Групповой показатель M5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"
См. данную форму в MS-Excel.
Групповой показатель M5 "Обеспечение информационной
безопасности при использовании ресурсов сети Интернет"
┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬───────────┬─────────────┐
│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент│ Вычисленное │
│ частного │ │ выполнения │ показателя ИБ │значимости │ значение │
│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │
│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.1 │Принято ли документально руководством │ обязательный │ │ │ │ │ │ │ 0,0586 │ │
│ │организации решение об использовании │ │ │ │ │ │ │ │ │ │
│ │сети Интернет для производственной и │ │ │ │ │ │ │ │ │ │
│ │(или) собственной хозяйственной │ │ │ │ │ │ │ │ │ │
│ │деятельности, в котором явно │ │ │ │ │ │ │ │ │ │
│ │перечислены цели использования сети │ │ │ │ │ │ │ │ │ │
│ │Интернет? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.2 │Запрещается ли использование ресурсов │ обязательный │ │ │ │ │ │ │ 0,0512 │ │
│ │сети Интернет в неустановленных целях?│ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.3 │Проведено ли в организации выделение │ рекомендуемый │//│////│////│////│ │ │ 0,0398 │ │
│ │ограниченного числа пакетов, │ │//│////│////│////│ │ │ │ │
│ │содержащих перечень сервисов и │ │//│////│////│////│ │ │ │ │
│ │ресурсов сети Интернет, доступных для │ │//│////│////│////│ │ │ │ │
│ │пользователей? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.4 │Проводится ли наделение работников │ рекомендуемый │//│////│////│////│ │ │ 0,0355 │ │
│ │организации правами пользователя │ │//│////│////│////│ │ │ │ │
│ │конкретного пакета в соответствии с │ │//│////│////│////│ │ │ │ │
│ │его должностными обязанностями, в │ │//│////│////│////│ │ │ │ │
│ │частности, в соответствии с │ │//│////│////│////│ │ │ │ │
│ │назначенными ему ролями? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.5 │Оформляется ли документально наделение│ рекомендуемый │//│////│////│////│ │ │ 0,0398 │ │
│ │работников организации правами │ │//│////│////│////│ │ │ │ │
│ │пользователя конкретного пакета? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.6 │Определен ли документально в │ обязательный │ │ │ │ │ │ │ 0,0583 │ │
│ │организации порядок подключения и │ │ │ │ │ │ │ │ │ │
│ │использования ресурсов сети Интернет, │ │ │ │ │ │ │ │ │ │
│ │включающий в том числе положение о │ │ │ │ │ │ │ │ │ │
│ │контроле со стороны подразделения │ │ │ │ │ │ │ │ │ │
│ │(лиц) в организации, ответственного за│ │ │ │ │ │ │ │ │ │
│ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.7 │Применяются ли при осуществлении │ обязательный │ │ │ │ │ │ │ 0,0518 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания с использованием сети │ │ │ │ │ │ │ │ │ │
│ │Интернет средства защиты информации │ │ │ │ │ │ │ │ │ │
│ │(межсетевые экраны, антивирусные │ │ │ │ │ │ │ │ │ │
│ │средства, средства криптографической │ │ │ │ │ │ │ │ │ │
│ │защиты информации), которые │ │ │ │ │ │ │ │ │ │
│ │обеспечивают прием и передачу │ │ │ │ │ │ │ │ │ │
│ │информации только в установленном │ │ │ │ │ │ │ │ │ │
│ │формате и только по конкретной │ │ │ │ │ │ │ │ │ │
│ │технологии? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.8 │Выполнено ли выделение и организована │ рекомендуемый │//│////│////│////│ │ │ 0,0292 │ │
│ │ли физическая изоляция от внутренних │ │//│////│////│////│ │ │ │ │
│ │сетей тех ЭВМ, с помощью которых │ │//│////│////│////│ │ │ │ │
│ │осуществляется взаимодействие с сетью │ │//│////│////│////│ │ │ │ │
│ │Интернет в режиме on-line? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.9 │Применяются ли при осуществлении │ обязательный │ │ │ │ │ │ │ 0,0479 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания защитные меры, │ │ │ │ │ │ │ │ │ │
│ │предотвращающие возможность подмены │ │ │ │ │ │ │ │ │ │
│ │авторизованного клиента │ │ │ │ │ │ │ │ │ │
│ │злоумышленником в рамках сеанса │ │ │ │ │ │ │ │ │ │
│ │работы? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.10 │Регистрируются ли регламентированным │ обязательный │ │ │ │ │ │ │ 0,0440 │ │
│ │образом попытки подмены │ │ │ │ │ │ │ │ │ │
│ │авторизованного клиента │ │ │ │ │ │ │ │ │ │
│ │злоумышленником в рамках сеанса │ │ │ │ │ │ │ │ │ │
│ │работы? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.11 │Все ли операции клиентов в течение │ обязательный │ │ │ │ │ │ │ 0,0581 │ │
│ │сеанса работы с системами │ │ │ │ │ │ │ │ │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания выполняются только после │ │ │ │ │ │ │ │ │ │
│ │выполнения процедур идентификации, │ │ │ │ │ │ │ │ │ │
│ │аутентификации и авторизации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.12 │Обеспечивается ли повторное выполнение│ обязательный │ │ │ │ │ │ │ 0,0415 │ │
│ │процедур идентификации, аутентификации│ │ │ │ │ │ │ │ │ │
│ │и авторизации в случаях нарушения или │ │ │ │ │ │ │ │ │ │
│ │разрыва соединения при работе с │ │ │ │ │ │ │ │ │ │
│ │системами дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.13 │Используется ли специализированное │ рекомендуемый │//│////│////│////│ │ │ 0,0331 │ │
│ │клиентское программное обеспечение для│ │//│////│////│////│ │ │ │ │
│ │доступа пользователей к системам │ │//│////│////│////│ │ │ │ │
│ │дистанционного банковского │ │//│////│////│////│ │ │ │ │
│ │обслуживания? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.14 │Применяются ли защитные меры для │ обязательный │ │ │ │ │ │ │ 0,0450 │ │
│ │осуществления почтового обмена через │ │ │ │ │ │ │ │ │ │
│ │сеть Интернет? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.15 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0491 │ │
│ │перечень защитных мер и порядок их │ │ │ │ │ │ │ │ │ │
│ │использования для осуществления │ │ │ │ │ │ │ │ │ │
│ │почтового обмена через сеть Интернет? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.16 │Организован ли почтовый обмен с сетью │ рекомендуемый │//│////│////│////│ │ │ 0,0331 │ │
│ │Интернет через ограниченное количество│ │//│////│////│////│ │ │ │ │
│ │точек, состоящих из внешнего │ │//│////│////│////│ │ │ │ │
│ │(подключенного к сети Интернет) и │ │//│////│////│////│ │ │ │ │
│ │внутреннего (подключенного к │ │//│////│////│////│ │ │ │ │
│ │внутренним сетям организации) почтовых│ │//│////│////│////│ │ │ │ │
│ │серверов с безопасной системой │ │//│////│////│////│ │ │ │ │
│ │репликации почтовых сообщений между │ │//│////│////│////│ │ │ │ │
│ │ними (интернет-киоски)? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.17 │Осуществляется ли архивирование │ обязательный │ │ │ │ │ │ │ 0,0368 │ │
│ │электронной почты? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.18 │Доступен ли архив электронной почты │ обязательный │ │ │ │ │ │ │ 0,0368 │ │
│ │подразделению (лицу), ответственному │ │ │ │ │ │ │ │ │ │
│ │за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.19 │Не допускаются ли изменения в архиве │ обязательный │ │ │ │ │ │ │ 0,0390 │ │
│ │электронной почты? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.20 │Определен ли документально порядок │ обязательный │ │ │ │ │ │ │ 0,0433 │ │
│ │доступа к информации архива │ │ │ │ │ │ │ │ │ │
│ │электронной почты? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.21 │Не применяется ли в организации │ рекомендуемый │//│////│////│////│ │ │ 0,0436 │ │
│ │практика хранения и обработки │ │//│////│////│////│ │ │ │ │
│ │банковской информации (в т.ч. │ │//│////│////│////│ │ │ │ │
│ │открытой) на ЭВМ, с помощью которой │ │//│////│////│////│ │ │ │ │
│ │осуществляется взаимодействие с сетью │ │//│////│////│////│ │ │ │ │
│ │Интернет в режиме on-line? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.22 │Всегда ли наличие банковской │ обязательный │ │ │ │ │ │ │ 0,0430 │ │
│ │информации на ЭВМ, с помощью которых │ │ │ │ │ │ │ │ │ │
│ │осуществляется взаимодействие с сетью │ │ │ │ │ │ │ │ │ │
│ │Интернет в режиме on-line, │ │ │ │ │ │ │ │ │ │
│ │определяется бизнес-целями организации│ │ │ │ │ │ │ │ │ │
│ │и документально санкционируется ее │ │ │ │ │ │ │ │ │ │
│ │руководством? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M5.23 │Определены ли документально и │ обязательный │ │ │ │ │ │ │ 0,0415 │ │
│ │используются ли защитные меры, │ │ │ │ │ │ │ │ │ │
│ │позволяющие обеспечить противодействие│ │ │ │ │ │ │ │ │ │
│ │атакам хакеров и распространению │ │ │ │ │ │ │ │ │ │
│ │спама? │ │ │ │ │ │ │ │ │ │
├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴───────────┼─────────────┤
│Итоговая оценка группового показателя M5 │ │
└──────────────────────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей