организации классификация неплатежнойинформации?Проводится ли классификация неплатежной информациив соответствии со степенью тяжести последствий потериее свойств ИБ, в частности, свойств доступности,целостности и конфиденциальности?Определен ли документально набор требований позащите каждого из типов неплатежных информационныхактивов (типов неплатежной информации), полученных врезультате классификации?Возложены ли обязанности по администрированиюсредств защиты неплатежной информации приказами илираспоряжениями по организации на администраторов ИБ,с отражением этих обязанностей в должностныхинструкциях?Определен ли документальнопорядок контроляфункционирования со стороны лиц, отвечающих за ИБ,для каждой АБС организации?Определены ли в документах организации банковскиеинформационныетехнологическиепроцессы,согласованы ли эти документы со службой ИБорганизации?Реализованылибанковскиеинформационныетехнологические процессы в рамках созданных для этихцелей АБС?Изолированы ли сервера, офисные ЭВМ и другоеоборудование, не входящее в состав АБС, реализующихбанковские информационные технологические процессы,от указанных АБС на уровне локальных вычислительныхсетей способом, согласованным со службой либо лицом,отвечающим в организации за ИБ?Определены ли документально перечни программногообеспечения, устанавливаемого и(или) используемого вЭВМ и АБС и необходимого для выполнения конкретныхбанковскихинформационныхтехнологическихпроцессов?проект 11.05.2010рекомендуемый0,250,50,751н/оКоэффициентзначимостичастногопоказателя ИБ0,0852рекомендуемый0,0779обязательный0,0970рекомендуемый0,0814обязательный0,0777обязательный0,0740обязательный0,0639рекомендуемый0,0758обязательный0,0646ВычисленноезначениепоказателяИБ42СТО БР ИББС-1.2-20ххМ8.10Соответствует ли состав установленного и используемогов ЭВМ и АБС программного обеспечения определенномуперечню?М8.11Контролируется ли выполнение требований частныхпоказателейМ8.9,М8.10сдокументированиемрезультатов контроля?М8.12Регламентированаливдокументахорганизации,согласована ли со службой ИБ либо лицом, отвечающимза обеспечение ИБ, и выполняется ли процедурапериодическогоконтролявсехреализованныхпрограммно-техническимисредствамииорганизационными мерами функций (требований) пообеспечению ИБ неплатежной информации?М8.13Регламентированаливдокументахорганизации,согласована ли со службой ИБ либо лицом, отвечающимза обеспечение ИБ, и выполняется ли процедуравосстановлениявсехреализованныхпрограммнотехническими средствами и организационными мерамифункций по обеспечению ИБ неплатежной информации?Итоговая оценка группового показателя М8обязательный0,0646обязательный0,0676обязательный0,0889обязательный0,0814проект 11.05.201043СТО БР ИББС-1.2-20ххГрупповой показатель М9 «Общие требования по обработке персональных данных ворганизации БС РФ»Оценка частного показателя ИБОбозначениечастногопоказателяИБМ9.1М9.2М9.3М9.412Частный показатель ИБОбязательностьвыполнения0Определены ли в организации, зафиксированы лидокументальноиутвержденылируководствоморганизации цели обработки персональных данных?Определеналиворганизациинеобходимостьуведомления Уполномоченного органа по защите правсубъектовперсональныхданныхобобработкеперсональных данных?Определены ли в организации для каждой цели обработкиперсональных данных, зафиксированы ли документальнои утверждены ли руководством организации:− объем и содержание персональных данных;− сроки обработки, в том числе сроки храненияперсональных данных;− необходимость получения согласия субъектовперсональных данных?Проводитсяливорганизацииклассификацияперсональных данных в соответствии со степеньютяжести последствий потери свойств безопасностиперсональныхданных для субъекта персональныхданных?0,250,50,75обязательныйобязательныйобязательныйрекомендуемыйГрафа не заполняетсяВычисленное значение показателя ИБ равно оценке соответствующего частного показателя (столбцы 4-9 таблицы)проект 11.05.20101н/оКоэффициентзначимостичастногопоказателя1ИБВычисленноезначениепоказателя2ИБ44СТО БР ИББС-1.2-20ххМ9.5М9.6М9.7М9.8Выделяютсялиприпроведенииклассификацииперсональных данных следующие категории:−персональныеданные,отнесенныевсоответствии с Федеральным законом «О персональныхданных» к специальным категориям персональныхданных;−персональныеданные,отнесенныевсоответствии с Федеральным законом «О персональныхданных» к биометрическим персональным данным;−персональные данные, которые не могут бытьотнесены к специальным категориям персональныхданных, к биометрическим персональным данным, кобщедоступнымилиобезличеннымперсональнымданным−персональныеданные,отнесенныевсоответствии с Федеральным законом «О персональныхданных»кобщедоступнымилиобезличеннымперсональным данным?Осуществляется ли организацией передача персональныхданных третьему лицу только на основании договора,существенным условием которого является обязанностьобеспечения третьим лицом безопасности персональныхданных при их обработке?Примечание:еслииноеустановленозаконодательством Российской Федерации, показателюприсваивается оценка «н/о».Прекращается ли в организации обработка персональныхданных и уничтожаются ли собранные персональныеданные в следующих случаях и в сроки, установленныезаконодательством РФ:−по достижении целей обработки или при утратенеобходимости в их достижении;−по требованию субъекта персональных данныхили Уполномоченного органа по защите прав субъектовперсональных данных - если персональные данныеявляются неполными, устаревшими, недостоверными,незаконно полученными или не являются необходимымидля заявленной цели обработки;−при отзыве субъектом персональных данныхсогласия на обработку своих персональных данных, еслитакоесогласиетребуетсявсоответствиисзаконодательством РФ?Примечание:еслииноеустановленозаконодательством РФ, показателю присваиваетсяоценка «н/о».Определен ли в организации и зафиксирован лидокументально порядок уничтожения персональныхданных (в том числе и материальных носителейперсональных данных)?рекомендуемыйобязательныйобязательныйобязательныйпроект 11.05.201045М9.9М9.10М9.11М9.12М9.13М9.14М9.15М9.16М9.17Определен ли в организации и зафиксирован лидокументально порядок обработки обращений субъектов(или их законных представителей) по вопросам обработкиих персональных данных?Определен ли в организации и зафиксирован лидокументально порядок действий в случае запросовУполномоченного органа по защите прав субъектовперсональных данных или иных надзорных органов,осуществляющих контроль и надзор в областиперсональных данных?Определен ли в организации и зафиксирован лидокументальноподходкотнесениюАБСкинформационным системам персональных данных(ИСПДн)?Определен ли в организации и зафиксирован лидокументально перечень ИСПДн, в который включены,как минимум, АБС, целью создания и использованиякоторых является обработка персональных данных и невключены АБС, реализующие банковские платежныетехнологические процессы?Определены ли для каждой ИСПДн организации изафиксированы ли документально:−цель обработки персональных данных;−объемисодержаниеобрабатываемыхперсональных данных;−перечень действий с персональными данными испособы их обработки?Соответствуют ли целям обработки объем и содержаниеперсональных данных в ИСПДн, а также переченьдействий и способы обработки персональных данных?Документированыливорганизациибанковскиеинформационные технологические процессы, в рамкахкоторых обрабатываются персональные данные вИСПДн?Исключена ли при обработке ПДн в ИСПДн фиксация наодном материальном носителе и персональных данных, ииных видов информационных активов, а такжеперсональных данных, цели обработки которых заведомонесовместимы?Используется ли при обработке ПДн в ИСПДн для каждойкатегорииперсональныхданныхотдельныйматериальных носитель?Примечание: если в ИСПДн обрабатываются ПДнтолькооднойкатегории,топоказателюприсваивается оценка «н/о».проект 11.05.2010обязательныйобязательныйобязательныйобязательныйобязательныйобязательныйобязательныйрекомендуемыйрекомендуемыйСТО БР ИББС-1.2-20хх46СТО БР ИББС-1.2-20ххМ9.18Определен ли в организации и зафиксирован лидокументальноперечень(список)работников,осуществляющих обработку персональных данных вИСПДн либо имеющих доступ к персональным данным?Допускается указание работников в перечне (списке) наролевой основе в соответствии с занимаемойдолжностью на основании требований раздела 7.2 СТОБР ИББС-1.0.Возможносуществованиеперечня(списка)вэлектронном виде, при условии предоставленияработникам прав доступа в ИСПДн только на основаниираспорядительногодокументавдокументальнозафиксированном в организации порядке.М9.19Осуществляется ли доступ работников организации кперсональным данным (обработка персональных данныхработниками) только для выполнения их должностныхобязанностей?М9.20Проинформированылиработникиорганизации,осуществляющие обработку персональных данных вИСПДн, о факте обработки ими персональных данных,категориях обрабатываемых персональных данных, атакже ознакомлены ли работники под роспись со всейсовокупностью требований по обработке и обеспечениюбезопасности персональных данных в части касающейсяих должностных обязанностей?М9.21Определен ли в организации и зафиксирован лидокументально порядок доступа работников организацииили иных лиц в помещения, в которых ведется обработкаперсональных данных?М9.22Определен ли в организации и зафиксирован лидокументальнопорядокхраненияматериальныхносителей персональных данных, устанавливающий:−местахраненияматериальныхносителейперсональных данных;−требованияпообеспечениюбезопасностиперсональных данных при хранении их носителей;−работников, ответственных за реализациютребований по обеспечению безопасности персональныхданных;−порядок контроля выполнения требований пообеспечению безопасности персональных данных прихраненииматериальныхносителейперсональныхданных?Итоговая оценка группового показателя М9обязательныйобязательныйобязательныйобязательныйобязательныйпроект 11.05.201047СТО БР ИББС-1.2-20ххГрупповой показатель М10 «Общие требования по обеспечению информационнойбезопасности банковских технологических процессов, в рамках которых обрабатываютсяперсональные данные»ОбозначениечастногопоказателяИБМ10.1Оценка частного показателя ИБЧастный показатель ИБОтнесены ли все ИСПДн организации к специальным всоответствии с пунктом 8 Порядка проведенияклассификации информационных систем персональныхданных, утвержденного приказом Федеральной службыпо техническому и экспортному контролю, ФедеральнойслужбыбезопасностиРоссийскойФедерациииМинистерства информационных технологий и связиРоссийской Федерации от 13 февраля 2008 г.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
