|
|
Центрбанк. Создание модели предприятия и лвс
Групповой показатель М6 "Обеспечение информационной
безопасности при использовании средств криптографической
защиты информации"
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М6.1
|
Проводится ли применение СКЗИ в
АБС в соответствии с моделью
нарушителя, принятой в
организации, с целью защиты
информации при ее обработке,
хранении и передаче по каналам
связи?
|
обязательный
|
|
|
|
|
|
|
0,0776
|
|
М6.2
|
Утверждена ли политика
(концепция) применения СКЗИ в
организации?
|
рекомендуемый
|
////
////
////
|
/////
/////
/////
|
/////
/////
/////
|
/////
/////
/////
|
|
|
0,0694
|
|
М6.3
|
Допускают ли СКЗИ возможность
встраивания в технологическую
схему обработки электронных
сообщений?
|
обязательный
|
|
|
|
|
|
|
0,0691
|
|
М6.4
|
Обеспечивают ли СКЗИ
взаимодействие с прикладным
программным обеспечением на
уровне обработки запросов на
криптографические преобразования
и выдачи результатов?
|
обязательный
|
|
|
|
|
|
|
0,0691
|
|
М6.5
|
Поставляются ли СКЗИ
разработчиками с полным
комплектом эксплуатационной
документации, включающей описание
ключевой системы, правила работы
с ней и обоснование необходимого
организационно-штатного
обеспечения?
|
обязательный
|
|
|
|
|
|
|
0,0919
|
|
М6.6
|
Выполняется ли как минимум одна
из трех альтернатив:
- сертифицированы ли СКЗИ
уполномоченным государственным
органом;
- реализованы ли СКЗИ на основе
рекомендованных уполномоченным
государственным органом
алгоритмов либо алгоритмов,
определенных условиями договора с
контрагентом (клиентом)
организации;
- соответствуют ли СКЗИ
стандартам организации,
взаимодействующей с проверяемой
организацией?
|
обязательный
|
|
|
|
|
|
|
0,0936
|
|
М6.7
|
Поддерживается ли непрерывность
процессов протоколирования работы
СКЗИ при применении СКЗИ в АБС?
|
обязательный
|
|
|
|
|
|
|
0,0755
|
|
М6.8
|
Поддерживается ли непрерывность
процессов обеспечения целостности
программного обеспечения для всех
звеньев АБС, взаимодействующих со
СКЗИ?
|
обязательный
|
|
|
|
|
|
|
0,0755
|
|
М6.9
|
Обеспечивается ли ИБ процессов
изготовления ключевых документов
СКЗИ комплексом технологических,
организационных, технических и
программных мер и средств защиты?
|
обязательный
|
|
|
|
|
|
|
0,0847
|
|
М6.10
|
Реализованы ли процедуры
мониторинга, предусматривающие
регистрацию всех значимых
событий, состоявшихся в процессе
обмена электронными сообщениями,
и всех инцидентов ИБ?
|
рекомендуемый
|
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
|
|
0,0755
|
|
М6.11
|
Определен ли руководством порядок
применения СКЗИ в АБС,
включающий:
- порядок ввода в действие,
включая процедуры встраивания
СКЗИ в АБС;
- порядок эксплуатации;
- порядок восстановления
работоспособности в аварийных
случаях;
- порядок внесения изменений;
- порядок снятия с эксплуатации;
- порядок управления ключевой
системой;
- порядок обращения с носителями
ключевой информации, включая
действия при смене и
компрометации ключей?
|
обязательный
|
|
|
|
|
|
|
0,0745
|
|
М6.12
|
Самостоятельно ли изготавливаются
в организации и (или) физическим
лицом ключи ЭЦП и (или) иных СКЗИ?
|
обязательный
|
|
|
|
|
|
|
0,0663
|
|
М6.13
|
Отражены ли в соответствующих
договорах правовые и
организационные последствия
изготовления ключей СКЗИ для
одной организации в другой
организации?
|
обязательный
|
|
|
|
|
|
|
0,0773
|
|
Итоговая оценка группового показателя М6
|
|
Групповой показатель М7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М7.1
|
Определен ли в документах
организации банковский платежный
технологический процесс?
|
обязательный
|
|
|
|
|
|
|
0,0405
|
|
М7.2
|
Определены ли документально
перечни программного обеспечения,
устанавливаемого и (или)
используемого в ЭВМ и АБС и
необходимого для выполнения
конкретных банковских платежных
технологических процессов?
|
обязательный
|
|
|
|
|
|
|
0,0365
|
|
М7.3
|
Соответствует ли состав
установленного и используемого в
ЭВМ и АБС программного
обеспечения определенному
перечню?
|
обязательный
|
|
|
|
|
|
|
0,0389
|
|
М7.4
|
Контролируется ли выполнение
требований, оцениваемых в частных
показателях М7.2, М7.3 с
документированием результатов
контроля?
|
обязательный
|
|
|
|
|
|
|
0,0319
|
|
М7.5
|
Зафиксирован ли порядок обмена
платежной информацией в договорах
между участниками данного обмена?
|
обязательный
|
|
|
|
|
|
|
0,0451
|
|
М7.6
|
Отсутствуют ли в организации
работники, обладающие
полномочиями для бесконтрольного
создания, авторизации,
уничтожения и изменения платежной
информации, а также проведения
несанкционированных операций по
изменению состояния банковских
счетов?
|
обязательный
|
|
|
|
|
|
|
0,0448
|
|
М7.7
|
Контролируются (проверяются) ли и
удостоверяются ли результаты
технологических операций по
обработке платежной информации
лицами/автоматизированными
процессами?
|
обязательный
|
|
|
|
|
|
|
0,0458
|
|
М7.8
|
Осуществляются ли обработка
платежной информации и контроль
(проверка) результатов обработки
разными работниками/
автоматизированными процессами?
|
рекомендуемый
|
////
////
////
////
////
|
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
|
|
|
0,0442
|
|
М7.9
|
Возложены ли обязанности по
администрированию средств защиты
платежной информации приказами
или распоряжениями по организации
на администраторов ИБ с
отражением этих обязанностей в
должностных инструкциях?
|
рекомендуемый
|
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0365
|
|
М7.10
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса защиту платежной
информации от искажения,
фальсификации, переадресации,
несанкционированного уничтожения,
ложной авторизации электронных
платежных сообщений?
|
обязательный
|
|
|
|
|
|
|
0,0436
|
|
М7.11
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса доступ работника
организации только к тем ресурсам
банковского платежного
технологического процесса,
которые необходимы ему для
исполнения должностных
обязанностей или реализации прав,
предусмотренных технологией
обработки платежной информации?
|
обязательный
|
|
|
|
|
|
|
0,0384
|
|
М7.12
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса контроль (мониторинг)
исполнения установленной
технологии подготовки, обработки,
передачи и хранения платежной
информации?
|
обязательный
|
|
|
|
|
|
|
0,0389
|
|
М7.13
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса аутентификацию входящих
электронных платежных сообщений?
|
обязательный
|
|
|
|
|
|
|
0,0412
|
|
М7.14
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса двустороннюю
аутентификацию автоматизированных
рабочих мест (рабочих станций и
серверов), участников обмена
электронными платежными
сообщениями?
|
обязательный
|
|
|
|
|
|
|
0,0412
|
|
М7.15
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса возможность ввода
платежной информации в АБС только
для авторизованных пользователей?
|
обязательный
|
|
|
|
|
|
|
0,0436
|
|
М7.16
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса контроль, направленный
на исключение возможности
совершения злоумышленных действий
(двойной ввод, сверка,
установление ограничений в
зависимости от суммы совершения
операций и т.д.)?
|
обязательный
|
|
|
|
|
|
|
0,0436
|
|
М7.17
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса восстановление платежной
информации в случае ее
умышленного (случайного)
разрушения (искажения) или выхода
из строя средств вычислительной
техники?
|
обязательный
|
|
|
|
|
|
|
0,0392
|
|
М7.18
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса при осуществлении
межбанковских расчетов сверку
выходных электронных платежных
сообщений с соответствующими
входными и обработанными
электронными платежными
сообщениями?
|
обязательный
|
|
|
|
|
|
|
0,0436
|
|
М7.19
|
Предусматривает ли комплекс мер
по обеспечению ИБ банковского
платежного технологического
процесса доставку электронных
платежных сообщений участникам
обмена?
|
обязательный
|
|
|
|
|
|
|
0,0408
|
|
М7.20
|
Организован ли в организации
авторизованный ввод платежной
информации в АБС двумя
работниками с последующей
программной сверкой результатов
ввода на совпадение (принцип
"двойного управления")?
|
рекомендуемый
|
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0364
|
|
М7.21
|
Определены ли в документах
организации и выполняются ли при
проектировании, разработке,
эксплуатации систем
дистанционного банковского
обслуживания процедуры,
реализующие механизмы:
- снижения вероятности выполнения
непреднамеренных или случайных
операций или транзакций
авторизованными клиентами;
- доведения информации о возможных
рисках, связанных с выполнением
операций или транзакций до
клиентов?
|
обязательный
|
|
|
|
|
|
|
0,0337
|
|
М7.22
|
Обеспечены ли клиенты систем
дистанционного банковского
обслуживания детальными
инструкциями, описывающими
процедуры выполнения операций или
транзакций?
|
обязательный
|
|
|
|
|
|
|
0,0364
|
|
М7.23
|
Определены ли в документах
организации и выполняются ли
процедуры обслуживания средств
вычислительной техники,
используемых в банковском
платежном технологическом
процессе, включая замену их
программных и (или) аппаратных
частей?
|
обязательный
|
|
|
|
|
|
|
0,0368
|
|
М7.24
|
Определена ли в документах
организации, согласована ли со
службой либо лицом, отвечающим в
организации за обеспечение ИБ, и
выполняется ли процедура
периодического контроля всех
реализованных программно-
техническими средствами функций
(требований) по обеспечению ИБ
платежной информации?
|
обязательный
|
|
|
|
|
|
|
0,0392
|
|
М7.25
|
Определена ли в документах
организации, согласована ли со
службой либо лицом, отвечающим в
организации за обеспечение ИБ, и
выполняется ли процедура
восстановления всех реализованных
программно-техническими
средствами функций по обеспечению
ИБ платежной информации?
|
обязательный
|
|
|
|
|
|
|
0,0392
|
|
Итоговая оценка группового показателя М7
|
|
|
|
|
Скачать 129.73 Kb.