st12_09 (1027744), страница 3
Текст из файла (страница 3)
Итоговая оценка EV2, отражающая степени выполнения требований СТО БР ИББС1.0по направлению “менеджмент ИБ организации”, вычисляется по формуле:25EVMiEV2 =i =917.8.6. Оценки EVMi, полученные в результате оценивания групповых показателей ИБ М9÷М25,отображаются на круговой диаграмме (см. раздел 10) в секторах с 9го по 25й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.8.7.
Оценка EV2 отображается на круговой диаграмме (см. раздел 10) в секторах с 9го по25й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.12СТО БР ИББС1.220099. Îöåíêà óðîâíÿ îñîçíàíèÿ èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèè áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè9.1.
Оценка уровня осознания ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС1.0для следующих областей:— деятельность руководства организации по поддержке функционирования службы ИБ организации;— деятельность руководства организации по принятию решений о реализации и эксплуатации СОИБ;— деятельность руководства организации по поддержке планирования СОИБ;— деятельность руководства организации по поддержке реализации СОИБ;— деятельность руководства организации по поддержке проверки СОИБ;— деятельность руководства организации по анализу СОИБ;— деятельность руководства организации по поддержке совершенствования СОИБ.9.2. Групповые показатели по направлению оценки “уровень осознания ИБ организации”отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС1.0.Таблица 6 отражает соответствие между структурными элементами СТО БР ИББС1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.Таблица 6 — Соответствие групповых показателей ИБ требованиям,представленным в разделе 8 СТО БР ИББС1.0Обозначениегрупповогопоказателя ИБМ26М27М28М29М30М31М32Наименование группового показателя ИБОценка деятельности руководства организации по поддержкефункционирования службы ИБ организацииОценка деятельности руководства организации по принятиюрешений о реализации и эксплуатации СОИБОценка деятельности руководства организации по поддержкепланирования СОИБОценка деятельности руководства организации по поддержке реализации СОИБОценка деятельности руководства организации по поддержке проверки СОИБОценка деятельности руководства организации по анализу СОИБОценка деятельности руководства организации по поддержкесовершенствования СОИБСтруктурный элементСТО БР ИББС1.0п.
8.2п. 8.7п. 8.3, 8.4, 8.5, 8.6, 8.8п. 8.9, 8.10, 8.11п. 8.12, 8.13, 8.14, 8.15п. 8.16п. 8.17, 8.189.3. Частные показатели по направлению оценки “уровень осознания ИБ организации”отражают отдельные требования СТО БР ИББС1.0 к СМИБ организации, относящиеся к деятельности руководства организации. Частные показатели по направлению оценки “уровень осознания ИБ организации” (показатели М25÷М32), метрики, а также коэффициенты значимости αi.jдля каждого частного показателя приведены в Приложении А.9.4.
Оценки EVMi.j и EVMi, полученные в результате оценивания групповых показателей ИБМ25÷М32, вносятся в соответствующие графы представленных в Приложении А форм.9.5. Итоговая оценка EV3, отражающая степени выполнения требований СТО БР ИББС1.0по направлению “уровень осознания ИБ организации”, вычисляется по формуле:32EVMiEV3 =i = 267.9.6. Оценки EV Mi, полученные в результате оценивания групповых показателей ИБМ26÷М32, отображаются на круговой диаграмме (см. раздел 10) в секторах с 26го по 32й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этихоценок.СТО БР ИББС1.22009139.7.
Оценка EV3 отображается на круговой диаграмме (см. раздел 10) в секторах с 26гопо 32й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV3.10. Îïðåäåëåíèå óðîâíÿ ñîîòâåòñòâèÿèíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèèáàíêîâñêîé ñèñòåìû Ðîññèéñêîé Ôåäåðàöèèòðåáîâàíèÿì ÑÒÎ ÁÐ ÈÁÁÑ-1.0.Îòîáðàæåíèå îöåíîê10.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данному направлениюоценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данному направлениюоценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данному направлениюоценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данному направлениюоценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС1.0.Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС1.0.10.2.
Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:— оценки уровня осознания ИБ организации (EV3);— оценки менеджмента ИБ организации (EV2);— оценки текущего уровня ИБ организации (EV1).10.3. Полученное в результате оценки соответствия ИБ организации требованиямСТО БР ИББС1.0 значение R является основой для формирования аудиторского заключенияпо результатам аудита ИБ.10.4. Значения R, соответствующие четвертому и пятому уровням, являются рекомендуемыми Банком России.Значения R, соответствующие уровням с нулевого по третий, не являются рекомендуемыми Банком России.10.5. Рисунок 1 представляет собой круговую диаграмму для отображения результатовоценивания.Секторы с 1го по 8й используются для отображения оценки текущего уровня ИБ организации.Секторы с 9го по 25й используются для отображения оценки процессов менеджментаИБ организации.Секторы с 26го по 32й используются для отображения оценки уровня осознания ИБ организации.Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до окружности радиусом 1.Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо до окружности радиусом 0,95.Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.Второму уровню соответствуют окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.Первому уровню соответствуют окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.Нулевому уровню соответствует круг до окружности радиусом 0,25.14СТО БР ИББС1.22009Рисунок 1 — Круговая диаграмма для отображения результатов оценивания1516171819142013211222112310924825267276285429330213231СТО БР ИББС1.22009Приложение A(обязательное)Ïîêàçàòåëè èíôîðìàöèîííîé áåçîïàñíîñòè1516ОбозначениечастногоЧастный показатель ИБпоказателяИБМ1.1Определены ли в документах организации роли ее работников?М1.2Формируются ли роли, связанные с выполнением деятельности по обеспечению ИБ,на основании требований разделов 7 и 8 стандарта СТО БР ИББС1.0?М1.3Персонифицированы ли роли в организации с установлением ответственностиза их выполнение?М1.4Зафиксирована ли документально в должностных инструкциях ответственностьза выполнение ролей?М1.5Отсутствуют ли в организации роли, совмещающие функции разработки и сопровождениясистемы/ПО?М1.6Отсутствуют ли в организации роли, совмещающие функции разработки и эксплуатациисистемы/ПО?М1.7Отсутствуют ли в организации роли, совмещающие функции сопровождения и эксплуатации?М1.8Отсутствуют ли в организации роли, совмещающие функции администратора системыи администратора информационной безопасности?М1.9Отсутствуют ли в организации роли, совмещающие функции по выполнению операцийв системе и контроля их выполнения?М1.10Определены ли документально в организации и выполняются ли процедуры контролядеятельности работников, обладающих совокупностью полномочий (ролями), позволяющихполучить контроль над защищаемым информационным активом организации?М1.11Определены ли в документах организации процедуры приема на работу, влияющуюна обеспечение ИБ, включающие:— проверку подлинности предоставленных документов, заявляемой квалификации, точностии полноты биографических навыков;— проверку в части профессиональных навыков и оценку профессиональной пригодности?М1.12Предусматривают ли указанные в частном показателе М1.11 процедуры документальнуюфиксацию результатов проводимых проверок?М1.13Определены ли в документах организации процедуры регулярной проверки в частипрофессиональных навыков и оценки профессиональной пригодности работников?М1.14Предусматривают ли указанные в частном показателе М1.13 процедуры документальнуюфиксацию результатов проводимых проверок?ОбязательностьвыполненияобязательныйобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,05810,0291обязательный0,0502обязательный0,0461рекомендуемый0,0522рекомендуемый0,0610рекомендуемыйрекомендуемый0,05220,0661рекомендуемый0,0661обязательный0,1001обязательный0,0513обязательный0,0371рекомендуемый0,0302рекомендуемый0,0302СТО БР ИББС1.22009Групповой показатель M1 “Обеспечение информационной безопасностипри назначении и распределении ролей и обеспечении доверия к персоналу”ОбозначениечастногоЧастный показатель ИБпоказателяИБМ1.15Определены ли в документах организации процедуры внеплановой проверки работниковпри выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозренийв таком поведении или участии?М1.16Предусматривают ли указанные в частном показателе М1.15 процедуры документальнуюфиксацию результатов проводимых проверок?М1.17Обязаны ли все работники организации давать письменные обязательства о соблюденииконфиденциальности, приверженности правилам корпоративной этики, включая требованияпо недопущению конфликта интересов?М1.18Регламентируются ли положениями, включенными в договоры (соглашения)с внешними организациями и клиентами, требования по ИБ?М1.19Определены ли в трудовых контрактах (соглашениях, договорах) и(или) должностныхинструкциях обязанности персонала по выполнению требований ИБ?М1.20Приравнивается ли невыполнение работниками организации требований ИБ к невыполнениюдолжностных обязанностей и приводит ли как минимум к дисциплинарной ответственности?Итоговая оценка группового показателя М1ОбязательностьвыполнениярекомендуемыйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0433рекомендуемый0,0391обязательный0,0383обязательный0,0449обязательный0,0582обязательный0,0462СТО БР ИББС1.220091718ОбозначениечастногоЧастный показатель ИБпоказателяИБМ2.1Рассматриваются ли при формировании требований ИБ следующие стадии модели ЖЦ АБС:— разработка технических заданий;— проектирование;— создание и тестирование;— приемка и ввод в действие;— эксплуатация;— сопровождение и модернизации;— снятие с эксплуатации?М2.2Осуществляются ли разработка технических заданий и приемка АБС по согласованиюи при участии подразделения (лиц) в организации, ответственных за обеспечение ИБ?М2.3Осуществляются ли ввод в действие, эксплуатация и сопровождение (модернизация),снятие с эксплуатации АБС под контролем подразделений (лиц) в организации,ответственных за обеспечение ИБ?М2.4Имеют ли соответствующие лицензии организации, которые привлекаются на договорнойоснове для разработки и(или) производства средств и систем защиты АБС?М2.5Снабжены ли разрабатываемые АБС и(или) их компоненты документацией,содержащей описание реализованных защитных мер, в том числе в отношении угрозИБ (источников угроз), описанных в модели угроз организации?М2.6Снабжены ли приобретаемые организацией АБС и(или) их компоненты документацией,содержащей описание реализованных защитных мер, в том числе в отношении угрозИБ (источников угроз), описанных в модели угроз организации?М2.7Содержит ли документация на разрабатываемые АБС или приобретаемые готовые АБСи их компоненты описание реализованных защитных мер, предпринятых разработчикомотносительно безопасности разработки и безопасности поставки?М2.8Реализуется ли при взаимодействии организации с разработчиком АБС и их компонентов однаиз трех альтернатив:1) в договор (контракт) о разработке АБС или поставке готовых АБС и их компонентоввключаются положения по сопровождению поставляемых изделий на весь срок их службы;2) организация приобретает полный комплект рабочей конструкторской документации,обеспечивающий возможность сопровождения АБС и их компонентов без участияразработчика;3) руководство организации оценивает и документально оформляет допустимость рисканарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов?ОбязательностьвыполнениярекомендуемыйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0504обязательный0,0616обязательный0,0591обязательный0,0563обязательный0,0646рекомендуемый0,0604обязательный0,0450обязательный0,0604СТО БР ИББС1.22009Групповой показатель M2 “Обеспечение информационной безопасностиавтоматизированных банковских систем на стадиях жизненного цикла”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0596обязательный0,0474обязательный0,0700обязательный0,0626обязательный0,0596обязательный0,0533обязательный0,0646обязательный0,0675обязательный0,0576СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ2.9Учитывается ли при разработке технических заданий на системы дистанционного банковскогообслуживания, что защита данных должна обеспечиваться в условиях:— попыток доступа к банковской информации анонимных, неавторизованных злоумышленниковпри использовании сетей общего пользования;— возможности ошибок авторизованных пользователей систем;— возможности ненамеренного или неадекватного использования конфиденциальных данныхавторизованными пользователями?М2.10Обеспечиваются ли на стадии тестирования анонимность данных и проверка адекватностиразграничения доступа?М2.11Определены ли в документах организации и выполняются ли на стадии эксплуатации АБСпроцедуры контроля работоспособности (функционирования, эффективности) реализованныхв АБС защитных мер?М2.12Предусматривают ли указанные в частном показателе М2.11 процедуры документальнуюфиксацию результатов контроля?М2.13Определены ли в документах организации и выполняются ли на стадии сопровождения(модернизации) АБС процедуры контроля, обеспечивающие защиту от:— умышленного несанкционированного раскрытия, модификации или уничтоженияинформации;— неумышленной модификации, раскрытия или уничтожения информации;— отказа в обслуживании или ухудшения обслуживания?М2.14Предусматривают ли указанные в частном показателе М2.13 процедуры документальнуюфиксацию результатов контроля?М2.15Проводятся ли на стадии сопровождения (модернизации) при любом внесении измененийв АБС процедуры проверки функциональности, результаты которых документируются?М2.16Определены ли документально и выполняются ли на стадии снятия с эксплуатации процедуры,обеспечивающие удаление информации, несанкционированное использование которой можетнанести ущерб бизнесдеятельности организации, и информации, используемой средствамиобеспечения ИБ, из постоянной памяти АБС и с внешних носителей (за исключением архивовэлектронных документов и протоколов электронного взаимодействия, ведение и сохранностькоторых в течение определенного срока предусмотрены соответствующими нормативнымии(или) договорными документами)?М2.17Предусматривают ли указанные в частном показателе М2.16 процедуры документальнуюфиксацию результатов их выполнения?Итоговая оценка группового показателя М21920Групповой показатель M3 “Обеспечение информационной безопасностипри управлении доступом и регистрации”ОбязательностьвыполненияобязательныйобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,03560,0360обязательныйрекомендуемый0,03450,0334обязательный0,0366обязательныйобязательный0,03450,0360обязательныйобязательный0,03340,0340обязательныйобязательный0,03190,0319обязательныйобязательныйобязательный0,02860,03080,0331рекомендуемый0,0255обязательный0,0266обязательный0,0286обязательный0,0292обязательный0,0297СТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ3.1Определен ли в документах организации перечень информационных активов (их типов)?М3.2Зафиксированы ли документально права доступа работников и клиентов к информационнымактивам организации?М3.3Применяются ли в составе АБС встроенные защитные меры?М3.4Применяются ли в составе АБС сертифицированные или разрешенные к применениюруководством организации средства защиты информации от НСД и НРД и средствакриптографической защиты информации?М3.5Определены ли в документах организации, утверждены ли руководством организации,выполняются ли и контролируются ли процедуры идентификации, аутентификациии авторизации?М3.6Документируются ли результаты контроля процедур, указанных в частном показателе М3.5?М3.7Определены ли в документах организации, выполняются ли и контролируются ли процедурыуправления доступом?М3.8Документируются ли результаты контроля процедур, указанных в частном показателе М3.7?М3.9Определены ли в документах организации, выполняются ли и контролируются ли процедурыконтроля целостности?М3.10Документируются ли результаты контроля процедур, указанных в частном показателе М3.9?М3.11Определены ли в документах организации, выполняются ли и контролируются ли процедурырегистрации событий и действий?М3.12Документируются ли результаты контроля процедур, указанных в частном показателе М3.11?М3.13Исключают ли процедуры управления доступом возможность “самосанкционирования”?М3.14Определены ли в документах организации процедуры мониторинга и анализа данныхрегистрации, действий и операций, позволяющие выявить неправомерные илиподозрительные операции и транзакции?М3.15Используются ли специализированные программные и(или) технические средства дляпроведения процедур мониторинга и анализа данных регистрации, действия и операций?М3.16Используют ли процедуры мониторинга и анализа документально определенные критериивыявления неправомерных или подозрительных действий и операций?М3.17Применяются ли процедуры мониторинга и анализа на регулярной основе(например, ежедневно) ко всем выполненным операциям и транзакциям?М3.18Регламентирован ли во внутренних документах организации порядок доступа работниковорганизации в помещения, в которых размещаются объекты среды информационных активов?М3.19Kонтролируется ли выполнение порядка доступа работников организации в помещения,в которых размещаются объекты среды информационных активов?ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0263обязательный0,0328обязательный0,0344рекомендуемый0,0312рекомендуемый0,0274обязательный0,0294обязательный0,0283обязательный0,0254обязательный0,0239обязательный0,0319обязательный0,0326обязательный0,0316обязательный0,0349СТО БР ИББС1.2200921ОбозначениечастногоЧастный показатель ИБпоказателяИБМ3.20Оформляются ли документально результаты выполнения контроля порядка доступа работниковорганизации в помещения, в которых размещаются объекты среды информационных активов?М3.21Обеспечивают ли используемые в организации АБС, в том числе системы дистанционногобанковского обслуживания, возможность регистрации:— операций с данными о клиентских счетах, включая операции открытия, модификациии закрытия клиентских счетов;— проводимых транзакций, имеющих финансовые последствия;— операций, связанных с назначением и распределением прав пользователей?М3.22Реализованы ли в системах дистанционного банковского обслуживания, используемыхв организации, защитные меры, обеспечивающие невозможность отказа от авторствапроводимых клиентами операций и транзакций (например, ЭЦП)?М3.23Придано ли протоколам операций, выполняемых посредством дистанционного банковскогообслуживания, свойство юридической значимости, например, путем внесениясоответствующих положений в договоры на дистанционное банковское обслуживание?М3.24Производится ли при заключении договоров со сторонними организациями юридическоеоформление договоренностей, определяющих необходимый уровень взаимодействия в случаевыхода инцидента ИБ за рамки отдельной организации?М3.25Определены ли в документах организации процедуры, определяющие действия работникови клиентов организации в случае компрометации информации, необходимойдля их идентификации, аутентификации и(или) авторизации, в том числе произошедшейпо их вине, включая информацию о способах распознавания таких случаев?М3.26Доведены ли до сведения работников и клиентов организации процедуры, указанныев частном показателе М3.25?М3.27Предусматривают ли указанные в частном показателе М3.26 процедуры документированиеработниками и клиентами своих действий и их результатов?М3.28Реализованы ли в системах дистанционного банковского обслуживания механизмыинформирования (регулярного, непрерывного или по требованию) клиентов обо всехоперациях, совершаемых от их имени?М3.29Применяются ли в организации защитные меры, направленные на обеспечение защиты от НСДи НРД, повреждения или нарушения целостности информации, необходимой для регистрации,идентификации, аутентификации и(или) авторизации клиентов и работников организации?М3.30Регистрируются ли все попытки НСД и НРД к информации, необходимой для идентификации,аутентификации и(или) авторизации клиентов и сотрудников организации?М3.31Определена ли в документах организации и выполняется ли процедура пересмотра правдоступа при увольнении или изменении должностных обязанностей работников организации,имевших доступ к информации, необходимой для идентификации, аутентификациии(или) авторизации клиентов и сотрудников организации?М3.32Осуществляется ли работа всех пользователей АБС под уникальными учетными записями?Итоговая оценка группового показателя М3Групповой показатель M4 “Обеспечение информационной безопасностисредствами антивирусной защиты”обязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0744обязательный0,0721обязательный0,0653рекомендуемый0,0559обязательный0,0688рекомендуемый0,0583обязательный0,0619обязательныйрекомендуемый0,07060,0501обязательный0,0605обязательный0,0616обязательный0,0619обязательный0,0651обязательный0,0557обязательный0,0513обязательный0,0665СТО БР ИББС1.22009Обязательностьвыполнения22ОбозначениечастногоЧастный показатель ИБпоказателяИБМ4.1Применяются ли на всех автоматизированных рабочих местах и серверах АБС организации,если иное не предусмотрено технологическим процессом, средства антивирусной защиты?М4.2Определены ли в документах организации процедуры установки и регулярного обновлениясредств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местахи серверах АБС?М4.3Осуществляются ли установка и регулярное обновление средств антивирусной защиты(версий и баз данных) на автоматизированных рабочих местах и серверах АБСадминистраторами АБС или иными официально уполномоченными лицами?М4.4Организован ли автоматический режим установки обновлений антивирусного программногообеспечения и его баз данных?М4.5Kонтролируются ли установка и обновление антивирусных средств представителямиподразделения (лицами) в организации, ответственными за обеспечение ИБ?М4.6Организовано ли функционирование постоянной антивирусной защитыв автоматическом режиме?М4.7Разработаны и введены ли в действие инструкции по антивирусной защите,учитывающие особенности банковских технологических процессов?М4.8Проводится ли антивирусная фильтрация всего трафика электронного почтового обмена?М4.9Построена ли в организации эшелонированная централизованная система антивируснойзащиты, предусматривающая использование средств антивирусной защиты различныхпроизводителей и их раздельную установку на рабочих станциях, почтовых серверахи межсетевых экранах?М4.10Определены ли в документах организации и выполняются ли процедуры предварительнойпроверки устанавливаемого или изменяемого программного обеспечения на отсутствиевирусов?М4.11Проводится ли антивирусная проверка после установки и измененияпрограммного обеспечения?М4.12Документируются ли результаты установки, изменения программного обеспеченияи антивирусной проверки?М4.13Определены ли в документах организации процедуры, выполняемые в случае обнаружениякомпьютерных вирусов, в которых зафиксированы:— необходимые меры по отражению и устранению последствий вирусной атаки;— порядок официального информирования руководства;— порядок приостановления при необходимости работы(на период устранения последствий вирусной атаки)?М4.14Определены ли в документах организации и выполняются ли процедуры контроляза отключением и обновлением антивирусных средств на всех автоматизированныхрабочих местах и серверах АБС?М4.15Предусматривают ли указанные в частном показателе М4.14 процедуры документальнуюфиксацию результатов контроля?М4.16Возложена ли обязанность по выполнению предписанных мер антивирусной защитына каждого работника организации, имеющего доступ к ЭВМ и(или) АБС, а ответственностьза выполнение требований инструкции по антивирусной защите — на руководителейфункциональных подразделений организации?Итоговая оценка группового показателя М4Групповой показатель M5 “Обеспечение информационной безопасностипри использовании ресурсов сети Интернет”ОбязательностьвыполненияобязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,05860,05120,0398рекомендуемый0,0355рекомендуемый0,0398обязательный0,0583обязательный0,0518рекомендуемый0,0292обязательный0,0479обязательный0,0440обязательный0,0581обязательный0,0415рекомендуемый0,0331обязательный0,045023обязательныйрекомендуемыйСТО БР ИББС1.22009ОбозначениечастногоЧастный показатель ИБпоказателяИБМ5.1Принято ли документально руководством организации решение об использовании сетиИнтернет для производственной и(или) собственной хозяйственной деятельности,в котором явно перечислены цели использования сети Интернет?М5.2Запрещается ли использование ресурсов сети Интернет в неустановленных целях?М5.3Проведено ли в организации выделение ограниченного числа пакетов, содержащихперечень сервисов и ресурсов сети Интернет, доступных для пользователей?М5.4Проводится ли наделение работников организации правами пользователя конкретного пакетав соответствии с его должностными обязанностями, в частности, в соответствиис назначенными ему ролями?М5.5Оформляется ли документально наделение работников организации правами пользователяконкретного пакета?М5.6Определен ли документально в организации порядок подключения и использования ресурсовсети Интернет, включающий в том числе положение о контроле со стороны подразделения(лиц) в организации, ответственных за обеспечение ИБ?М5.7Применяются ли при осуществлении дистанционного банковского обслуживанияс использованием сети Интернет средства защиты информации (межсетевые экраны,антивирусные средства, средства криптографической защиты информации), которыеобеспечивают прием и передачу информации только в установленном формате и толькопо конкретной технологии?М5.8Выполнено ли выделение и организована ли физическая изоляция от внутренних сетей техЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме online?М5.9Применяются ли при осуществлении дистанционного банковского обслуживания защитныемеры, предотвращающие возможность подмены авторизованного клиента злоумышленникомв рамках сеанса работы?М5.10Регистрируются ли регламентированным образом попытки подмены авторизованного клиентазлоумышленником в рамках сеанса работы?М5.11Все ли операции клиентов в течение сеанса работы с системами дистанционного банковскогообслуживания выполняются только после проведения процедур идентификации,аутентификации и авторизации?М5.12Обеспечивается ли повторное выполнение процедур идентификации, аутентификациии авторизации в случаях нарушения или разрыва соединения при работе с системамидистанционного банковского обслуживания?М5.13Используется ли специализированное клиентское программное обеспечение для доступапользователей к системам дистанционного банковского обслуживания?М5.14Применяются ли защитные меры для осуществления почтового обмена через сеть Интернет?обязательныйОценка частного показателя ИБ00,250,50,751н/оKоэффициент Вычисленноезначимостизначениечастногопоказателяпоказателя ИБИБ0,0491рекомендуемый0,0331обязательныйобязательный0,03680,0368обязательныйобязательныйрекомендуемый0,03900,04330,0436обязательный0,0430обязательный0,0415СТО БР ИББС1.22009Обязательностьвыполнения24ОбозначениечастногоЧастный показатель ИБпоказателяИБМ5.15Определены ли в документах организации перечень защитных мер и порядок их использованиядля осуществления почтового обмена через сеть Интернет?М5.16Организован ли почтовый обмен с сетью Интернет через ограниченное количество точек,состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенногок внутренним сетям организации) почтовых серверов с безопасной системой репликациипочтовых сообщений между ними (интернеткиоски)?М5.17Осуществляется ли архивирование электронной почты?М5.18Доступен ли архив электронной почты подразделению (лицу), ответственномуза обеспечение ИБ?М5.19Не допускаются ли изменения в архиве электронной почты?М5.20Определен ли документально порядок доступа к информации архива электронной почты?М5.21Не применяется ли в организации практика хранения и обработки банковской информации(в т.ч.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
