Групповой показатель M6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"

┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬───────────┬─────────────┐

│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент│ Вычисленное │

│ частного │ │ выполнения │ показателя ИБ │значимости │ значение │

│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │

│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.1 │Проводится ли применение СКЗИ в │ обязательный │ │ │ │ │ │ │ 0,0857 │ │

│ │организации в соответствии с моделью │ │ │ │ │ │ │ │ │ │

│ │угроз ИБ и моделью нарушителя ИБ, │ │ │ │ │ │ │ │ │ │

│ │принятыми организацией? │ │ │ │ │ │ │ │ │ │

│ │Имеют ли СКЗИ, применяемые для защиты │ │ │ │ │ │ │ │ │ │

│ │персональных данных, класс не ниже │ │ │ │ │ │ │ │ │ │

│ │КС2? Проводятся ли работы по │ │ │ │ │ │ │ │ │ │

│ │обеспечению безопасности информации с │ │ │ │ │ │ │ │ │ │

│ │помощью СКЗИ в соответствии с │ │ │ │ │ │ │ │ │ │

│ │действующими в настоящее время │ │ │ │ │ │ │ │ │ │

│ │нормативными документами, │ │ │ │ │ │ │ │ │ │

│ │регламентирующими вопросы эксплуатации│ │ │ │ │ │ │ │ │ │

│ │СКЗИ, технической документацией на │ │ │ │ │ │ │ │ │ │

│ │СКЗИ и лицензионными требованиями ФСБ │ │ │ │ │ │ │ │ │ │

│ │России? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.2 │Утверждена ли частная политика, │ рекомендуемый │//│////│////│////│ │ │ 0,0628 │ │

│ │касающаяся применения СКЗИ в │ │//│////│////│////│ │ │ │ │

│ │организации? │ │//│////│////│////│ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.3 │Допускают ли СКЗИ возможность │ обязательный │ │ │ │ │ │ │ 0,0628 │ │

│ │встраивания в технологические процессы│ │ │ │ │ │ │ │ │ │

│ │обработки электронных сообщений? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.4 │Обеспечивают ли СКЗИ взаимодействие с │ обязательный │ │ │ │ │ │ │ 0,0628 │ │

│ │прикладным программным обеспечением на│ │ │ │ │ │ │ │ │ │

│ │уровне обработки запросов на │ │ │ │ │ │ │ │ │ │

│ │криптографические преобразования и │ │ │ │ │ │ │ │ │ │

│ │выдачи результатов? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.5 │Поставляются ли СКЗИ разработчиками с │ обязательный │ │ │ │ │ │ │ 0,0842 │ │

│ │полным комплектом эксплуатационной │ │ │ │ │ │ │ │ │ │

│ │документации, включающей описание │ │ │ │ │ │ │ │ │ │

│ │ключевой системы, правила работы с ней│ │ │ │ │ │ │ │ │ │

│ │и обоснование необходимого │ │ │ │ │ │ │ │ │ │

│ │организационно-штатного обеспечения? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.6 │Сертифицированы ли СКЗИ уполномоченным│ обязательный │ │ │ │ │ │ │ 0,0857 │ │

│ │государственным органом или имеют ли │ │ │ │ │ │ │ │ │ │

│ │СКЗИ разрешение ФСБ России? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.7 │Осуществляются ли установка и ввод в │ обязательный │ │ │ │ │ │ │ 0,0845 │ │

│ │эксплуатацию, а также эксплуатация │ │ │ │ │ │ │ │ │ │

│ │СКЗИ в соответствии с эксплуатационной│ │ │ │ │ │ │ │ │ │

│ │и технической документацией к этим │ │ │ │ │ │ │ │ │ │

│ │средствам? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.8 │Поддерживается ли непрерывность │ обязательный │ │ │ │ │ │ │ 0,0651 │ │

│ │процессов протоколирования работы СКЗИ│ │ │ │ │ │ │ │ │ │

│ │при применении СКЗИ? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.9 │Поддерживается ли непрерывность │ обязательный │ │ │ │ │ │ │ 0,0651 │ │

│ │процессов обеспечения целостности │ │ │ │ │ │ │ │ │ │

│ │программного обеспечения для среды │ │ │ │ │ │ │ │ │ │

│ │функционирования СКЗИ, представляющей │ │ │ │ │ │ │ │ │ │

│ │собой совокупность технических и │ │ │ │ │ │ │ │ │ │

│ │программных средств, совместно с │ │ │ │ │ │ │ │ │ │

│ │которыми происходит штатное │ │ │ │ │ │ │ │ │ │

│ │функционирование СКЗИ и которые │ │ │ │ │ │ │ │ │ │

│ │способны повлиять на выполнение │ │ │ │ │ │ │ │ │ │

│ │предъявляемых к СКЗИ требований? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.10 │Обеспечивается ли ИБ процессов │ обязательный │ │ │ │ │ │ │ 0,0776 │ │

│ │изготовления криптографических ключей │ │ │ │ │ │ │ │ │ │

│ │СКЗИ комплексом технологических, │ │ │ │ │ │ │ │ │ │

│ │организационных, технических и │ │ │ │ │ │ │ │ │ │

│ │программных мер и средств защиты? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.11 │Реализованы ли процедуры мониторинга, │ рекомендуемый │//│////│////│////│ │ │ 0,0651 │ │

│ │регистрирующие все значимые события, │ │//│////│////│////│ │ │ │ │

│ │состоявшиеся в процессе обмена │ │//│////│////│////│ │ │ │ │

│ │криптографически защищенными данными, │ │//│////│////│////│ │ │ │ │

│ │и все инциденты ИБ? │ │//│////│////│////│ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.12 │Определен ли руководством на основании│ обязательный │ │ │ │ │ │ │ 0,0671 │ │

│ │указанных в разделе 7.7 СТО БР ИББС- │ │ │ │ │ │ │ │ │ │

│ │1.0 документов порядок применения │ │ │ │ │ │ │ │ │ │

│ │СКЗИ, включающий: │ │ │ │ │ │ │ │ │ │

│ │- порядок ввода в действие, включая │ │ │ │ │ │ │ │ │ │

│ │процедуры встраивания СКЗИ в АБС; │ │ │ │ │ │ │ │ │ │

│ │- порядок эксплуатации; │ │ │ │ │ │ │ │ │ │

│ │- порядок восстановления │ │ │ │ │ │ │ │ │ │

│ │работоспособности в аварийных случаях;│ │ │ │ │ │ │ │ │ │

│ │- порядок внесения изменений; │ │ │ │ │ │ │ │ │ │

│ │- порядок снятия с эксплуатации; │ │ │ │ │ │ │ │ │ │

│ │- порядок управления ключевой │ │ │ │ │ │ │ │ │ │

│ │системой; │ │ │ │ │ │ │ │ │ │

│ │- порядок обращения с носителями │ │ │ │ │ │ │ │ │ │

│ │ключевой информации, включая действия │ │ │ │ │ │ │ │ │ │

│ │при смене и компрометации ключей? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.13 │Самостоятельно ли изготавливаются в │ рекомендуемый │//│////│////│////│ │ │ 0,0607 │ │

│ │организации и (или) клиентом │ │//│////│////│////│ │ │ │ │

│ │организации ключи СКЗИ? │ │//│////│////│////│ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M6.14 │Регулируются ли заключаемыми │ обязательный │ │ │ │ │ │ │ 0,0708 │ │

│ │договорами отношения, возникающие │ │ │ │ │ │ │ │ │ │

│ │между организациями и их клиентами? │ │ │ │ │ │ │ │ │ │

├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴───────────┼─────────────┤

│Итоговая оценка группового показателя M6 │ │

└──────────────────────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘