Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М4.1
|
Применяются ли на всех
автоматизированных рабочих местах
и серверах АБС организации, если
иное не предусмотрено
технологическим процессом,
средства антивирусной защиты?
|
обязательный
|
|
|
|
|
|
|
0,0744
|
|
М4.2
|
Определены ли в документах
организации процедуры установки и
регулярного обновления средств
антивирусной защиты (версий и баз
данных) на автоматизированных
рабочих местах и серверах АБС?
|
обязательный
|
|
|
|
|
|
|
0,0721
|
|
М4.3
|
Осуществляются ли установка и
регулярное обновление средств
антивирусной защиты (версий и баз
данных) на автоматизированных
рабочих местах и серверах АБС
администраторами АБС или иными
официально уполномоченными
лицами?
|
обязательный
|
|
|
|
|
|
|
0,0653
|
|
М4.4
|
Организован ли автоматический
режим установки обновлений
антивирусного программного
обеспечения и его баз данных?
|
рекомендуемый
|
////
////
////
////
|
/////
/////
/////
/////
|
/////
/////
/////
/////
|
/////
/////
/////
/////
|
|
|
0,0559
|
|
М4.5
|
Контролируются ли установка и
обновление антивирусных средств
представителями подразделения
(лицами) в организации,
ответственными за обеспечение ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0688
|
|
М4.6
|
Организовано ли функционирование
постоянной антивирусной защиты в
автоматическом режиме?
|
рекомендуемый
|
////
////
////
|
/////
/////
/////
|
/////
/////
/////
|
/////
/////
/////
|
|
|
0,0583
|
|
М4.7
|
Разработаны и введены ли в
действие инструкции по
антивирусной защите, учитывающие
особенности банковских
технологических процессов?
|
обязательный
|
|
|
|
|
|
|
0,0619
|
|
М4.8
|
Проводится ли антивирусная
фильтрация всего трафика
электронного почтового обмена?
|
обязательный
|
|
|
|
|
|
|
0,0706
|
|
М4.9
|
Построена ли в организации
эшелонированная централизованная
система антивирусной защиты,
предусматривающая использование
средств антивирусной защиты
различных производителей и их
раздельную установку на рабочих
станциях, почтовых серверах и
межсетевых экранах?
|
рекомендуемый
|
////
////
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0501
|
|
М4.10
|
Определены ли в документах
организации и выполняются ли
процедуры предварительной
проверки устанавливаемого или
изменяемого программного
обеспечения на отсутствие
вирусов?
|
обязательный
|
|
|
|
|
|
|
0,0605
|
|
М4.11
|
Проводится ли антивирусная
проверка после установки и
изменения программного
обеспечения?
|
обязательный
|
|
|
|
|
|
|
0,0616
|
|
М4.12
|
Документируются ли результаты
установки, изменения программного
обеспечения и антивирусной
проверки?
|
обязательный
|
|
|
|
|
|
|
0,0619
|
|
М4.13
|
Определены ли в документах
организации процедуры,
выполняемые в случае обнаружения
компьютерных вирусов, в которых
зафиксированы:
- необходимые меры по отражению и
устранению последствий вирусной
атаки;
- порядок официального
информирования руководства;
- порядок приостановления при
необходимости работы (на период
устранения последствий вирусной
атаки)?
|
обязательный
|
|
|
|
|
|
|
0,0651
|
|
М4.14
|
Определены ли в документах
организации и выполняются ли
процедуры контроля за отключением
и обновлением антивирусных
средств на всех
автоматизированных рабочих местах
и серверах АБС?
|
обязательный
|
|
|
|
|
|
|
0,0557
|
|
М4.15
|
Предусматривают ли указанные в
частном показателе М4.14
процедуры документальную фиксацию
результатов контроля?
|
обязательный
|
|
|
|
|
|
|
0,0513
|
|
М4.16
|
Возложена ли обязанность по
выполнению предписанных мер
антивирусной защиты на каждого
работника организации, имеющего
доступ к ЭВМ и (или) АБС, а
ответственность за выполнение
требований инструкции по
антивирусной защите - на
руководителей функциональных
подразделений организации?
|
обязательный
|
|
|
|
|
|
|
0,0665
|
|
Итоговая оценка группового показателя М4
|
|
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М5.1
|
Принято ли документально
руководством организации решение
об использовании сети Интернет
для производственной и (или)
собственной хозяйственной
деятельности, в котором явно
перечислены цели использования
сети Интернет?
|
обязательный
|
|
|
|
|
|
|
0,0586
|
|
М5.2
|
Запрещается ли использование
ресурсов сети Интернет в
неустановленных целях?
|
обязательный
|
|
|
|
|
|
|
0,0512
|
|
М5.3
|
Проведено ли в организации
выделение ограниченного числа
пакетов, содержащих перечень
сервисов и ресурсов сети
Интернет, доступных для
пользователей?
|
рекомендуемый
|
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
|
|
0,0398
|
|
М5.4
|
Проводится ли наделение
работников организации правами
пользователя конкретного пакета в
соответствии с его должностными
обязанностями, в частности, в
соответствии с назначенными ему
ролями?
|
рекомендуемый
|
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0355
|
|
М5.5
|
Оформляется ли документально
наделение работников организации
правами пользователя конкретного
пакета?
|
рекомендуемый
|
////
////
////
////
|
/////
/////
/////
/////
|
/////
/////
/////
/////
|
/////
/////
/////
/////
|
|
|
0,0398
|
|
М5.6
|
Определен ли документально в
организации порядок подключения и
использования ресурсов сети
Интернет, включающий в том числе
положение о контроле со стороны
подразделения (лиц) в
организации, ответственных за
обеспечение ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0583
|
|
М5.7
|
Применяются ли при осуществлении
дистанционного банковского
обслуживания с использованием
сети Интернет средства защиты
информации (межсетевые экраны,
антивирусные средства, средства
криптографической защиты
информации), которые обеспечивают
прием и передачу информации
только в установленном формате и
только по конкретной технологии?
|
обязательный
|
|
|
|
|
|
|
0,0518
|
|
М5.8
|
Выполнено ли выделение и
организована ли физическая
изоляция от внутренних сетей тех
ЭВМ, с помощью которых
осуществляется взаимодействие с
сетью Интернет в режиме on-line?
|
рекомендуемый
|
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
|
|
0,0292
|
|
М5.9
|
Применяются ли при осуществлении
дистанционного банковского
обслуживания защитные меры,
предотвращающие возможность
подмены авторизованного клиента
злоумышленником в рамках сеанса
работы?
|
обязательный
|
|
|
|
|
|
|
0,0479
|
|
М5.10
|
Регистрируются ли
регламентированным образом
попытки подмены авторизованного
клиента злоумышленником в рамках
сеанса работы?
|
обязательный
|
|
|
|
|
|
|
0,0440
|
|
М5.11
|
Все ли операции клиентов в
течение сеанса работы с системами
дистанционного банковского
обслуживания выполняются только
после проведения процедур
идентификации, аутентификации и
авторизации?
|
обязательный
|
|
|
|
|
|
|
0,0581
|
|
М5.12
|
Обеспечивается ли повторное
выполнение процедур
идентификации, аутентификации и
авторизации в случаях нарушения
или разрыва соединения при работе
с системами дистанционного
банковского обслуживания?
|
обязательный
|
|
|
|
|
|
|
0,0415
|
|
М5.13
|
Используется ли
специализированное клиентское
программное обеспечение для
доступа пользователей к системам
дистанционного банковского
обслуживания?
|
рекомендуемый
|
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
|
|
0,0331
|
|
М5.14
|
Применяются ли защитные меры для
осуществления почтового обмена
через сеть Интернет?
|
обязательный
|
|
|
|
|
|
|
0,0450
|
|
М5.15
|
Определены ли в документах
организации перечень защитных мер
и порядок их использования для
осуществления почтового обмена
через сеть Интернет?
|
обязательный
|
|
|
|
|
|
|
0,0491
|
|
М5.16
|
Организован ли почтовый обмен с
сетью Интернет через ограниченное
количество точек, состоящих из
внешнего (подключенного к сети
Интернет) и внутреннего
(подключенного к внутренним сетям
организации) почтовых серверов с
безопасной системой репликации
почтовых сообщений между ними
(интернет-киоски)?
|
рекомендуемый
|
////
////
////
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0331
|
|
М5.17
|
Осуществляется ли архивирование
электронной почты?
|
обязательный
|
|
|
|
|
|
|
0,0368
|
|
М5.18
|
Доступен ли архив электронной
почты подразделению (лицу),
ответственному за обеспечение ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0368
|
|
М5.19
|
Не допускаются ли изменения в
архиве электронной почты?
|
обязательный
|
|
|
|
|
|
|
0,0390
|
|
М5.20
|
Определен ли документально
порядок доступа к информации
архива электронной почты?
|
обязательный
|
|
|
|
|
|
|
0,0433
|
|
М5.21
|
Не применяется ли в организации
практика хранения и обработки
банковской информации (в т.ч.
открытой) на ЭВМ, с помощью
которой осуществляется
взаимодействие с сетью Интернет в
режиме on-line?
|
рекомендуемый
|
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0436
|
|
М5.22
|
Всегда ли наличие банковской
информации на ЭВМ, с помощью
которых осуществляется
взаимодействие с сетью Интернет в
режиме on-line, определяется
бизнес-целями организации и
документально санкционируется ее
руководством?
|
обязательный
|
|
|
|
|
|
|
0,0430
|
|
М5.23
|
Определены ли документально и
используются ли защитные меры,
позволяющие обеспечить
противодействие атакам хакеров и
распространению спама?
|
обязательный
|
|
|
|
|
|
|
0,0415
|
|
Итоговая оценка группового показателя М5
|
|
Скачать 129.73 Kb.