Групповой показатель M3 "Обеспечение информационной безопасности при управлении доступом и регистрации"

┌───────────┬──────────────────────────────┬───────────────────────────────┬───────────────┬─────────────┐

│Обозначение│ Частный показатель ИБ │ Оценка частного показателя ИБ │ Коэффициент │ Вычисленное │

│ частного │ ├───┬─────┬─────┬─────┬────┬────┤ значимости │ значение │

│показателя │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │н/о │ частного │показателя ИБ│

│ ИБ │ │ │ │ │ │ │ │ показателя ИБ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M3.1 │Соблюдаются ли при │ │ │ │ │ │ │ 0,069 │ │

│ │распределении прав доступа к │ │ │ │ │ │ │ │ │

│ │активам организации принципы: │ │ │ │ │ │ │ │ │

│ │- "знать своего клиента"; │ │ │ │ │ │ │ │ │

│ │- "знать своего служащего"; │ │ │ │ │ │ │ │ │

│ │- "необходимо знать"; │ │ │ │ │ │ │ │ │

│ │- "двойное управление"? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M3.2 │Применяются ли в составе АБС │ │ │ │ │ │ │ 0,133 │ │

│ │встроенные механизмы защиты │ │ │ │ │ │ │ │ │

│ │информации и/или │ │ │ │ │ │ │ │ │

│ │сертифицированные (или │ │ │ │ │ │ │ │ │

│ │разрешенные к применению) │ │ │ │ │ │ │ │ │

│ │средства защиты информации от │ │ │ │ │ │ │ │ │

│ │НСД? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M3.3 │Применяется ли парольная │ │ │ │ │ │ │ 0,133 │ │

│ │защита или другие средства │ │ │ │ │ │ │ │ │

│ │аутентификации для всех ЭВМ и │ │ │ │ │ │ │ │ │

│ │ЛВС, задействованных в │ │ │ │ │ │ │ │ │

│ │технологических процессах? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M3.4 │Проводится ли │ │ │ │ │ │ │ 0,133 │ │

│ │назначение/лишение полномочий │ │ │ │ │ │ │ │ │

│ │по доступу сотрудников к │ │ │ │ │ │ │ │ │

│ │ресурсам ЭВМ и/или ЛВС только │ │ │ │ │ │ │ │ │

│ │с санкции руководителя │ │ │ │ │ │ │ │ │

│ │функционального подразделения │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M3.5 │Выполняется ли контроль │ │ │ │ │ │ │ 0,133 │ │

│ │доступа пользователей к │ │ │ │ │ │ │ │ │

│ │ресурсам всех ЭВМ и/или ЛВС, │ │ │ │ │ │ │ │ │

│ │задействованных в │ │ │ │ │ │ │ │ │

│ │технологических процессах? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M3.6 │Формируются ли уникальные │ │ │ │ │ │ │ 0,133 │ │

│ │идентификаторы для всех │ │ │ │ │ │ │ │ │

│ │пользователей, задействованных│ │ │ │ │ │ │ │ │

│ │в технологических процессах? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M3.7 │Регистрируются ли действия │ │ │ │ │ │ │ 0,133 │ │

│ │сотрудников и пользователей, │ │ │ │ │ │ │ │ │

│ │влияющие на ИБ, в специальном │ │ │ │ │ │ │ │ │

│ │электронном журнале либо │ │ │ │ │ │ │ │ │

│ │регистрация обеспечивается │ │ │ │ │ │ │ │ │

│ │организационными и/или │ │ │ │ │ │ │ │ │

│ │административными мерами? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M3.8 │Предоставлен ли доступ к │ │ │ │ │ │ │ 0,133 │ │

│ │электронному журналу │ │ │ │ │ │ │ │ │

│ │регистрации действий │ │ │ │ │ │ │ │ │

│ │пользователей и сотрудников │ │ │ │ │ │ │ │ │

│ │только администратору ИБ и │ │ │ │ │ │ │ │ │

│ │отсутствует ли возможность │ │ │ │ │ │ │ │ │

│ │редактирования записей данного│ │ │ │ │ │ │ │ │

│ │электронного журнала? │ │ │ │ │ │ │ │ │

├───────────┴──────────────────────────────┴───┴─────┴─────┴─────┴────┴────┴───────────────┼─────────────┤

│ Итоговая оценка группового показателя M3 │ │

└──────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘