Групповой показатель М3 "Обеспечение информационной безопасности при управлении доступом и регистрации"
См. данную форму в MS-Excel.
Групповой показатель М3 "Обеспечение информационной
безопасности при управлении доступом и регистрации"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐
│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │
│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │
│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │
│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.1 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0356 │ │
│ │организации перечень │ │ │ │ │ │ │ │ │ │
│ │информационных активов (их │ │ │ │ │ │ │ │ │ │
│ │типов)? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.2 │Зафиксированы ли документально │ обязательный │ │ │ │ │ │ │ 0,0360 │ │
│ │права доступа работников и │ │ │ │ │ │ │ │ │ │
│ │клиентов к информационным активам │ │ │ │ │ │ │ │ │ │
│ │организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.3 │Применяются ли в составе АБС │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ │встроенные защитные меры? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.4 │Применяются ли в составе АБС │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0334 │ │
│ │сертифицированные или разрешенные │ │////│/////│/////│/////│ │ │ │ │
│ │к применению руководством │ │////│/////│/////│/////│ │ │ │ │
│ │организации средства защиты │ │////│/////│/////│/////│ │ │ │ │
│ │информации от НСД и НРД и │ │////│/////│/////│/////│ │ │ │ │
│ │средства криптографической защиты │ │////│/////│/////│/////│ │ │ │ │
│ │информации? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.5 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0366 │ │
│ │организации, утверждены ли │ │ │ │ │ │ │ │ │ │
│ │руководством организации, │ │ │ │ │ │ │ │ │ │
│ │выполняются ли и контролируются │ │ │ │ │ │ │ │ │ │
│ │ли процедуры идентификации, │ │ │ │ │ │ │ │ │ │
│ │аутентификации и авторизации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.6 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ │контроля процедур, указанных в │ │ │ │ │ │ │ │ │ │
│ │частном показателе М3.5? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0360 │ │
│ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │
│ │контролируются ли процедуры │ │ │ │ │ │ │ │ │ │
│ │управления доступом? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.8 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0334 │ │
│ │контроля процедур, указанных в │ │ │ │ │ │ │ │ │ │
│ │частном показателе М3.7? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0340 │ │
│ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │
│ │контролируются ли процедуры │ │ │ │ │ │ │ │ │ │
│ │контроля целостности? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.10 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0319 │ │
│ │контроля процедур, указанных в │ │ │ │ │ │ │ │ │ │
│ │частном показателе М3.9? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0319 │ │
│ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │
│ │контролируются ли процедуры │ │ │ │ │ │ │ │ │ │
│ │регистрации событий и действий? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.12 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0286 │ │
│ │контроля процедур, указанных в │ │ │ │ │ │ │ │ │ │
│ │частном показателе М3.11? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.13 │Исключают ли процедуры управления │ обязательный │ │ │ │ │ │ │ 0,0308 │ │
│ │доступом возможность │ │ │ │ │ │ │ │ │ │
│ │"самосанкционирования"? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.14 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0331 │ │
│ │организации процедуры мониторинга │ │ │ │ │ │ │ │ │ │
│ │и анализа данных регистрации, │ │ │ │ │ │ │ │ │ │
│ │действий и операций, позволяющие │ │ │ │ │ │ │ │ │ │
│ │выявить неправомерные или │ │ │ │ │ │ │ │ │ │
│ │подозрительные операции и │ │ │ │ │ │ │ │ │ │
│ │транзакции? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.15 │Используются ли │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0255 │ │
│ │специализированные программные │ │////│/////│/////│/////│ │ │ │ │
│ │и (или) технические средства для │ │////│/////│/////│/////│ │ │ │ │
│ │проведения процедур мониторинга и │ │////│/////│/////│/////│ │ │ │ │
│ │анализа данных регистрации, │ │////│/////│/////│/////│ │ │ │ │
│ │действия и операций? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.16 │Используют ли процедуры │ обязательный │ │ │ │ │ │ │ 0,0266 │ │
│ │мониторинга и анализа │ │ │ │ │ │ │ │ │ │
│ │документально определенные │ │ │ │ │ │ │ │ │ │
│ │критерии выявления неправомерных │ │ │ │ │ │ │ │ │ │
│ │или подозрительных действий и │ │ │ │ │ │ │ │ │ │
│ │операций? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.17 │Применяются ли процедуры │ обязательный │ │ │ │ │ │ │ 0,0286 │ │
│ │мониторинга и анализа на │ │ │ │ │ │ │ │ │ │
│ │регулярной основе (например, │ │ │ │ │ │ │ │ │ │
│ │ежедневно) ко всем выполненным │ │ │ │ │ │ │ │ │ │
│ │операциям и транзакциям? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.18 │Регламентирован ли во внутренних │ обязательный │ │ │ │ │ │ │ 0,0292 │ │
│ │документах организации порядок │ │ │ │ │ │ │ │ │ │
│ │доступа работников организации в │ │ │ │ │ │ │ │ │ │
│ │помещения, в которых размещаются │ │ │ │ │ │ │ │ │ │
│ │объекты среды информационных │ │ │ │ │ │ │ │ │ │
│ │активов? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.19 │Контролируется ли выполнение │ обязательный │ │ │ │ │ │ │ 0,0297 │ │
│ │порядка доступа работников │ │ │ │ │ │ │ │ │ │
│ │организации в помещения, в │ │ │ │ │ │ │ │ │ │
│ │которых размещаются объекты среды │ │ │ │ │ │ │ │ │ │
│ │информационных активов? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.20 │Оформляются ли документально │ обязательный │ │ │ │ │ │ │ 0,0263 │ │
│ │результаты выполнения контроля │ │ │ │ │ │ │ │ │ │
│ │порядка доступа работников │ │ │ │ │ │ │ │ │ │
│ │организации в помещения, в │ │ │ │ │ │ │ │ │ │
│ │которых размещаются объекты среды │ │ │ │ │ │ │ │ │ │
│ │информационных активов? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.21 │Обеспечивают ли используемые в │ обязательный │ │ │ │ │ │ │ 0,0328 │ │
│ │организации АБС, в том числе │ │ │ │ │ │ │ │ │ │
│ │системы дистанционного │ │ │ │ │ │ │ │ │ │
│ │банковского обслуживания, │ │ │ │ │ │ │ │ │ │
│ │возможность регистрации: │ │ │ │ │ │ │ │ │ │
│ │- операций с данными о клиентских │ │ │ │ │ │ │ │ │ │
│ │счетах, включая операции │ │ │ │ │ │ │ │ │ │
│ │открытия, модификации и закрытия │ │ │ │ │ │ │ │ │ │
│ │клиентских счетов; │ │ │ │ │ │ │ │ │ │
│ │- проводимых транзакций, имеющих │ │ │ │ │ │ │ │ │ │
│ │финансовые последствия; │ │ │ │ │ │ │ │ │ │
│ │- операций, связанных с │ │ │ │ │ │ │ │ │ │
│ │назначением и распределением прав │ │ │ │ │ │ │ │ │ │
│ │пользователей? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.22 │Реализованы ли в системах │ обязательный │ │ │ │ │ │ │ 0,0344 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания, используемых в │ │ │ │ │ │ │ │ │ │
│ │организации, защитные меры, │ │ │ │ │ │ │ │ │ │
│ │обеспечивающие невозможность │ │ │ │ │ │ │ │ │ │
│ │отказа от авторства проводимых │ │ │ │ │ │ │ │ │ │
│ │клиентами операций и транзакций │ │ │ │ │ │ │ │ │ │
│ │(например, ЭЦП)? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.23 │Придано ли протоколам операций, │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0312 │ │
│ │выполняемых посредством │ │////│/////│/////│/////│ │ │ │ │
│ │дистанционного банковского │ │////│/////│/////│/////│ │ │ │ │
│ │обслуживания, свойство │ │////│/////│/////│/////│ │ │ │ │
│ │юридической значимости, например, │ │////│/////│/////│/////│ │ │ │ │
│ │путем внесения соответствующих │ │////│/////│/////│/////│ │ │ │ │
│ │положений в договоры на │ │////│/////│/////│/////│ │ │ │ │
│ │дистанционное банковское │ │////│/////│/////│/////│ │ │ │ │
│ │обслуживание? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.24 │Производится ли при заключении │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0274 │ │
│ │договоров со сторонними │ │////│/////│/////│/////│ │ │ │ │
│ │организациями юридическое │ │////│/////│/////│/////│ │ │ │ │
│ │оформление договоренностей, │ │////│/////│/////│/////│ │ │ │ │
│ │определяющих необходимый уровень │ │////│/////│/////│/////│ │ │ │ │
│ │взаимодействия в случае выхода │ │////│/////│/////│/////│ │ │ │ │
│ │инцидента ИБ за рамки отдельной │ │////│/////│/////│/////│ │ │ │ │
│ │организации? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.25 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0294 │ │
│ │организации процедуры, │ │ │ │ │ │ │ │ │ │
│ │определяющие действия работников │ │ │ │ │ │ │ │ │ │
│ │и клиентов организации в случае │ │ │ │ │ │ │ │ │ │
│ │компрометации информации, │ │ │ │ │ │ │ │ │ │
│ │необходимой для их идентификации, │ │ │ │ │ │ │ │ │ │
│ │аутентификации и (или) │ │ │ │ │ │ │ │ │ │
│ │авторизации, в том числе │ │ │ │ │ │ │ │ │ │
│ │произошедшей по их вине, включая │ │ │ │ │ │ │ │ │ │
│ │информацию о способах │ │ │ │ │ │ │ │ │ │
│ │распознавания таких случаев? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.26 │Доведены ли до сведения │ обязательный │ │ │ │ │ │ │ 0,0283 │ │
│ │работников и клиентов организации │ │ │ │ │ │ │ │ │ │
│ │процедуры, указанные в частном │ │ │ │ │ │ │ │ │ │
│ │показателе М3.25? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.27 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0254 │ │
│ │частном показателе М3.26 │ │ │ │ │ │ │ │ │ │
│ │процедуры документирование │ │ │ │ │ │ │ │ │ │
│ │работниками и клиентами своих │ │ │ │ │ │ │ │ │ │
│ │действий и их результатов? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.28 │Реализованы ли в системах │ обязательный │ │ │ │ │ │ │ 0,0239 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания механизмы │ │ │ │ │ │ │ │ │ │
│ │информирования (регулярного, │ │ │ │ │ │ │ │ │ │
│ │непрерывного или по требованию) │ │ │ │ │ │ │ │ │ │
│ │клиентов обо всех операциях, │ │ │ │ │ │ │ │ │ │
│ │совершаемых от их имени? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.29 │Применяются ли в организации │ обязательный │ │ │ │ │ │ │ 0,0319 │ │
│ │защитные меры, направленные на │ │ │ │ │ │ │ │ │ │
│ │обеспечение защиты от НСД и НРД, │ │ │ │ │ │ │ │ │ │
│ │повреждения или нарушения │ │ │ │ │ │ │ │ │ │
│ │целостности информации, │ │ │ │ │ │ │ │ │ │
│ │необходимой для регистрации, │ │ │ │ │ │ │ │ │ │
│ │идентификации, аутентификации │ │ │ │ │ │ │ │ │ │
│ │и (или) авторизации клиентов и │ │ │ │ │ │ │ │ │ │
│ │работников организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.30 │Регистрируются ли все попытки НСД │ обязательный │ │ │ │ │ │ │ 0,0326 │ │
│ │и НРД к информации, необходимой │ │ │ │ │ │ │ │ │ │
│ │для идентификации, аутентификации │ │ │ │ │ │ │ │ │ │
│ │и (или) авторизации клиентов и │ │ │ │ │ │ │ │ │ │
│ │сотрудников организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.31 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0316 │ │
│ │организации и выполняется ли │ │ │ │ │ │ │ │ │ │
│ │процедура пересмотра прав доступа │ │ │ │ │ │ │ │ │ │
│ │при увольнении или изменении │ │ │ │ │ │ │ │ │ │
│ │должностных обязанностей │ │ │ │ │ │ │ │ │ │
│ │работников организации, имевших │ │ │ │ │ │ │ │ │ │
│ │доступ к информации, необходимой │ │ │ │ │ │ │ │ │ │
│ │для идентификации, аутентификации │ │ │ │ │ │ │ │ │ │
│ │и (или) авторизации клиентов и │ │ │ │ │ │ │ │ │ │
│ │сотрудников организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М3.32 │Осуществляется ли работа всех │ обязательный │ │ │ │ │ │ │ 0,0349 │ │
│ │пользователей АБС под уникальными │ │ │ │ │ │ │ │ │ │
│ │учетными записями? │ │ │ │ │ │ │ │ │ │
├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤
│Итоговая оценка группового показателя М3 │ │
└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей