Групповой показатель M8 "Обеспечение информационной безопасности банковских информационных технологических процессов"

┌───────────┬──────────────────────────────┬───────────────────────────────┬───────────────┬─────────────┐

│Обозначение│ Частный показатель ИБ │ Оценка частного показателя ИБ │ Коэффициент │ Вычисленное │

│ частного │ ├───┬─────┬─────┬─────┬────┬────┤ значимости │ значение │

│показателя │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │н/о │ частного │показателя ИБ│

│ ИБ │ │ │ │ │ │ │ │ показателя ИБ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.1 │Определено ли руководством, │ │ │ │ │ │ │ 0,0848 │ │

│ │какая информация, не │ │ │ │ │ │ │ │ │

│ │являющаяся платежной, подлежит│ │ │ │ │ │ │ │ │

│ │защите, и классифицирована ли │ │ │ │ │ │ │ │ │

│ │данная информация? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.2 │Изолированы ли АБС, │ │ │ │ │ │ │ 0,0848 │ │

│ │обрабатывающие информацию, │ │ │ │ │ │ │ │ │

│ │относящуюся к сведениям, │ │ │ │ │ │ │ │ │

│ │составляющим государственную │ │ │ │ │ │ │ │ │

│ │тайну, и сведениям │ │ │ │ │ │ │ │ │

│ │ограниченного распространения,│ │ │ │ │ │ │ │ │

│ │полученным из федеральных │ │ │ │ │ │ │ │ │

│ │органов исполнительной власти │ │ │ │ │ │ │ │ │

│ │(если такие АБС имеются), от │ │ │ │ │ │ │ │ │

│ │прочих АБС организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.3 │Назначен ли в АБС │ │ │ │ │ │ │ 0,0848 │ │

│ │администратор ИБ, если в АБС │ │ │ │ │ │ │ │ │

│ │обрабатывается информация, │ │ │ │ │ │ │ │ │

│ │требующая по решению │ │ │ │ │ │ │ │ │

│ │руководства защиты? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.4 │Отсутствует ли совмещение в │ │ │ │ │ │ │ 0,0848 │ │

│ │одном лице функций │ │ │ │ │ │ │ │ │

│ │администратора АБС и │ │ │ │ │ │ │ │ │

│ │администратора ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.5 │Отсутствуют ли в роли │ │ │ │ │ │ │ 0,0848 │ │

│ │администратора ИБ правила, │ │ │ │ │ │ │ │ │

│ │пересекающиеся с правилами │ │ │ │ │ │ │ │ │

│ │роли администратора АБС? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.6 │Осуществляет ли администратор │ │ │ │ │ │ │ 0,0848 │ │

│ │ИБ контроль над действиями │ │ │ │ │ │ │ │ │

│ │администраторов АБС и │ │ │ │ │ │ │ │ │

│ │пользователей? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.7 │Назначаются ли права доступа к│ │ │ │ │ │ │ 0,0848 │ │

│ │информации подразделением, │ │ │ │ │ │ │ │ │

│ │ответственным за эту │ │ │ │ │ │ │ │ │

│ │информацию (владельцем │ │ │ │ │ │ │ │ │

│ │информационного актива)? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.8 │Определен ли порядок контроля │ │ │ │ │ │ │ 0,0848 │ │

│ │функционирования каждой АБС │ │ │ │ │ │ │ │ │

│ │лицами, отвечающими за ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.9 │Регламентированы ли и │ │ │ │ │ │ │ 0,0848 │ │

│ │согласованы ли со службой ИБ │ │ │ │ │ │ │ │ │

│ │процессы подготовки, ввода, │ │ │ │ │ │ │ │ │

│ │обработки и хранения │ │ │ │ │ │ │ │ │

│ │информации, а также порядок │ │ │ │ │ │ │ │ │

│ │установки, настройки, │ │ │ │ │ │ │ │ │

│ │эксплуатации и восстановления │ │ │ │ │ │ │ │ │

│ │технических и программных │ │ │ │ │ │ │ │ │

│ │средств? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.10 │Регламентировано ли и │ │ │ │ │ │ │ 0,076 │ │

│ │согласовано ли со службой ИБ │ │ │ │ │ │ │ │ │

│ │тестирование всех функций по │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ, реализованных │ │ │ │ │ │ │ │ │

│ │программно-техническими │ │ │ │ │ │ │ │ │

│ │средствами? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.11 │Проводится ли периодическое │ │ │ │ │ │ │ 0,076 │ │

│ │тестирование всех │ │ │ │ │ │ │ │ │

│ │реализованных программно- │ │ │ │ │ │ │ │ │

│ │техническими средствами │ │ │ │ │ │ │ │ │

│ │функций по обеспечению ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M8.12 │Регламентирована ли в │ │ │ │ │ │ │ 0,0848 │ │

│ │организации процедура │ │ │ │ │ │ │ │ │

│ │восстановления всех │ │ │ │ │ │ │ │ │

│ │реализованных программно- │ │ │ │ │ │ │ │ │

│ │техническими средствами │ │ │ │ │ │ │ │ │

│ │функций по обеспечению ИБ? │ │ │ │ │ │ │ │ │

├───────────┴──────────────────────────────┴───┴─────┴─────┴─────┴────┴────┴───────────────┼─────────────┤

│ Итоговая оценка группового показателя M8 │ │

└──────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘