Групповой показатель M2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"
См. данную форму в MS-Excel.
Групповой показатель M2 "Обеспечение
информационной безопасности автоматизированных банковских
систем на стадиях жизненного цикла"
┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬────────────┬────────────┐
│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент │Вычисленное │
│ частного │ │ выполнения │ показателя ИБ │ значимости │ значение │
│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │
│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │ показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.1 │Рассматриваются ли при формировании │ рекомендуемый │//│////│////│////│ │ │ 0,0504 │ │
│ │требований ИБ следующие стадии модели │ │//│////│////│////│ │ │ │ │
│ │ЖЦ АБС: │ │//│////│////│////│ │ │ │ │
│ │- разработка технических заданий; │ │//│////│////│////│ │ │ │ │
│ │- проектирование; │ │//│////│////│////│ │ │ │ │
│ │- создание и тестирование; │ │//│////│////│////│ │ │ │ │
│ │- приемка и ввод в действие; │ │//│////│////│////│ │ │ │ │
│ │- эксплуатация; │ │//│////│////│////│ │ │ │ │
│ │- сопровождение и модернизация; │ │//│////│////│////│ │ │ │ │
│ │- снятие с эксплуатации? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.2 │Осуществляются ли разработка │ обязательный │ │ │ │ │ │ │ 0,0616 │ │
│ │технических заданий и приемка АБС по │ │ │ │ │ │ │ │ │ │
│ │согласованию и при участии │ │ │ │ │ │ │ │ │ │
│ │подразделения (лиц) в организации, │ │ │ │ │ │ │ │ │ │
│ │ответственного за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.3 │Осуществляются ли ввод в действие, │ обязательный │ │ │ │ │ │ │ 0,0591 │ │
│ │эксплуатация и сопровождение │ │ │ │ │ │ │ │ │ │
│ │(модернизация), снятие с эксплуатации │ │ │ │ │ │ │ │ │ │
│ │АБС под контролем подразделений (лиц) │ │ │ │ │ │ │ │ │ │
│ │в организации, ответственных за │ │ │ │ │ │ │ │ │ │
│ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.4 │Имеют ли соответствующие лицензии │ обязательный │ │ │ │ │ │ │ 0,0563 │ │
│ │организации, которые привлекаются на │ │ │ │ │ │ │ │ │ │
│ │договорной основе для разработки и │ │ │ │ │ │ │ │ │ │
│ │(или) производства средств и систем │ │ │ │ │ │ │ │ │ │
│ │защиты АБС? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.5 │Снабжены ли разрабатываемые АБС и │ обязательный │ │ │ │ │ │ │ 0,0646 │ │
│ │(или) их компоненты документацией, │ │ │ │ │ │ │ │ │ │
│ │содержащей описание реализованных │ │ │ │ │ │ │ │ │ │
│ │защитных мер, в том числе в отношении │ │ │ │ │ │ │ │ │ │
│ │угроз ИБ (источников угроз), описанных│ │ │ │ │ │ │ │ │ │
│ │в модели угроз организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.6 │Снабжены ли приобретаемые организацией│ рекомендуемый │//│////│////│////│ │ │ 0,0604 │ │
│ │АБС и (или) их компоненты │ │//│////│////│////│ │ │ │ │
│ │документацией, содержащей описание │ │//│////│////│////│ │ │ │ │
│ │реализованных защитных мер, в том │ │//│////│////│////│ │ │ │ │
│ │числе в отношении угроз ИБ (источников│ │//│////│////│////│ │ │ │ │
│ │угроз), описанных в модели угроз │ │//│////│////│////│ │ │ │ │
│ │организации? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.7 │Содержит ли документация на │ обязательный │ │ │ │ │ │ │ 0,0450 │ │
│ │разрабатываемые АБС или приобретаемые │ │ │ │ │ │ │ │ │ │
│ │готовые АБС и их компоненты описание │ │ │ │ │ │ │ │ │ │
│ │реализованных защитных мер, │ │ │ │ │ │ │ │ │ │
│ │предпринятых разработчиком │ │ │ │ │ │ │ │ │ │
│ │относительно безопасности разработки и│ │ │ │ │ │ │ │ │ │
│ │безопасности поставки? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.8 │Реализуется ли при взаимодействии │ обязательный │ │ │ │ │ │ │ 0,0604 │ │
│ │организации с разработчиком АБС и их │ │ │ │ │ │ │ │ │ │
│ │компонентов одна из трех альтернатив: │ │ │ │ │ │ │ │ │ │
│ │1) в договор (контракт) о разработке │ │ │ │ │ │ │ │ │ │
│ │АБС или поставке готовых АБС и их │ │ │ │ │ │ │ │ │ │
│ │компонентов включаются положения по │ │ │ │ │ │ │ │ │ │
│ │сопровождению поставляемых изделий на │ │ │ │ │ │ │ │ │ │
│ │весь срок их службы; │ │ │ │ │ │ │ │ │ │
│ │2) организация приобретает полный │ │ │ │ │ │ │ │ │ │
│ │комплект рабочей конструкторской │ │ │ │ │ │ │ │ │ │
│ │документации, обеспечивающий │ │ │ │ │ │ │ │ │ │
│ │возможность сопровождения АБС и их │ │ │ │ │ │ │ │ │ │
│ │компонентов без участия разработчика; │ │ │ │ │ │ │ │ │ │
│ │3) руководство организации оценивает и│ │ │ │ │ │ │ │ │ │
│ │документально оформляет допустимость │ │ │ │ │ │ │ │ │ │
│ │риска нарушения ИБ, возникающего при │ │ │ │ │ │ │ │ │ │
│ │невозможности сопровождения АБС и их │ │ │ │ │ │ │ │ │ │
│ │компонентов? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.9 │Учитывается ли при разработке │ обязательный │ │ │ │ │ │ │ 0,0596 │ │
│ │технических заданий на системы │ │ │ │ │ │ │ │ │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания, что защита данных должна│ │ │ │ │ │ │ │ │ │
│ │обеспечиваться в условиях: │ │ │ │ │ │ │ │ │ │
│ │- попыток доступа к банковской │ │ │ │ │ │ │ │ │ │
│ │информации анонимных, неавторизованных│ │ │ │ │ │ │ │ │ │
│ │злоумышленников при использовании │ │ │ │ │ │ │ │ │ │
│ │сетей общего пользования; │ │ │ │ │ │ │ │ │ │
│ │- возможности ошибок авторизованных │ │ │ │ │ │ │ │ │ │
│ │пользователей систем; │ │ │ │ │ │ │ │ │ │
│ │- возможности ненамеренного или │ │ │ │ │ │ │ │ │ │
│ │неадекватного использования │ │ │ │ │ │ │ │ │ │
│ │конфиденциальных данных │ │ │ │ │ │ │ │ │ │
│ │авторизованными пользователями? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.10 │Обеспечиваются ли на стадии │ обязательный │ │ │ │ │ │ │ 0,0474 │ │
│ │тестирования анонимность данных и │ │ │ │ │ │ │ │ │ │
│ │проверка адекватности разграничения │ │ │ │ │ │ │ │ │ │
│ │доступа? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.11 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0700 │ │
│ │и выполняются ли на стадии │ │ │ │ │ │ │ │ │ │
│ │эксплуатации АБС процедуры контроля │ │ │ │ │ │ │ │ │ │
│ │работоспособности (функционирования, │ │ │ │ │ │ │ │ │ │
│ │эффективности) реализованных в АБС │ │ │ │ │ │ │ │ │ │
│ │защитных мер? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.12 │Предусматривают ли указанные в частном│ обязательный │ │ │ │ │ │ │ 0,0626 │ │
│ │показателе M2.11 процедуры │ │ │ │ │ │ │ │ │ │
│ │документальную фиксацию результатов │ │ │ │ │ │ │ │ │ │
│ │контроля? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.13 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0596 │ │
│ │и выполняются ли на стадии │ │ │ │ │ │ │ │ │ │
│ │сопровождения (модернизации) АБС │ │ │ │ │ │ │ │ │ │
│ │процедуры контроля, обеспечивающие │ │ │ │ │ │ │ │ │ │
│ │защиту от: │ │ │ │ │ │ │ │ │ │
│ │- умышленного несанкционированного │ │ │ │ │ │ │ │ │ │
│ │раскрытия, модификации или уничтожения│ │ │ │ │ │ │ │ │ │
│ │информации; │ │ │ │ │ │ │ │ │ │
│ │- неумышленной модификации, раскрытия │ │ │ │ │ │ │ │ │ │
│ │или уничтожения информации; │ │ │ │ │ │ │ │ │ │
│ │- отказа в обслуживании или ухудшения │ │ │ │ │ │ │ │ │ │
│ │обслуживания? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.14 │Предусматривают ли указанные в частном│ обязательный │ │ │ │ │ │ │ 0,0533 │ │
│ │показателе M2.13 процедуры │ │ │ │ │ │ │ │ │ │
│ │документальную фиксацию результатов │ │ │ │ │ │ │ │ │ │
│ │контроля? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.15 │Проводятся ли на стадии сопровождения │ обязательный │ │ │ │ │ │ │ 0,0646 │ │
│ │(модернизации) при любом внесении │ │ │ │ │ │ │ │ │ │
│ │изменений в АБС процедуры проверки │ │ │ │ │ │ │ │ │ │
│ │функциональности, результаты которых │ │ │ │ │ │ │ │ │ │
│ │документируются? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.16 │Определены ли документально и │ обязательный │ │ │ │ │ │ │ 0,0675 │ │
│ │выполняются ли на стадии снятия с │ │ │ │ │ │ │ │ │ │
│ │эксплуатации процедуры, обеспечивающие│ │ │ │ │ │ │ │ │ │
│ │удаление информации, │ │ │ │ │ │ │ │ │ │
│ │несанкционированное использование │ │ │ │ │ │ │ │ │ │
│ │которой может нанести ущерб бизнес- │ │ │ │ │ │ │ │ │ │
│ │деятельности организации, и │ │ │ │ │ │ │ │ │ │
│ │информации, используемой средствами │ │ │ │ │ │ │ │ │ │
│ │обеспечения ИБ, из постоянной памяти │ │ │ │ │ │ │ │ │ │
│ │АБС и с внешних носителей (за │ │ │ │ │ │ │ │ │ │
│ │исключением архивов электронных │ │ │ │ │ │ │ │ │ │
│ │документов и протоколов электронного │ │ │ │ │ │ │ │ │ │
│ │взаимодействия, ведение и сохранность │ │ │ │ │ │ │ │ │ │
│ │которых в течение определенного срока │ │ │ │ │ │ │ │ │ │
│ │предусмотрены соответствующими │ │ │ │ │ │ │ │ │ │
│ │нормативными и (или) договорными │ │ │ │ │ │ │ │ │ │
│ │документами)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M2.17 │Предусматривают ли указанные в частном│ обязательный │ │ │ │ │ │ │ 0,0576 │ │
│ │показателе M2.16 процедуры │ │ │ │ │ │ │ │ │ │
│ │документальную фиксацию результатов их│ │ │ │ │ │ │ │ │ │
│ │выполнения? │ │ │ │ │ │ │ │ │ │
├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴────────────┼────────────┤
│Итоговая оценка группового показателя M2 │ │
└───────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей