st12 (1027743), страница 3
Текст из файла (страница 3)
Оценка группового показателя (EVMi) вычисляется из оценок входящих в него частныхпоказателей (EVMi.j) с учетом коэффициентов значимости αi.j:αi.j • EVMi.j ,EVMi =jj = 1 ÷ Ni;Ni — количество частных показателей ИБ, представляющих групповой показатель Mi;i = 9 ÷ 27.Коэффициенты значимости αi.j для каждого частного показателя приведены в приложении А.8.6.
Оценки EVMi.j и EVMi, полученные в результате оценивания групповых показателей ИБМ9÷М27, вносятся в соответствующие графы представленных в приложении А форм.8.7. Оценка EV2ПЛ, определяющая уровень процессов планирования СМИБ организацииБС РФ, вычисляется по формуле:где13EVMiEV2ПЛ =i =95.8.8. Оценка EV2Р, определяющая уровень процессов реализации и эксплуатации СМИБорганизации БС РФ, вычисляется по формуле:18EVMiEV2Р =i =145.8.9. Оценка EV2ПР, определяющая уровень процессов проверки СМИБ организации БС РФ,вычисляется по формуле:23EVMiEV2ПР =i =195.8.10. Оценка EV2С, определяющая уровень процессов совершенствования СМИБ организации БС РФ, вычисляется по формуле:27EVMiEV2С =i =244.8.11. Итоговая оценка EV2, отражающая уровень процессов СМИБ организации БС РФ,определяется по наименьшему значению из оценок EV2ПЛ, EV2Р, EV2ПР и EV2С.12СТО БР ИББС1.220078.12.
Оценки EVMi, полученные в результате оценивания групповых показателей ИБ М9÷М27,отображаются на круговой диаграмме (см. раздел 10) в секторах с 9го по 27й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.8.13. Оценка EV2 отображается на круговой диаграмме (см. раздел 10) в секторах с 9го по27й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значениюEV2.9. Îöåíêà óðîâíÿ îñîçíàíèÿ èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèè áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè9.1. Уровень осознания ИБ организации БС РФ определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения (соблюдения) общих и специальных принципов обеспечения ИБ организации БС РФ, определенных в разделе 6 СТО БРИББС1.0:— своевременность обнаружения проблем;— прогнозируемость развития проблем;— оценка влияния проблем на бизнесцели;— адекватность защитных мер;— эффективность защитных мер;— использование опыта при принятии и реализации решений;— непрерывность принципов безопасного функционирования;— контролируемость защитных мер;— определенность целей;— знание своих клиентов и служащих;— персонификация и адекватное разделение ролей и ответственности;— адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки;— доступность услуг и сервисов;— наблюдаемость и оцениваемость обеспечения ИБ.9.2.
Групповые показатели М28÷М32 предназначены для оценки уровня осознания ИБ. Ониотражают общие принципы безопасного функционирования и специальные принципы обеспечения ИБ организации БС РФ, определенные в разделе 6 СТО БР ИББС1.0. Таблица 4 отражаетсоответствие между структурными элементами СТО БР ИББС1.0, содержащими принципы ИБ, игрупповыми показателями ИБ, предназначенными для оценивания уровня осознания ИБ.Таблица 4. Соответствие групповых показателей ИБ общим и специальнымпринципам БР ИББС1.0ОбозначениегрупповогоСтруктурный элементНаименование группового показателя ИБпоказателяСТО БР ИББС1.0ИБМ28Своевременность обнаружения проблем, прогноз развития проблем ИБпункты 6.1.1, 6.1.2, 6.1.3и оценка их влияния на бизнесцели организации БС РФМ29Определенность целей, адекватность выбора защитных мер, их эффективность пункты 6.1.4, 6.1.5, 6.1.8, 6.2.1и контролируемостьМ30Непрерывность обеспечения ИБ и использование опыта при принятиипункты 6.1.6, 6.1.7и реализации решенийМ31Знание своих клиентов и служащих, персонификация и адекватное разделениепункты 6.2.2, 6.2.3, 6.2.4ролей и ответственности, адекватность ролей функциям и процедурамМ32Доступность услуг и сервисов, наблюдаемость и оцениваемость обеспечения ИБпункты 6.2.5, 6.2.69.3.
Частные показатели ИБ по направлению оценки “уровень осознания ИБ организации”дают возможность определить степень реализации общих принципов безопасного функционирования организации БС РФ и специальных принципов обеспечения ИБ организации БС РФ.Частные показатели по направлению оценки “уровень осознания ИБ организации” (показателиМ28÷М32) и метрики приведены в приложении А.9.4. Оценка частных показателей ИБ (EVMi.j) определяется посредством экспертного оценивания. Для принятия решения следует производить анализ нормативнораспорядительных иСТО БР ИББС1.2200713других документов организации БС РФ, имеющих отношение к общим принципам безопасногофункционирования и специальным принципам обеспечения ИБ, определенным в разделе 6 СТОБР ИББС1.0, и уточнять полученную информацию с помощью опросов сотрудников организацииБС РФ и наблюдения за деятельностью организации БС РФ по выполнению общих принциповбезопасного функционирования и специальных принципов обеспечения ИБ организации БС РФ.Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих принципов, то оценке EVMi.j присваивается значение, равное нулю.Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих принципов, то оценка EVMi.j по решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения принципов соответствующих принципов ИБ).Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих принципов, то оценке EVMi.j присваивается значение, равное единице.9.5.
Оценка группового показателя (EVMi) вычисляется из оценок входящих в него частныхпоказателей (EVMi.j) с учетом коэффициентов значимости αi.j:αi.j • EVMi.j ,EVMi =jj = 1 ÷ Ni ;Ni — количество частных показателей ИБ, представляющих групповой показатель Mi;i = 28 ÷ 32.Коэффициенты значимости αi.j для каждого частного показателя приведены в приложении А.9.6. Оценки EVMi.j и EVMi, полученные в результате оценивания групповых показателей ИБМ28÷М32, вносятся в соответствующие графы представленных в приложении А форм.9.7. Итоговая оценка EV3, отражающая уровень осознания ИБ для деятельности организации БС РФ, вычисляется по формуле:где32EVMii =285.9.8.
Оценки EVMi, полученные в результате оценивания групповых показателей ИБ М28÷М32,отображаются на круговой диаграмме (см. раздел 10) в секторах с 28го по 32й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.9.9. Оценка EV3 отображается на круговой диаграмме (см. раздел 10) в секторах с 28гопо 32й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV3.10. Îïðåäåëåíèå óðîâíÿ ñîîòâåòñòâèÿèíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèèáàíêîâñêîé ñèñòåìû Ðîññèéñêîé Ôåäåðàöèèòðåáîâàíèÿì ÑÒÎ ÁÐ ÈÁÁÑ-1.0.
Îòîáðàæåíèå îöåíîê10.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данному направлениюоценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данному направлениюоценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данному направлениюоценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данному направлениюоценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС1.0.14СТО БР ИББС1.2200710.2.
Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:— оценки уровня осознания ИБ организации (EV3);— оценки менеджмента ИБ организации (EV2);— оценки текущего уровня ИБ организации (EV1).10.3. Полученное в результате оценки соответствия ИБ организации БС РФ требованиямСТО БР ИББС1.0 значение R является основой для формирования аудиторского заключения порезультатам аудита ИБ.10.4. Значения R, соответствующие четвертому и пятому уровням, являются рекомендуемыми Банком России.Значения R, соответствующие уровням с нулевого по третий, не являются рекомендуемыми Банком России.10.5.
Рисунок 1 представляет из себя круговую диаграмму для отображения результатовоценивания.Рисунок 1. Круговая диаграмма для отображения результатов оценивания1516171819142013211222112310924825267276285429330213231Секторы с 1го по 8й используются для отображения оценки текущего уровня ИБ организации БС РФ.Секторы с 9го по 27й используются для отображения оценки процессов менеджментаИБ организации БС РФ.Секторы с 28го по 32й используются для отображения оценки уровня осознания ИБ организации БС РФ.Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до окружности радиусом 1.Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо до окружности радиусом 0,95.Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.Второму уровню соответствуют окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.Первому уровню соответствуют окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.Нулевому уровню соответствуют круг до окружности радиусом 0,25.СТО БР ИББС1.2200715Приложение A(обязательное)Ïîêàçàòåëè èíôîðìàöèîííîé áåçîïàñíîñòèГрупповой показатель M1 “Обеспечение информационной безопасностипри назначении и распределении ролей и обеспечении доверия к персоналу”ОбозначениечастногоЧастный показатель ИБпоказателяИБM1.1Определены ли роли персонала организации БС РФ(далее — организации)?M1.2Персонифицированы ли роли в организации?M1.3Установлена ли ответственность за исполнение ролей,зафиксированная в должностных инструкциях персонала?M1.4Отсутствуют ли в организации роли, концентрирующиев себе все или большинство наиболее важных функций,необходимых для реализации одной из целейорганизации?M1.5Отсутствует ли совмещение в одном лице ролейисполнителя и администратора, администратораи контролера, исполнителя и контролера и подобное?M1.6Все ли роли в организации обеспечены ресурсами,необходимыми и достаточными для их выполнения?M1.7Возложена ли на руководство (уполномоченногоменеджера, высшего менеджера и т.п.) обязанностьпо координации своевременности и качества выполнениясотрудниками своих ролей?M1.8Существуют ли в организации выделенные ролидля контроля за качеством выполнения требований ИБ?M1.9Выполняются ли при приеме на работу проверкиидентичности личности, точности и полнотыбиографических фактов и заявляемой квалификации?M1.10Проводятся ли проверки профессиональных навыкови оценка профессиональной пригодности кандидатовпри приеме на работу, связанную с защищаемымиактивами и операциями?M1.11Имеются ли письменные обязательства сотрудниково соблюдении конфиденциальности всей защищаемойинформации, доверенной или ставшей им известной впроцессе выполнения служебных обязанностей, а также оприверженности правилам корпоративной этики, включаятребования по недопущению конфликта интересов?M1.12Обеспечивается ли компетентность персонала в областиИБ с помощью процессов обучения, осведомленностиперсонала, а также периодической проверкиего компетентности в области ИБ?M1.13Определены ли в трудовых контрактах всех сотрудниковобязанности по выполнению требований ИБ?Итоговая оценка группового показателя M1Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,090,090,090,090,090,090,090,090,07240,07240,0450,0450,045216СТО БР ИББС1.22007Групповой показатель M2 “Обеспечение информационной безопасностиавтоматизированных банковских систем на стадиях жизненного цикла”ОбозначениечастногоЧастный показатель ИБпоказателяИБM2.1Всегда ли выдвижение технических требований,разработка технических заданий, проектирование,создание, тестирование и приемка средств обеспеченияИБ АБС осуществляются по согласованиюс подразделениями (лицами) в организации,ответственными за обеспечение ИБ?M2.2Всегда ли ввод в действие, эксплуатация, снятиес эксплуатации АБС осуществляются при участииподразделений (лиц) в организации, ответственныхза обеспечение ИБ?M2.3Применяются (применялись) ли на стадии разработки АБСразработчиками меры для защиты от угроз ИБ:— принятия неверных проектных решений;— внесения дефектов на уровне архитектурных решений;— внесения недокументированных возможностей в АБС;— неадекватной (неполной, противоречивой, некорректнойи пр.) реализации требований к АБС;— угрозы разработки некачественной документации;— сборки АБС разработчиком/производителемс нарушением требований;— неверного конфигурирования АБС;— приемки АБС, не отвечающей требованиям заказчика;— внесения недокументированных возможностей в АБСв процессе проведения приемочных испытанийпосредством недокументированных возможностейфункциональных тестов и тестов ИБ?M2.4Имеют ли соответствующие лицензии организации,которые привлекаются на договорной основе дляразработки и/или производства средств обеспеченияИБ АБС?M2.5Получает ли организация документацию по всемприобретаемым АБС и их компонентам, содержащуюописание защитных мер, предпринятых разработчикомАБС и их компонентов относительно безопасностиразработки, безопасности поставки и эксплуатации,поддержки жизненного цикла, и оценку уязвимостей?M2.6Обеспечивают ли на стадии эксплуатации применяемыемеры и средства обеспечения ИБ защиту от угрознесанкционированного раскрытия, модификации илиуничтожения информации, недоставки или ошибочнойдоставки информации, отказа в обслуживании илиухудшения обслуживания, отказа от авторства сообщений?M2.7Обеспечивается ли возможность сопровождения всех АБСорганизации и их компонентов (наличием договоровсопровождения или полным комплектом рабочейконструкторской документации)?M2.8Применяются ли на стадии сопровождения меры длязащиты от угрозы внесения изменений в АБС, приводящихк нарушению функциональности АБС либо к появлениюнедокументированных возможностей, а также для защитыот угрозы невнесения разработчиком/поставщикомизменений, необходимых для поддержки правильногофункционирования и состояния АБС?M2.9Применяются ли на стадии снятия с эксплуатации мерыдля защиты от угроз ненадежного удаления информации,несанкционированное использование которой можетнанести ущерб бизнесдеятельности организации, иинформации, используемой средствами обеспечения ИБ,из постоянной памяти АБС или с внешних носителей?M2.10Включаются ли требования ИБ во все договорыи контракты на проведение работ или оказание услугна всех стадиях жизненного цикла АБС?Итоговая оценка группового показателя M2Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,10870,10870,0980,0860,10860,0980,0980,0980,0980,098СТО БР ИББС1.2200717Групповой показатель M3 “Обеспечение информационной безопасностипри управлении доступом и регистрации”ОбозначениечастногоЧастный показатель ИБпоказателяИБM3.1Соблюдаются ли при распределении прав доступак активам организации принципы:— “знать своего клиента”;— “знать своего служащего”;— “необходимо знать”;— “двойное управление”?M3.2Применяются ли в составе АБС встроенные механизмызащиты информации и/или сертифицированные(или разрешенные к применению) средства защитыинформации от НСД?M3.3Применяется ли парольная защита или другие средствааутентификации для всех ЭВМ и ЛВС, задействованныхв технологических процессах?M3.4Проводится ли назначение/лишение полномочийпо доступу сотрудников к ресурсам ЭВМ и/или ЛВС толькос санкции руководителя функционального подразделенияорганизации?M3.5Выполняется ли контроль доступа пользователейк ресурсам всех ЭВМ и/или ЛВС, задействованныхв технологических процессах?M3.6Формируются ли уникальные идентификаторы для всехпользователей, задействованных в технологическихпроцессах?M3.7Регистрируются ли действия сотрудникови пользователей, влияющие на ИБ, в специальномэлектронном журнале либо регистрация обеспечиваетсяорганизационными и/или административными мерами?M3.8Предоставлен ли доступ к электронному журналурегистрации действий пользователей и сотрудниковтолько администратору ИБ и отсутствует ли возможностьредактирования записей данного электронного журнала?Итоговая оценка группового показателя M3Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0690,1330,1330,1330,1330,1330,1330,13318СТО БР ИББС1.22007Групповой показатель M4 “Обеспечение информационной безопасностисредствами антивирусной защиты”ОбозначениечастногоЧастный показатель ИБпоказателяИБM4.1Применяются ли в организации только официальноприобретенные средства антивирусной защиты?M4.2Осуществляется ли установка средств антивируснойзащиты на автоматизированных рабочих местахи серверах АБС администраторами АБС?M4.3Осуществляется ли регулярное обновление средствантивирусной защиты на автоматизированныхрабочих местах и серверах АБС автоматическиили администраторами АБС?M4.4Разработаны ли и введены ли в действие инструкциипо антивирусной защите, учитывающие особенностибанковских технологических процессов?M4.5Всегда ли проводится антивирусная фильтрация трафикаэлектронного почтового обмена?M4.6Применяются ли защитные меры, не допускающиеприсутствия и использования в ЭВМ и АБС программногообеспечения и данных, не связанных с выполнениемконкретных функций в банковских технологическихпроцессах организации?М4.7Всегда ли проводится антивирусная проверка до и послеустановки или изменения программного обеспечения?M4.8Указаны ли в инструкциях по антивирусной защитедействия сотрудников при обнаружении компьютерноговируса?М4.9Kонтролируются ли установка и обновление антивирусныхсредств представителями подразделений или лицами,ответственными за ИБ?M4.10Возложена ли обязанность по выполнению мерантивирусной защиты на каждого сотрудникаорганизации, имеющего доступ к ЭВМ и/или АБС,а ответственность за выполнение сотрудникамиинструкций по антивирусной защите — на руководителейфункциональных подразделений?Итоговая оценка группового показателя M4Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,10640,10640,10640,08450,10640,09640,10640,10640,09640,0843СТО БР ИББС1.2200719Групповой показатель M5 “Обеспечение информационной безопасностипри использовании ресурсов сети Интернет”ОбозначениечастногоЧастный показатель ИБпоказателяИБM5.1Используются ли ресурсы сети Интернет не болеечем для ведения дистанционного банковскогообслуживания, получения и распространенияинформации, связанной с банковской деятельностью,информационноаналитической работы в интересахорганизации, обмена почтовыми сообщениямиисключительно с внешними организациями, а такжеведения собственной хозяйственной деятельности?M5.2Применяются ли при осуществлении дистанционногобанковского обслуживания через сеть Интернет средствазащиты информации, которые обеспечивают приеми передачу информации только в установленном форматеи только по конкретной технологии?M5.3Применяются ли защитные меры для осуществлениябезопасного электронного почтового обмена черезсеть Интернет?M5.4Осуществляется ли архивирование сообщенийэлектронной почты?M5.5Применяются ли защитные меры, запрещающиеизменение архива сообщений электронной почтыи разрешающие доступ к нему только подразделению(лицу), ответственному за обеспечение ИБ?M5.6Используются ли при взаимодействии с сетью Интернетсредства, позволяющие обеспечивать противодействиеатакам и распространению спама?M5.7Kонтролируется ли подразделениями (лицами)в организации, ответственными за обеспечение ИБ,подключение и использование ресурсов сети Интернет?M5.8Санкционируется ли руководством функциональногоподразделения организации любое подключениеи использование сети Интернет?Итоговая оценка группового показателя M5Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,1310,1310,1310,1310,1310,120,1050,1220СТО БР ИББС1.22007Групповой показатель M6 “Обеспечение информационной безопасностипри использовании средств криптографической защиты информации”ОбозначениечастногоЧастный показатель ИБпоказателяИБM6.1Поставлены ли СKЗИ разработчиками с полнымкомплектом эксплуатационной документации,включающей описание ключевой системы,правила работы с ней и обоснование необходимогоорганизационноштатного обеспечения?M6.2Реализованы ли СKЗИ на основе алгоритмов,соответствующих стандартам РФ, условиям договорас контрагентом и/или стандартам организации?M6.3Существует ли регламент использования ключей,предполагающий контроль со стороны администратора ИБза действиями пользователя при получении ключевогоносителя, вводе ключей, использовании ключей и сдачеключевого носителя?M6.4Обеспечивают ли СKЗИ реализацию процедур сбросаключей при отсутствии штатной активности пользователейв соответствии с регламентом использования ключей илипри переходе АБС в нештатный режим работы?M6.5Поддерживается ли непрерывность процессовпротоколирования работы СKЗИ при примененииСKЗИ в АБС?M6.6Поддерживается ли непрерывность процессовобеспечения целостности программного обеспеченияСKЗИ для всех звеньев АБС?M6.7Обеспечивается ли ИБ процессов изготовления ключевыхдокументов СKЗИ комплексом технологических,организационных, технических и программных мери средств защиты?M6.8Содержит ли внутренний порядок применения СKЗИ в АБСописание процессов ввода в действие, эксплуатации,восстановления работоспособности в аварийных случаях,внесения изменений, снятия с эксплуатации, управленияключевой системой, обращения с носителями ключевойинформации?M6.9Самостоятельно ли в организации изготавливаются ключикодов аутентификации и/или электронной цифровойподписи (если нет, зафиксировано ли в договоре согласиеорганизации считать данные ключи своими)?Итоговая оценка группового показателя M6Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,11110,11110,11110,11110,11110,11110,11110,11110,1112СТО БР ИББС1.2200721Групповой показатель M7 “Обеспечение информационной безопасностибанковских платежных технологических процессов”ОбозначениечастногоЧастный показатель ИБпоказателяИБM7.1Определен (отражен) ли однозначно в нормативнометодических документах организации банковскийплатежный технологический процесс?M7.2Зафиксирован ли порядок обмена платежнойинформацией в договорах между участникамиданного обмена?M7.3Отсутствуют ли сотрудники, обладающие всемиполномочиями на бесконтрольное создание, авторизацию,уничтожение и изменение платежной информации,а также проведение операций по изменению состояниябанковских счетов?M7.4Kонтролируются ли и удостоверяются ли результатытехнологических операций по обработке платежнойинформации обязательными процедурами контроля,независимыми от процесса обработки?M7.5Назначены ли на каждом технологическом участкеответственные за администрирование средств защитыплатежной информации (администраторы ИБ)?M7.6Существует ли нормативный документ (документы),которым руководствуются администраторы ИБв своей деятельности?М7.7Предусматривает ли комплекс мер по обеспечению ИБ:— защиту платежной информации от искажения,фальсификации, переадресации, несанкционированногоуничтожения, ложной авторизации платежных документов;— минимально необходимый, гарантированный доступсотрудника только к тем ресурсам банковского платежноготехнологического процесса, которые необходимы ему дляисполнения служебных обязанностей или реализацииправ, предусмотренных технологией обработки платежнойинформации?M7.8Включает ли комплекс мер по обеспечению ИБ:— контроль (мониторинг) исполнения установленнойтехнологии подготовки, обработки, передачи и храненияплатежной информации;— аутентификацию платежной информации;— двустороннюю аутентификацию участников обменаплатежной информацией и двустороннююаутентификацию автоматизированных рабочих мест;— восстановление платежной информации в случаеее умышленного (случайного) разрушения (искажения)или выхода из строя средств вычислительной техники;— авторизованный ввод платежной информации в АБСдвумя сотрудниками с последующей программнойсверкой результатов ввода на совпадение;— сверку выходных платежных сообщенийс соответствующими поступившими сообщениями;— гарантированную доставку платежных сообщенийучастникам обмена?Итоговая оценка группового показателя M7Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,130,130,130,130,130,1180,1020,1322СТО БР ИББС1.22007Групповой показатель M8 “Обеспечение информационной безопасностибанковских информационных технологических процессов”ОбозначениечастногоЧастный показатель ИБпоказателяИБM8.1Определено ли руководством, какая информация,не являющаяся платежной, подлежит защите,и классифицирована ли данная информация?M8.2Изолированы ли АБС, обрабатывающие информацию,относящуюся к сведениям, составляющимгосударственную тайну, и сведениям ограниченногораспространения, полученным из федеральных органовисполнительной власти (если такие АБС имеются),от прочих АБС организации?M8.3Назначен ли в АБС администратор ИБ, если в АБСобрабатывается информация, требующая по решениюруководства защиты?M8.4Отсутствует ли совмещение в одном лице функцийадминистратора АБС и администратора ИБ?M8.5Отсутствуют ли в роли администратора ИБ правила,пересекающиеся с правилами роли администратора АБС?M8.6Осуществляет ли администратор ИБ контроль наддействиями администраторов АБС и пользователей?M8.7Назначаются ли права доступа к информацииподразделением, ответственным за эту информацию(владельцем информационного актива)?M8.8Определен ли порядок контроля функционированиякаждой АБС лицами, отвечающими за ИБ?M8.9Регламентированы ли и согласованы ли со службой ИБпроцессы подготовки, ввода, обработки и храненияинформации, а также порядок установки, настройки,эксплуатации и восстановления техническихи программных средств?M8.10Регламентировано ли и согласовано ли со службой ИБтестирование всех функций по обеспечению ИБ,реализованных программнотехническими средствами?M8.11Проводится ли периодическое тестирование всехреализованных программнотехническими средствамифункций по обеспечению ИБ?M8.12Регламентирована ли в организации процедуравосстановления всех реализованных программнотехническими средствами функций по обеспечению ИБ?Итоговая оценка группового показателя M8Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,08480,08480,08480,08480,08480,08480,08480,08480,08480,0760,0760,0848СТО БР ИББС1.2200723Групповой показатель М9 “Определение/уточнение области действия СМИБи выбор подхода к оценке рисков ИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ9.1Существуют ли документы, в которых определенаобласть действия CМИБ?М9.2Обосновано ли в документах, определяющих областьдействия CМИБ, ограничение области действия,если таковое имеется?М9.3Учитывается ли в документах, определяющих областьдействия CМИБ, значимость информационных активоворганизации?М9.4Пересматривается ли область действия CМИБпри изменении перечня информационных активовили их значимости для целей бизнеса организации?М9.5Учитывается ли в документах организации, определяющихобласть действия СМИБ, обязательность непрерывностибизнеса организации?М9.6Установлен ли в документах организации, определяющихобласть действия СМИБ, подход к оценке рисков ИБ,включающий:— оценку последствий неисполнения требованийСТО БР ИББС1.0 и нормативных актов Банка Россиипо обеспечению ИБ;— оценку угроз нарушения процессов управления ИБили вследствие реализации иных угроз?М9.7Реализуются ли в организации основные процессы СМИБ,связанные с планированием процессов выполнениятребований ИБ, с реализацией и эксплуатацией защитныхмер, с проверкой процессов выполнения требований ИБи с совершенствованием процессов выполнениятребований ИБ?Итоговая оценка группового показателя M9Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,13210,14710,14710,13210,14710,14710,147424СТО БР ИББС1.22007Групповой показатель М10 “Анализ и оценка рисков ИБ,варианты обработки рисков ИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ10.1Осуществляется ли в организации оценка рисков ИБ,в том числе связанных с неисполнением требованийнормативных актов Банка России, имеющих отношениек ИБ, а также связанных с угрозами нарушения процессовуправления ИБ?М10.2Существует ли документ (документы), в котором (которых)отражены результаты анализа и оценки рисков ИБ?М10.3Определены ли роли в части деятельности по оценкеи обработке рисков ИБ и определена ли ответственностьисполнителей, выполняющих данные роли?М10.4Назначены ли в организации лица, ответственныеза управление рисками ИБ?М10.5Выполнена ли идентификация информационных активови их уязвимостей?М10.6Выполнена ли оценка потенциального ущерба бизнесуорганизации в случае реализации угроз ИБ?М10.7Анализируется ли и учитывается ли при оценке рисков ИБстепень актуальности угроз?М10.8Пересматриваются ли перечень актуальных угрозинформационным активам организации и степеньих актуальности?М10.9Анализируется ли и учитывается ли при оценке рисков ИБстепень актуальности уязвимостей информационныхактивов?М10.10Пересматривается ли перечень уязвимостейинформационных активов организации и степеньих актуальности?М10.11Оценивается ли возможность переноса информационныхрисков на другие стороны (например, страховщиков,поставщиков, органы сертификации и т.п.)?М10.12Учитываются ли данные об инцидентах ИБ при оценкерисков ИБ?М10.13Проводятся ли в организации обсуждения деятельностипо оценке и обработке рисков ИБ с участием высшегоруководства и руководителя службы ИБ?М10.14Определены ли в организации критерии для принятиярисков ИБ и уровни приемлемых рисков ИБ?Итоговая оценка группового показателя M10Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,07940,07140,07940,07940,07940,07940,07140,07140,07140,07140,06440,06440,07140,0458СТО БР ИББС1.2200725Групповой показатель М11 “Определение/уточнение политики ИБ организации”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ11.1Существует ли утвержденный руководством организациидокумент, определяющий политику ИБ организации(цели ИБ, общие задачи управления ИБ, основныеобласти обеспечения ИБ, объекты защиты ИБ, принципыреализации и контроля политики ИБ и т.д.)?М11.2Существуют ли утвержденные руководством организациидокументы, определяющие частные политики ИБ?М11.3Определен ли порядок пересмотра документов,определяющих политику ИБ организации и частныеполитики?М11.4Определены ли требования по регулярной отчетностидолжностному лицу в организации, утвердившемуполитику ИБ организации, о реализации положенийданной политики?М11.5Существует ли нормативнометодический документ(документы) по обеспечению ИБ, определяющий(определяющие) требования по реализации положенийполитик ИБ организации?М11.6Учитываются ли в положениях политики ИБ организациирезультаты оценки рисков ИБ?М11.7Есть ли в организации лицо (орган), ответственноеза реализацию и контроль политики ИБ организации?М11.8Зафиксированы ли его обязанности и ответственностьза реализацию и контроль политики ИБ организациидокументально?М11.9Имеются ли в организации отчетные документыо реализации положений политики ИБ организации?Итоговая оценка группового показателя M11Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,120,120,110,0950,0950,120,120,110,11Групповой показатель М12 “Выбор/уточнение целей ИБ и защитных мер”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ12.1Существуют ли документы, в которых определен порядоквнедрения защитных мер, выбранных в соответствиис требованиями раздела 8 СТО БР ИББС1.0 и другимидействующими нормативными актами организации?М12.2Существуют ли документы, в которых определен планвыбора защитных мер, описанных в СТО БР ИББС1.0и других действующих нормативных актах организации?М12.3Проводятся ли в организации обсуждения по выборузащитных мер по обеспечению ИБ с участием экспертовв областях ИБ, в области финансов и в областиуправления персоналом?М12.4Проводятся ли обсуждения по выбору новых(модернизации существующих) защитных мерпо обеспечению ИБ при выявлении новых угрози уязвимостей информационных активов организации?М12.5Согласован ли выбор поставляемых (разрабатываемых)защитных мер со службой ИБ организации?Итоговая оценка группового показателя M12Оценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,2150,190,190,190,21526СТО БР ИББС1.22007Групповой показатель М13 “Принятие менеджментом организации остаточных рискови решения о реализации и эксплуатации/совершенствовании СМИБ”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ13.1Существует ли документ, в котором отражено принятиеруководством организации остаточных рисков?М13.2Имеется ли административное и кадровое обеспечениекомплекса средств управления ИБ организации?М13.3Существует ли в организации служба ИБ(ответственный за ИБ)?М13.4Определены ли роли по обеспечению ИБ во всехструктурных подразделениях организации?М13.5Существуют ли документы, утвержденные руководствоморганизации, определяющие перечень целей и задачслужбы ИБ, включающий:— управление всеми планами по обеспечениюИБ организации;— разработку и внесение предложений по изменениюполитики ИБ организации;— изменение существующих и принятие новыхнормативнометодических документов по обеспечениюИБ организации;— выбор средств управления и обеспеченияИБ организации;— контроль пользователей, в первую очередьпользователей, имеющих максимальные полномочия;— контроль активности, связанной с доступоми использованием средств антивирусной защиты, а такжес применением других средств обеспеченияИБ организации;— осуществление мониторинга событий, связанныхс ИБ организации;— расследование событий, связанных с нарушениями ИБ,и в случае необходимости выхода с предложениямипо применению санкций в отношении лиц, осуществившихпротивоправные действия, например, нарушившихтребования инструкций, руководств и т.п.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
