|
|
Центрбанк. Создание модели предприятия и лвс
Групповой показатель М8 "Обеспечение
информационной безопасности банковских информационных
технологических процессов"
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М8.1
|
Проведена ли в организации
классификация неплатежной
информации?
|
рекомендуемый
|
////
////
////
|
/////
/////
/////
|
/////
/////
/////
|
/////
/////
/////
|
|
|
0,0852
|
|
М8.2
|
Проводится ли классификация
неплатежной информации в
соответствии со степенью тяжести
последствий потери ее свойств ИБ,
в частности свойств доступности,
целостности и конфиденциальности?
|
рекомендуемый
|
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
|
|
|
0,0779
|
|
М8.3
|
Определен ли документально набор
требований по защите каждого из
типов неплатежных информационных
активов (типов неплатежной
информации), полученных в
результате классификации?
|
обязательный
|
|
|
|
|
|
|
0,0970
|
|
М8.4
|
Возложены ли обязанности по
администрированию средств защиты
неплатежной информации приказами
или распоряжениями по организации
на администраторов ИБ с
отражением этих обязанностей в
должностных инструкциях?
|
рекомендуемый
|
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0814
|
|
М8.5
|
Определен ли документально
порядок контроля функционирования
со стороны лиц, отвечающих за ИБ,
для каждой АБС организации?
|
обязательный
|
|
|
|
|
|
|
0,0777
|
|
М8.6
|
Определены ли в документах
организации банковские
информационные технологические
процессы, согласованы ли эти
документы со службой ИБ
организации?
|
обязательный
|
|
|
|
|
|
|
0,0740
|
|
М8.7
|
Реализованы ли банковские
информационные технологические
процессы в рамках созданных для
этих целей АБС?
|
обязательный
|
|
|
|
|
|
|
0,0639
|
|
М8.8
|
Изолированы ли серверы, офисные
ЭВМ и другое оборудование, не
входящее в состав АБС,
реализующих банковские
информационные технологические
процессы, от указанных АБС на
уровне локальных вычислительных
сетей способом, согласованным со
службой либо лицом, отвечающим в
организации за ИБ?
|
рекомендуемый
|
////
////
////
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0758
|
|
М8.9
|
Определены ли документально
перечни программного обеспечения,
устанавливаемого и (или)
используемого в ЭВМ и АБС и
необходимого для выполнения
конкретных банковских
информационных технологических
процессов?
|
обязательный
|
|
|
|
|
|
|
0,0646
|
|
М8.10
|
Соответствует ли состав
установленного и используемого в
ЭВМ и АБС программного
обеспечения определенному
перечню?
|
обязательный
|
|
|
|
|
|
|
0,0646
|
|
М8.11
|
Контролируется ли выполнение
требований частных показателей
М8.9, М8.10 с документированием
результатов контроля?
|
обязательный
|
|
|
|
|
|
|
0,0676
|
|
М8.12
|
Регламентирована ли в документах
организации, согласована ли со
службой ИБ либо лицом, отвечающим
за обеспечение ИБ, и выполняется
ли процедура периодического
контроля всех реализованных
программно-техническими
средствами и организационными
мерами функций (требований) по
обеспечению ИБ неплатежной
информации?
|
обязательный
|
|
|
|
|
|
|
0,0889
|
|
М8.13
|
Регламентирована ли в документах
организации, согласована ли со
службой ИБ либо лицом, отвечающим
за обеспечение ИБ, и выполняется
ли процедура восстановления всех
реализованных программно-
техническими средствами и
организационными мерами функций
по обеспечению ИБ неплатежной
информации?
|
обязательный
|
|
|
|
|
|
|
0,0814
|
|
Итоговая оценка группового показателя М8
|
|
Групповой показатель М9 "Организация и функционирование
службы ИБ организации БС РФ"
Обозначение
частного
показателя ИБ
|
Частный показатель ИБ
|
Обязательность
выполнения
|
Оценка частного показателя ИБ
|
Коэффициент
значимости
частного
показателя
ИБ
|
Вычисленное
значение
показателя
ИБ
|
0
|
0,25
|
0,5
|
0,75
|
1
|
н/о
|
|
|
М9.1
|
Сформирована ли руководством
служба ИБ (назначено ли
уполномоченное лицо) для
реализации, эксплуатации,
контроля и поддержания на должном
уровне СОИБ, утверждены ли цели и
задачи ее деятельности?
|
обязательный
|
|
|
|
|
|
|
0,0816
|
|
М9.2
|
Имеет ли служба ИБ утвержденные
руководством полномочия и
ресурсы, необходимые для
выполнения установленных целей и
задач?
|
обязательный
|
|
|
|
|
|
|
0,0753
|
|
М9.3
|
Имеет ли служба ИБ назначенного
из числа руководства куратора,
который при этом не является
куратором службы информатизации
(автоматизации)?
|
обязательный
|
|
|
|
|
|
|
0,0750
|
|
М9.4
|
Наделена ли служба ИБ собственным
бюджетом?
|
рекомендуемый
|
////
////
|
/////
/////
|
/////
/////
|
/////
/////
|
|
|
0,0530
|
|
М9.5
|
Сформированы ли для организаций,
имеющих сеть филиалов или
региональных представительств,
подразделения ИБ (уполномоченные
лица) на местах и обеспечены ли
эти подразделения необходимыми
ресурсами и нормативной базой?
|
рекомендуемый
|
////
////
////
////
////
////
////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
/////
/////
/////
/////
/////
/////
/////
|
|
|
0,0615
|
|
М9.6
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями организовывать
составление и контролировать
выполнение всех планов по
обеспечению ИБ организации?
|
обязательный
|
|
|
|
|
|
|
0,0694
|
|
М9.7
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями разрабатывать и
вносить предложения по изменению
политик ИБ организации?
|
обязательный
|
|
|
|
|
|
|
0,0725
|
|
М9.8
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями организовывать
изменения существующих и принятие
руководством новых внутренних
документов, регламентирующих
деятельность по обеспечению ИБ
организации?
|
обязательный
|
|
|
|
|
|
|
0,0725
|
|
М9.9
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями определять
требования к мерам обеспечения ИБ
организации?
|
обязательный
|
|
|
|
|
|
|
0,0781
|
|
М9.10
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями контролировать
работников организации в части
выполнения ими требований
внутренних документов,
регламентирующих деятельность в
области обеспечения ИБ, в первую
очередь работников, имеющих
максимальные полномочия по
доступу к защищаемым
информационным активам?
|
обязательный
|
|
|
|
|
|
|
0,0725
|
|
М9.11
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями осуществлять
мониторинг событий, связанных с
обеспечением ИБ?
|
обязательный
|
|
|
|
|
|
|
0,0725
|
|
М9.12
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями участвовать в
расследовании событий, связанных
с инцидентами ИБ, и выходить в
случае необходимости с
предложениями по применению
санкций в отношении лиц,
осуществивших НСД и НРД
(например, нарушивших требования
инструкций, руководств по
обеспечению ИБ организации)?
|
обязательный
|
|
|
|
|
|
|
0,0787
|
|
М9.13
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями участвовать в
действиях по восстановлению
работоспособности АБС после сбоев
и аварий?
|
обязательный
|
|
|
|
|
|
|
0,0587
|
|
М9.14
|
Наделена ли служба ИБ
(уполномоченное лицо)
полномочиями участвовать в
создании, поддержании,
эксплуатации и совершенствовании
СОИБ организации?
|
обязательный
|
|
|
|
|
|
|
0,0787
|
|
Итоговая оценка группового показателя М9
|
| |
|
|
Скачать 129.73 Kb.