Групповой показатель M3 "Обеспечение информационной безопасности при управлении доступом и регистрации"
См. данную форму в MS-Excel.
Групповой показатель M3 "Обеспечение информационной
безопасности при управлении доступом и регистрации"
┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬────────────┬────────────┐
│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент │Вычисленное │
│ частного │ │ выполнения │ показателя ИБ │ значимости │ значение │
│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │
│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │ показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.1 │Определен ли в документах организации │ обязательный │ │ │ │ │ │ │ 0,0356 │ │
│ │перечень информационных активов (их │ │ │ │ │ │ │ │ │ │
│ │типов)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.2 │Зафиксированы ли документально права │ обязательный │ │ │ │ │ │ │ 0,0360 │ │
│ │доступа работников и клиентов к │ │ │ │ │ │ │ │ │ │
│ │информационным активам организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.3 │Применяются ли в составе АБС │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ │встроенные защитные меры? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.4 │Применяются ли в составе АБС │ рекомендуемый │//│////│////│////│ │ │ 0,0334 │ │
│ │сертифицированные или разрешенные к │ │//│////│////│////│ │ │ │ │
│ │применению руководством организации │ │//│////│////│////│ │ │ │ │
│ │средства защиты информации от НСД и │ │//│////│////│////│ │ │ │ │
│ │НРД? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.5 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0366 │ │
│ │организации, утверждены ли │ │ │ │ │ │ │ │ │ │
│ │руководством организации, выполняются │ │ │ │ │ │ │ │ │ │
│ │ли и контролируются ли процедуры │ │ │ │ │ │ │ │ │ │
│ │идентификации, аутентификации и │ │ │ │ │ │ │ │ │ │
│ │авторизации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.6 │Документируются ли результаты контроля│ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ │процедур, указанных в частном │ │ │ │ │ │ │ │ │ │
│ │показателе M3.5? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0360 │ │
│ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │
│ │контролируются ли процедуры управления│ │ │ │ │ │ │ │ │ │
│ │доступом? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.8 │Документируются ли результаты контроля│ обязательный │ │ │ │ │ │ │ 0,0334 │ │
│ │процедур, указанных в частном │ │ │ │ │ │ │ │ │ │
│ │показателе M3.7? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0340 │ │
│ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │
│ │контролируются ли процедуры контроля │ │ │ │ │ │ │ │ │ │
│ │целостности? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.10 │Документируются ли результаты контроля│ обязательный │ │ │ │ │ │ │ 0,0319 │ │
│ │процедур, указанных в частном │ │ │ │ │ │ │ │ │ │
│ │показателе M3.9? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0319 │ │
│ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │
│ │контролируются ли процедуры │ │ │ │ │ │ │ │ │ │
│ │регистрации событий и действий? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.12 │Документируются ли результаты контроля│ обязательный │ │ │ │ │ │ │ 0,0286 │ │
│ │процедур, указанных в частном │ │ │ │ │ │ │ │ │ │
│ │показателе M3.11? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.13 │Исключают ли процедуры управления │ обязательный │ │ │ │ │ │ │ 0,0308 │ │
│ │доступом возможность │ │ │ │ │ │ │ │ │ │
│ │"самосанкционирования"? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.14 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0331 │ │
│ │процедуры мониторинга и анализа данных│ │ │ │ │ │ │ │ │ │
│ │регистрации, действий и операций, │ │ │ │ │ │ │ │ │ │
│ │позволяющие выявить неправомерные или │ │ │ │ │ │ │ │ │ │
│ │подозрительные операции и транзакции? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.15 │Используются ли специализированные │ рекомендуемый │//│////│////│////│ │ │ 0,0255 │ │
│ │программные и (или) технические │ │//│////│////│////│ │ │ │ │
│ │средства для проведения процедур │ │//│////│////│////│ │ │ │ │
│ │мониторинга и анализа данных │ │//│////│////│////│ │ │ │ │
│ │регистрации, действия и операций? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.16 │Используют ли процедуры мониторинга и │ обязательный │ │ │ │ │ │ │ 0,0266 │ │
│ │анализа документально определенные │ │ │ │ │ │ │ │ │ │
│ │критерии выявления неправомерных или │ │ │ │ │ │ │ │ │ │
│ │подозрительных действий и операций? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.17 │Применяются ли процедуры мониторинга и│ обязательный │ │ │ │ │ │ │ 0,0286 │ │
│ │анализа на регулярной основе │ │ │ │ │ │ │ │ │ │
│ │(например, ежедневно) ко всем │ │ │ │ │ │ │ │ │ │
│ │выполненным операциям и транзакциям? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.18 │Регламентирован ли во внутренних │ обязательный │ │ │ │ │ │ │ 0,0292 │ │
│ │документах организации порядок доступа│ │ │ │ │ │ │ │ │ │
│ │работников организации в помещения, в │ │ │ │ │ │ │ │ │ │
│ │которых размещаются объекты среды │ │ │ │ │ │ │ │ │ │
│ │информационных активов? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.19 │Контролируется ли выполнение порядка │ обязательный │ │ │ │ │ │ │ 0,0297 │ │
│ │доступа работников организации в │ │ │ │ │ │ │ │ │ │
│ │помещения, в которых размещаются │ │ │ │ │ │ │ │ │ │
│ │объекты среды информационных активов? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.20 │Оформляются ли документально │ обязательный │ │ │ │ │ │ │ 0,0263 │ │
│ │результаты выполнения контроля порядка│ │ │ │ │ │ │ │ │ │
│ │доступа работников организации в │ │ │ │ │ │ │ │ │ │
│ │помещения, в которых размещаются │ │ │ │ │ │ │ │ │ │
│ │объекты среды информационных активов? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.21 │Обеспечивают ли используемые в │ обязательный │ │ │ │ │ │ │ 0,0328 │ │
│ │организации АБС, в том числе системы │ │ │ │ │ │ │ │ │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания, возможность регистрации:│ │ │ │ │ │ │ │ │ │
│ │- операций с данными о клиентских │ │ │ │ │ │ │ │ │ │
│ │счетах, включая операции открытия, │ │ │ │ │ │ │ │ │ │
│ │модификации и закрытия клиентских │ │ │ │ │ │ │ │ │ │
│ │счетов; │ │ │ │ │ │ │ │ │ │
│ │- проводимых транзакций, имеющих │ │ │ │ │ │ │ │ │ │
│ │финансовые последствия; │ │ │ │ │ │ │ │ │ │
│ │- операций, связанных с назначением и │ │ │ │ │ │ │ │ │ │
│ │распределением прав пользователей? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.22 │Реализованы ли в системах │ обязательный │ │ │ │ │ │ │ 0,0344 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания, используемых в │ │ │ │ │ │ │ │ │ │
│ │организации, защитные меры, │ │ │ │ │ │ │ │ │ │
│ │обеспечивающие невозможность отказа от│ │ │ │ │ │ │ │ │ │
│ │авторства проводимых клиентами │ │ │ │ │ │ │ │ │ │
│ │операций и транзакций (например, ЭЦП)?│ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.23 │Придано ли протоколам операций, │ рекомендуемый │//│////│////│////│ │ │ 0,0312 │ │
│ │выполняемых посредством дистанционного│ │//│////│////│////│ │ │ │ │
│ │банковского обслуживания, свойство │ │//│////│////│////│ │ │ │ │
│ │юридической значимости, например, │ │//│////│////│////│ │ │ │ │
│ │путем внесения соответствующих │ │//│////│////│////│ │ │ │ │
│ │положений в договоры на дистанционное │ │//│////│////│////│ │ │ │ │
│ │банковское обслуживание? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.24 │Производится ли при заключении │ рекомендуемый │//│////│////│////│ │ │ 0,0274 │ │
│ │договоров со сторонними организациями │ │//│////│////│////│ │ │ │ │
│ │юридическое оформление │ │//│////│////│////│ │ │ │ │
│ │договоренностей, определяющих │ │//│////│////│////│ │ │ │ │
│ │необходимый уровень взаимодействия в │ │//│////│////│////│ │ │ │ │
│ │случае выхода инцидента ИБ за рамки │ │//│////│////│////│ │ │ │ │
│ │отдельной организации? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.25 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0294 │ │
│ │процедуры, определяющие действия │ │ │ │ │ │ │ │ │ │
│ │работников и клиентов организации в │ │ │ │ │ │ │ │ │ │
│ │случае компрометации информации, │ │ │ │ │ │ │ │ │ │
│ │необходимой для их идентификации, │ │ │ │ │ │ │ │ │ │
│ │аутентификации и (или) авторизации, в │ │ │ │ │ │ │ │ │ │
│ │том числе произошедшей по их вине, │ │ │ │ │ │ │ │ │ │
│ │включая информацию о способах │ │ │ │ │ │ │ │ │ │
│ │распознавания таких случаев? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.26 │Доведены ли до сведения работников и │ обязательный │ │ │ │ │ │ │ 0,0283 │ │
│ │клиентов организации процедуры, │ │ │ │ │ │ │ │ │ │
│ │указанные в частном показателе M3.25? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.27 │Предусматривают ли указанные в частном│ обязательный │ │ │ │ │ │ │ 0,0254 │ │
│ │показателе M3.26 процедуры │ │ │ │ │ │ │ │ │ │
│ │документирование работниками и │ │ │ │ │ │ │ │ │ │
│ │клиентами своих действий и их │ │ │ │ │ │ │ │ │ │
│ │результатов? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.28 │Реализованы ли в системах │ обязательный │ │ │ │ │ │ │ 0,0239 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания механизмы информирования │ │ │ │ │ │ │ │ │ │
│ │(регулярного, непрерывного или по │ │ │ │ │ │ │ │ │ │
│ │требованию) клиентов обо всех │ │ │ │ │ │ │ │ │ │
│ │операциях, совершаемых от их имени? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.29 │Применяются ли в организации защитные │ обязательный │ │ │ │ │ │ │ 0,0319 │ │
│ │меры, направленные на обеспечение │ │ │ │ │ │ │ │ │ │
│ │защиты от НСД и НРД, повреждения или │ │ │ │ │ │ │ │ │ │
│ │нарушения целостности информации, │ │ │ │ │ │ │ │ │ │
│ │необходимой для регистрации, │ │ │ │ │ │ │ │ │ │
│ │идентификации, аутентификации и (или) │ │ │ │ │ │ │ │ │ │
│ │авторизации клиентов и работников │ │ │ │ │ │ │ │ │ │
│ │организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.30 │Регистрируются ли все попытки НСД и │ обязательный │ │ │ │ │ │ │ 0,0326 │ │
│ │НРД к информации, необходимой для │ │ │ │ │ │ │ │ │ │
│ │идентификации, аутентификации и (или) │ │ │ │ │ │ │ │ │ │
│ │авторизации клиентов и сотрудников │ │ │ │ │ │ │ │ │ │
│ │организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.31 │Определена ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0316 │ │
│ │и выполняется ли процедура пересмотра │ │ │ │ │ │ │ │ │ │
│ │прав доступа при увольнении или │ │ │ │ │ │ │ │ │ │
│ │изменении должностных обязанностей │ │ │ │ │ │ │ │ │ │
│ │работников организации, имевших доступ│ │ │ │ │ │ │ │ │ │
│ │к информации, необходимой для │ │ │ │ │ │ │ │ │ │
│ │идентификации, аутентификации и (или) │ │ │ │ │ │ │ │ │ │
│ │авторизации клиентов и сотрудников │ │ │ │ │ │ │ │ │ │
│ │организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼────────────┼────────────┤
│ M3.32 │Осуществляется ли работа всех │ обязательный │ │ │ │ │ │ │ 0,0349 │ │
│ │пользователей АБС под уникальными │ │ │ │ │ │ │ │ │ │
│ │учетными записями? │ │ │ │ │ │ │ │ │ │
├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴────────────┼────────────┤
│Итоговая оценка группового показателя M3 │ │
└───────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей