|
|
Центрбанк. Создание модели предприятия и лвс
Групповой показатель М2 "Обеспечение информационной
безопасности автоматизированных банковских систем
на стадиях жизненного цикла"
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М2.1
|
Рассматриваются ли при
формировании требований ИБ
следующие стадии модели ЖЦ АБС:
- разработка технических заданий;
- проектирование;
- создание и тестирование;
- приемка и ввод в действие;
- эксплуатация;
- сопровождение и модернизации;
- снятие с эксплуатации?
|
рекомендуемый
|
////
////
////
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0504
|
|
М2.2
|
Осуществляются ли разработка
технических заданий и приемка АБС
по согласованию и при участии
подразделения (лиц) в
организации, ответственных за
обеспечение ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0616
|
|
М2.3
|
Осуществляются ли ввод в
действие, эксплуатация и
сопровождение (модернизация),
снятие с эксплуатации АБС под
контролем подразделений (лиц) в
организации, ответственных за
обеспечение ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0591
|
|
М2.4
|
Имеют ли соответствующие лицензии
организации, которые привлекаются
на договорной основе для
разработки и (или) производства
средств и систем защиты АБС?
|
обязательный
|
|
|
|
|
|
|
0,0563
|
|
М2.5
|
Снабжены ли разрабатываемые АБС
и (или) их компоненты
документацией, содержащей
описание реализованных защитных
мер, в том числе в отношении
угроз ИБ (источников угроз),
описанных в модели угроз
организации?
|
обязательный
|
|
|
|
|
|
|
0,0646
|
|
М2.6
|
Снабжены ли приобретаемые
организацией АБС и (или) их
компоненты документацией,
содержащей описание реализованных
защитных мер, в том числе в
отношении угроз ИБ (источников
угроз), описанных в модели угроз
организации?
|
рекомендуемый
|
////
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0604
|
|
М2.7
|
Содержит ли документация на
разрабатываемые АБС или
приобретаемые готовые АБС и их
компоненты описание реализованных
защитных мер, предпринятых
разработчиком относительно
безопасности разработки и
безопасности поставки?
|
обязательный
|
|
|
|
|
|
|
0,0450
|
|
М2.8
|
Реализуется ли при взаимодействии
организации с разработчиком АБС и
их компонентов одна из трех
альтернатив:
1) в договор (контракт)
о разработке АБС или
поставке готовых АБС и их
компонентов включаются положения
по сопровождению поставляемых
изделий на весь срок их службы;
2) организация приобретает полный
комплект рабочей конструкторской
документации, обеспечивающий
возможность сопровождения АБС и
их компонентов без участия
разработчика;
3) руководство организации
оценивает и документально
оформляет допустимость риска
нарушения ИБ, возникающего при
невозможности сопровождения АБС
и их компонентов?
|
обязательный
|
|
|
|
|
|
|
0,0604
|
|
М2.9
|
Учитывается ли при разработке
технических заданий на системы
дистанционного банковского
обслуживания, что защита данных
должна обеспечиваться в условиях:
- попыток доступа к банковской
информации анонимных,
неавторизованных злоумышленников
при использовании сетей общего
пользования;
- возможности ошибок
авторизованных пользователей
систем;
- возможности ненамеренного или
неадекватного использования
конфиденциальных данных
авторизованными пользователями?
|
обязательный
|
|
|
|
|
|
|
0,0596
|
|
М2.10
|
Обеспечиваются ли на стадии
тестирования анонимность данных и
проверка адекватности
разграничения доступа?
|
обязательный
|
|
|
|
|
|
|
0,0474
|
|
М2.11
|
Определены ли в документах
организации и выполняются ли на
стадии эксплуатации АБС процедуры
контроля работоспособности
(функционирования, эффективности)
реализованных в АБС защитных мер?
|
обязательный
|
|
|
|
|
|
|
0,0700
|
|
М2.12
|
Предусматривают ли указанные в
частном показателе М2.11
процедуры документальную фиксацию
результатов контроля?
|
обязательный
|
|
|
|
|
|
|
0,0626
|
|
М2.13
|
Определены ли в документах
организации и выполняются ли на
стадии сопровождения
(модернизации) АБС процедуры
контроля, обеспечивающие защиту
от:
- умышленного
несанкционированного раскрытия,
модификации или уничтожения
информации;
- неумышленной модификации,
раскрытия или уничтожения
информации;
- отказа в обслуживании или
ухудшения обслуживания?
|
обязательный
|
|
|
|
|
|
|
0,0596
|
|
М2.14
|
Предусматривают ли указанные в
частном показателе М2.13
процедуры документальную фиксацию
результатов контроля?
|
обязательный
|
|
|
|
|
|
|
0,0533
|
|
М2.15
|
Проводятся ли на стадии
сопровождения (модернизации) при
любом внесении изменений в АБС
процедуры проверки
функциональности, результаты
которых документируются?
|
обязательный
|
|
|
|
|
|
|
0,0646
|
|
М2.16
|
Определены ли документально и
выполняются ли на стадии снятия с
эксплуатации процедуры,
обеспечивающие удаление
информации, несанкционированное
использование которой может
нанести ущерб бизнес-деятельности
организации, и информации,
используемой средствами
обеспечения ИБ, из постоянной
памяти АБС и с внешних носителей
(за исключением архивов
электронных документов и
протоколов электронного
взаимодействия, ведение и
сохранность которых в течение
определенного срока предусмотрены
соответствующими нормативными
и (или) договорными документами)?
|
обязательный
|
|
|
|
|
|
|
0,0675
|
|
М2.17
|
Предусматривают ли указанные в
частном показателе М2.16
процедуры документальную фиксацию
результатов их выполнения?
|
обязательный
|
|
|
|
|
|
|
0,0576
|
|
Итоговая оценка группового показателя М2
|
|
Групповой показатель М3 "Обеспечение информационной
безопасности при управлении доступом и регистрации"
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М3.1
|
Определен ли в документах
организации перечень
информационных активов (их
типов)?
|
обязательный
|
|
|
|
|
|
|
0,0356
|
|
М3.2
|
Зафиксированы ли документально
права доступа работников и
клиентов к информационным активам
организации?
|
обязательный
|
|
|
|
|
|
|
0,0360
|
|
М3.3
|
Применяются ли в составе АБС
встроенные защитные меры?
|
обязательный
|
|
|
|
|
|
|
0,0345
|
|
М3.4
|
Применяются ли в составе АБС
сертифицированные или разрешенные
к применению руководством
организации средства защиты
информации от НСД и НРД и
средства криптографической защиты
информации?
|
рекомендуемый
|
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0334
|
|
М3.5
|
Определены ли в документах
организации, утверждены ли
руководством организации,
выполняются ли и контролируются
ли процедуры идентификации,
аутентификации и авторизации?
|
обязательный
|
|
|
|
|
|
|
0,0366
|
|
М3.6
|
Документируются ли результаты
контроля процедур, указанных в
частном показателе М3.5?
|
обязательный
|
|
|
|
|
|
|
0,0345
|
|
М3.7
|
Определены ли в документах
организации, выполняются ли и
контролируются ли процедуры
управления доступом?
|
обязательный
|
|
|
|
|
|
|
0,0360
|
|
М3.8
|
Документируются ли результаты
контроля процедур, указанных в
частном показателе М3.7?
|
обязательный
|
|
|
|
|
|
|
0,0334
|
|
М3.9
|
Определены ли в документах
организации, выполняются ли и
контролируются ли процедуры
контроля целостности?
|
обязательный
|
|
|
|
|
|
|
0,0340
|
|
М3.10
|
Документируются ли результаты
контроля процедур, указанных в
частном показателе М3.9?
|
обязательный
|
|
|
|
|
|
|
0,0319
|
|
М3.11
|
Определены ли в документах
организации, выполняются ли и
контролируются ли процедуры
регистрации событий и действий?
|
обязательный
|
|
|
|
|
|
|
0,0319
|
|
М3.12
|
Документируются ли результаты
контроля процедур, указанных в
частном показателе М3.11?
|
обязательный
|
|
|
|
|
|
|
0,0286
|
|
М3.13
|
Исключают ли процедуры управления
доступом возможность
"самосанкционирования"?
|
обязательный
|
|
|
|
|
|
|
0,0308
|
|
М3.14
|
Определены ли в документах
организации процедуры мониторинга
и анализа данных регистрации,
действий и операций, позволяющие
выявить неправомерные или
подозрительные операции и
транзакции?
|
обязательный
|
|
|
|
|
|
|
0,0331
|
|
М3.15
|
Используются ли
специализированные программные
и (или) технические средства для
проведения процедур мониторинга и
анализа данных регистрации,
действия и операций?
|
рекомендуемый
|
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
|
|
0,0255
|
|
М3.16
|
Используют ли процедуры
мониторинга и анализа
документально определенные
критерии выявления неправомерных
или подозрительных действий и
операций?
|
обязательный
|
|
|
|
|
|
|
0,0266
|
|
М3.17
|
Применяются ли процедуры
мониторинга и анализа на
регулярной основе (например,
ежедневно) ко всем выполненным
операциям и транзакциям?
|
обязательный
|
|
|
|
|
|
|
0,0286
|
|
М3.18
|
Регламентирован ли во внутренних
документах организации порядок
доступа работников организации в
помещения, в которых размещаются
объекты среды информационных
активов?
|
обязательный
|
|
|
|
|
|
|
0,0292
|
|
М3.19
|
Контролируется ли выполнение
порядка доступа работников
организации в помещения, в
которых размещаются объекты среды
информационных активов?
|
обязательный
|
|
|
|
|
|
|
0,0297
|
|
М3.20
|
Оформляются ли документально
результаты выполнения контроля
порядка доступа работников
организации в помещения, в
которых размещаются объекты среды
информационных активов?
|
обязательный
|
|
|
|
|
|
|
0,0263
|
|
М3.21
|
Обеспечивают ли используемые в
организации АБС, в том числе
системы дистанционного
банковского обслуживания,
возможность регистрации:
- операций с данными о клиентских
счетах, включая операции
открытия, модификации и закрытия
клиентских счетов;
- проводимых транзакций, имеющих
финансовые последствия;
- операций, связанных с
назначением и распределением прав
пользователей?
|
обязательный
|
|
|
|
|
|
|
0,0328
|
|
М3.22
|
Реализованы ли в системах
дистанционного банковского
обслуживания, используемых в
организации, защитные меры,
обеспечивающие невозможность
отказа от авторства проводимых
клиентами операций и транзакций
(например, ЭЦП)?
|
обязательный
|
|
|
|
|
|
|
0,0344
|
|
М3.23
|
Придано ли протоколам операций,
выполняемых посредством
дистанционного банковского
обслуживания, свойство
юридической значимости, например,
путем внесения соответствующих
положений в договоры на
дистанционное банковское
обслуживание?
|
рекомендуемый
|
////
////
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0312
|
|
М3.24
|
Производится ли при заключении
договоров со сторонними
организациями юридическое
оформление договоренностей,
определяющих необходимый уровень
взаимодействия в случае выхода
инцидента ИБ за рамки отдельной
организации?
|
рекомендуемый
|
////
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0274
|
|
М3.25
|
Определены ли в документах
организации процедуры,
определяющие действия работников
и клиентов организации в случае
компрометации информации,
необходимой для их идентификации,
аутентификации и (или)
авторизации, в том числе
произошедшей по их вине, включая
информацию о способах
распознавания таких случаев?
|
обязательный
|
|
|
|
|
|
|
0,0294
|
|
М3.26
|
Доведены ли до сведения
работников и клиентов организации
процедуры, указанные в частном
показателе М3.25?
|
обязательный
|
|
|
|
|
|
|
0,0283
|
|
М3.27
|
Предусматривают ли указанные в
частном показателе М3.26
процедуры документирование
работниками и клиентами своих
действий и их результатов?
|
обязательный
|
|
|
|
|
|
|
0,0254
|
|
М3.28
|
Реализованы ли в системах
дистанционного банковского
обслуживания механизмы
информирования (регулярного,
непрерывного или по требованию)
клиентов обо всех операциях,
совершаемых от их имени?
|
обязательный
|
|
|
|
|
|
|
0,0239
|
|
М3.29
|
Применяются ли в организации
защитные меры, направленные на
обеспечение защиты от НСД и НРД,
повреждения или нарушения
целостности информации,
необходимой для регистрации,
идентификации, аутентификации
и (или) авторизации клиентов и
работников организации?
|
обязательный
|
|
|
|
|
|
|
0,0319
|
|
М3.30
|
Регистрируются ли все попытки НСД
и НРД к информации, необходимой
для идентификации, аутентификации
и (или) авторизации клиентов и
сотрудников организации?
|
обязательный
|
|
|
|
|
|
|
0,0326
|
|
М3.31
|
Определена ли в документах
организации и выполняется ли
процедура пересмотра прав доступа
при увольнении или изменении
должностных обязанностей
работников организации, имевших
доступ к информации, необходимой
для идентификации, аутентификации
и (или) авторизации клиентов и
сотрудников организации?
|
обязательный
|
|
|
|
|
|
|
0,0316
|
|
М3.32
|
Осуществляется ли работа всех
пользователей АБС под уникальными
учетными записями?
|
обязательный
|
|
|
|
|
|
|
0,0349
|
|
Итоговая оценка группового показателя М3
|
|
|
|
|
Скачать 129.73 Kb.