Групповой показатель М6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"

Обозначение частного показателя ИБ

Частный показатель ИБ

Обязательность выполнения

Категория проверки частного показателя

Оценка частного показателя ИБ

0

0,25

0,5

0,75

1

н/о

М6.1

Проводится ли применение СКЗИ в организации БС РФ в соответствии с моделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ?

обязательный

категория 1

М6.2

Имеют ли СКЗИ, применяемые для защиты персональных данных, класс не ниже КС2?

обязательный

категория 3

М6.3

Проводятся ли работы по обеспечению безопасности информации с помощью СКЗИ в соответствии с действующими законодательством, нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требованиями ФСБ России?

обязательный

категория 1

М6.4

Утверждена ли частная политика, касающаяся применения СКЗИ в организации БС РФ?

рекомендуемый

категория 2

М6.5

Допускают ли СКЗИ возможность встраивания в технологические процессы обработки электронных сообщений?

обязательный

категория 3

М6.6

Обеспечивают ли СКЗИ взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов?

обязательный

категория 3

М6.7

Обладают ли СКЗИ полным комплектом эксплуатационной документации, предоставляемым разработчиком, включающей описание ключевой системы, правил работы с ней и обоснование необходимого организационно-штатного обеспечения?

обязательный

категория 3

М6.8

Сертифицированы ли СКЗИ уполномоченным государственным органом или имеют ли СКЗИ разрешение ФСБ России?

обязательный

категория 3

М6.9

Осуществляется ли установка и ввод в эксплуатацию, а также эксплуатация СКЗИ в соответствии с эксплуатационной и технической документацией к этим средствам?

обязательный

категория 3

М6.10

Поддерживается ли непрерывность процессов протоколирования работы СКЗИ в соответствии с технической документацией на СКЗИ при применении СКЗИ?

обязательный

категория 3

М6.11

Поддерживается ли непрерывность процессов обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющую собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований?

обязательный

категория 3

М6.12

Обеспечивается ли ИБ процессов изготовления криптографических ключей СКЗИ комплексом технологических, организационных, технических и программных мер и средств защиты, предусмотренных технической документацией на СКЗИ?

обязательный

категория 3

М6.13

Реализованы ли процедуры мониторинга ИБ, регистрирующие все значимые события, состоявшиеся в процессе обмена криптографически защищенными данными, и всех инцидентов ИБ?

рекомендуемый

категория 1

М6.14

Определен ли руководством на основании указанных в разделе 7.7 СТО БР ИББС-1.0 документов порядок применения СКЗИ, включающий:

- порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;

- порядок эксплуатации;

- порядок восстановления работоспособности в аварийных случаях;

- порядок внесения изменений;

- порядок снятия с эксплуатации;

- порядок управления ключевой системой;

- порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей?

обязательный

категория 1

М6.15

Самостоятельно ли изготавливаются в организации БС РФ и (или) клиентом организации ключи СКЗИ?

рекомендуемый

категория 3

М6.16

Регулируются ли заключаемыми договорами отношения, возникающие между организациями и их клиентами?

обязательный

категория 2

Итоговая оценка группового показателя М6