Групповой показатель М3 "Обеспечение информационной безопасности при управлении доступом и регистрации"
См. данную форму в MS-Excel.
Групповой показатель М3 "Обеспечение информационной
безопасности при управлении доступом и регистрации"
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов? |
|||||||||
|
Учтены ли и зафиксированы ли права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам? |
|||||||||
|
Применяются ли в составе АБС встроенные защитные меры от НСД и НРД? |
|||||||||
|
Применяются ли в составе АБС сертифицированные по требованиям безопасности информации средства защиты информации? |
|||||||||
|
Обеспечивается ли защитными мерами от НСД сокрытие вводимых субъектами доступа аутентификационных данных на устройствах отображения информации? |
|||||||||
|
Препятствует ли размещение устройств отображения информации АБС ее несанкционированному просмотру? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры идентификации, аутентификации, авторизации субъектов доступа, в том числе внешних субъектов доступа, которые не являются работниками организации БС РФ, и программных процессов (сервисов)? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры разграничения доступа к информационным активам на основе ролевого метода с определением для каждой роли полномочий по доступу к информационным активам? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры регистрации действий субъектов доступа с обеспечением контроля целостности и защиты данных регистрации? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры управления идентификационными данными, аутентификационными данными и средствами аутентификации? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры управления учетными записями субъектов доступа? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры выявления и блокирования неуспешных попыток доступа? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры блокирования сеанса доступа после установленного времени бездействия или по запросу субъекта доступа, требующего выполнения процедур повторной аутентификации и авторизации для продолжения работы? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры ограничения действий пользователей по изменению настроек их автоматизированных мест (использование ограничений на изменение BIOS)? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры управления составом разрешенных действий до выполнения идентификации и аутентификации? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры ограничения действий пользователей по изменению параметров настроек АБС и реализации контроля действий эксплуатационного персонала по изменению параметров настроек АБС? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры выявления и блокирования несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры использования технологий беспроводного доступа к информации в случае их применения и защиты внутренних беспроводных соединений? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры использования мобильных устройств для доступа к информации в случае их применения? |
|||||||||
|
Исключают ли процедуры управления доступом возможность "самосанкционирования"? |
|||||||||
|
Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции? |
|||||||||
|
Определены ли состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения? |
|||||||||
|
Обеспечено ли резервирование необходимого объема памяти для записи данных? |
|||||||||
|
Обеспечено ли реагирование на сбои при регистрации действий и операций, в том числе на аппаратные и программные ошибки, сбои в технических средствах сбора данных? |
|||||||||
|
Обеспечена ли генерация временных меток для регистрируемых действий и операций и синхронизация системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных? |
|||||||||
|
Реализовано ли в организации БС РФ ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ? |
|||||||||
|
Обеспечено ли хранение данных о действиях и операциях не менее трех лет (если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России)? |
|||||||||
|
Обеспечено ли хранение данных, полученных в результате выполнения банковского платежного технологического процесса, не менее пяти лет (если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России)? |
|||||||||
|
Используются ли для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях специализированные программные и (или) технические средства? |
|||||||||
|
Зафиксированы ли критерии выявления неправомерных или подозрительных действий и операций, используемые при проведении процедур мониторинга ИБ и анализа данных о действиях и операциях? |
|||||||||
|
Применяются ли процедуры мониторинга ИБ и анализа данных о действиях и операциях, использующие зафиксированные критерии выявления неправомерных или подозрительных действий и операций, на регулярной основе, например ежедневно, ко всем выполненным операциям (транзакциям)? |
|||||||||
|
Определено ли и контролируется ли в организации БС РФ выполнение требований: - к разделению сегментов вычислительных сетей, в том числе создаваемых с использованием технологии виртуализации; - к межсетевому экранированию; - к информационному взаимодействию между сегментами вычислительных сетей? |
|||||||||
|
Осуществляется ли разделение сегментов вычислительных сетей с целью обеспечения независимого выполнения банковских платежных технологических процессов организации БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн? |
|||||||||
|
Регламентированы ли и контролируются ли процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласование вносимых изменений со службой ИБ? |
|||||||||
|
Предоставлен ли работникам службы ИБ доступ к конфигурации сетевого оборудования без возможности внесения изменений? |
|||||||||
|
Определен ли, выполняется ли, регистрируется ли и контролируется ли порядок доступа к объектам среды информационных активов, в том числе в помещения, в которых размещаются объекты среды информационных активов? |
|||||||||
|
Обеспечивают ли используемые в организации БС РФ АБС, в том числе системы дистанционного банковского обслуживания, возможность регистрации: - операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов; - проводимых транзакций, имеющих финансовые последствия; - операций, связанных с назначением и распределением прав пользователей? |
|||||||||
|
Определен ли, выполняется ли и контролируется ли в организации БС РФ порядок использования съемных носителей информации? |
|||||||||
|
Реализованы ли в системах дистанционного банковского обслуживания, используемых в организации БС РФ, защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций? |
|||||||||
|
Придано ли протоколам операций, выполняемых посредством дистанционного банковского обслуживания, свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание? |
|||||||||
|
Производится ли при заключении договоров со сторонними организациями юридическое оформление договоренностей, определяющих необходимый уровень взаимодействия в случае выхода инцидента ИБ за рамки отдельной организации? |
|||||||||
|
Определены ли в организации БС РФ процедуры, определяющие действия работников и клиентов организации БС РФ в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев? |
|||||||||
|
Доведены ли до сведения работников и клиентов организации БС РФ процедуры, указанные в частном показателе М3.44? |
|||||||||
|
Предусматривают ли указанные в частном показателе М3.44 процедуры регистрацию работниками и клиентами всех своих действий и их результатов? |
|||||||||
|
Реализованы ли в системах дистанционного банковского обслуживания механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени? |
|||||||||
|
Применяются ли в организации БС РФ меры, направленные на обеспечение защиты от НСД, повреждения или нарушения целостности данных о действиях и операциях, а также меры по защите информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ? |
|||||||||
|
Регистрируются ли все попытки НСД к информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и сотрудников организации БС РФ? |
|||||||||
|
Предоставляется ли доступ к данным о действиях и операциях только с целью выполнения служебных обязанностей? |
|||||||||
|
Выполняются ли регламентированные процедуры соответствующего пересмотра прав доступа при увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к данным о действиях и операциях? |
|||||||||
|
Используются ли сетевые протоколы, обеспечивающие защиту сетевого соединения, контроль целостности сетевого взаимодействия и реализацию технологии двухсторонней аутентификации при осуществлении доступа на участке телекоммуникационных каналов и линий связи, в том числе беспроводных, не контролируемых организацией БС РФ? |
|||||||||
|
Осуществляется ли передача защищаемых данных по каналам связи, имеющим выход за пределы контролируемой организацией БС РФ зоны, только при условии обеспечения их защиты от раскрытия и модификации? |
|||||||||
|
Осуществляется ли работа всех работников организации БС РФ АБС под уникальными и персонифицированными учетными записями? |
|||||||||
|
Итоговая оценка группового показателя М3 |
|||||||||
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей