Групповой показатель М5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"
См. данную форму в MS-Excel.
Групповой показатель М5 "Обеспечение информационной
безопасности при использовании ресурсов сети Интернет"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐
│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │
│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │
│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │
│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.1 │Принято ли документально │ обязательный │ │ │ │ │ │ │ 0,0586 │ │
│ │руководством организации решение │ │ │ │ │ │ │ │ │ │
│ │об использовании сети Интернет │ │ │ │ │ │ │ │ │ │
│ │для производственной и (или) │ │ │ │ │ │ │ │ │ │
│ │собственной хозяйственной │ │ │ │ │ │ │ │ │ │
│ │деятельности, в котором явно │ │ │ │ │ │ │ │ │ │
│ │перечислены цели использования │ │ │ │ │ │ │ │ │ │
│ │сети Интернет? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.2 │Запрещается ли использование │ обязательный │ │ │ │ │ │ │ 0,0512 │ │
│ │ресурсов сети Интернет в │ │ │ │ │ │ │ │ │ │
│ │неустановленных целях? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.3 │Проведено ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0398 │ │
│ │выделение ограниченного числа │ │////│/////│/////│/////│ │ │ │ │
│ │пакетов, содержащих перечень │ │////│/////│/////│/////│ │ │ │ │
│ │сервисов и ресурсов сети │ │////│/////│/////│/////│ │ │ │ │
│ │Интернет, доступных для │ │////│/////│/////│/////│ │ │ │ │
│ │пользователей? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.4 │Проводится ли наделение │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0355 │ │
│ │работников организации правами │ │////│/////│/////│/////│ │ │ │ │
│ │пользователя конкретного пакета в │ │////│/////│/////│/////│ │ │ │ │
│ │соответствии с его должностными │ │////│/////│/////│/////│ │ │ │ │
│ │обязанностями, в частности, в │ │////│/////│/////│/////│ │ │ │ │
│ │соответствии с назначенными ему │ │////│/////│/////│/////│ │ │ │ │
│ │ролями? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.5 │Оформляется ли документально │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0398 │ │
│ │наделение работников организации │ │////│/////│/////│/////│ │ │ │ │
│ │правами пользователя конкретного │ │////│/////│/////│/////│ │ │ │ │
│ │пакета? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.6 │Определен ли документально в │ обязательный │ │ │ │ │ │ │ 0,0583 │ │
│ │организации порядок подключения и │ │ │ │ │ │ │ │ │ │
│ │использования ресурсов сети │ │ │ │ │ │ │ │ │ │
│ │Интернет, включающий в том числе │ │ │ │ │ │ │ │ │ │
│ │положение о контроле со стороны │ │ │ │ │ │ │ │ │ │
│ │подразделения (лиц) в │ │ │ │ │ │ │ │ │ │
│ │организации, ответственных за │ │ │ │ │ │ │ │ │ │
│ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.7 │Применяются ли при осуществлении │ обязательный │ │ │ │ │ │ │ 0,0518 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания с использованием │ │ │ │ │ │ │ │ │ │
│ │сети Интернет средства защиты │ │ │ │ │ │ │ │ │ │
│ │информации (межсетевые экраны, │ │ │ │ │ │ │ │ │ │
│ │антивирусные средства, средства │ │ │ │ │ │ │ │ │ │
│ │криптографической защиты │ │ │ │ │ │ │ │ │ │
│ │информации), которые обеспечивают │ │ │ │ │ │ │ │ │ │
│ │прием и передачу информации │ │ │ │ │ │ │ │ │ │
│ │только в установленном формате и │ │ │ │ │ │ │ │ │ │
│ │только по конкретной технологии? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.8 │Выполнено ли выделение и │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0292 │ │
│ │организована ли физическая │ │////│/////│/////│/////│ │ │ │ │
│ │изоляция от внутренних сетей тех │ │////│/////│/////│/////│ │ │ │ │
│ │ЭВМ, с помощью которых │ │////│/////│/////│/////│ │ │ │ │
│ │осуществляется взаимодействие с │ │////│/////│/////│/////│ │ │ │ │
│ │сетью Интернет в режиме on-line? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.9 │Применяются ли при осуществлении │ обязательный │ │ │ │ │ │ │ 0,0479 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания защитные меры, │ │ │ │ │ │ │ │ │ │
│ │предотвращающие возможность │ │ │ │ │ │ │ │ │ │
│ │подмены авторизованного клиента │ │ │ │ │ │ │ │ │ │
│ │злоумышленником в рамках сеанса │ │ │ │ │ │ │ │ │ │
│ │работы? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.10 │Регистрируются ли │ обязательный │ │ │ │ │ │ │ 0,0440 │ │
│ │регламентированным образом │ │ │ │ │ │ │ │ │ │
│ │попытки подмены авторизованного │ │ │ │ │ │ │ │ │ │
│ │клиента злоумышленником в рамках │ │ │ │ │ │ │ │ │ │
│ │сеанса работы? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.11 │Все ли операции клиентов в │ обязательный │ │ │ │ │ │ │ 0,0581 │ │
│ │течение сеанса работы с системами │ │ │ │ │ │ │ │ │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания выполняются только │ │ │ │ │ │ │ │ │ │
│ │после проведения процедур │ │ │ │ │ │ │ │ │ │
│ │идентификации, аутентификации и │ │ │ │ │ │ │ │ │ │
│ │авторизации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.12 │Обеспечивается ли повторное │ обязательный │ │ │ │ │ │ │ 0,0415 │ │
│ │выполнение процедур │ │ │ │ │ │ │ │ │ │
│ │идентификации, аутентификации и │ │ │ │ │ │ │ │ │ │
│ │авторизации в случаях нарушения │ │ │ │ │ │ │ │ │ │
│ │или разрыва соединения при работе │ │ │ │ │ │ │ │ │ │
│ │с системами дистанционного │ │ │ │ │ │ │ │ │ │
│ │банковского обслуживания? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.13 │Используется ли │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0331 │ │
│ │специализированное клиентское │ │////│/////│/////│/////│ │ │ │ │
│ │программное обеспечение для │ │////│/////│/////│/////│ │ │ │ │
│ │доступа пользователей к системам │ │////│/////│/////│/////│ │ │ │ │
│ │дистанционного банковского │ │////│/////│/////│/////│ │ │ │ │
│ │обслуживания? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.14 │Применяются ли защитные меры для │ обязательный │ │ │ │ │ │ │ 0,0450 │ │
│ │осуществления почтового обмена │ │ │ │ │ │ │ │ │ │
│ │через сеть Интернет? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.15 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0491 │ │
│ │организации перечень защитных мер │ │ │ │ │ │ │ │ │ │
│ │и порядок их использования для │ │ │ │ │ │ │ │ │ │
│ │осуществления почтового обмена │ │ │ │ │ │ │ │ │ │
│ │через сеть Интернет? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.16 │Организован ли почтовый обмен с │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0331 │ │
│ │сетью Интернет через ограниченное │ │////│/////│/////│/////│ │ │ │ │
│ │количество точек, состоящих из │ │////│/////│/////│/////│ │ │ │ │
│ │внешнего (подключенного к сети │ │////│/////│/////│/////│ │ │ │ │
│ │Интернет) и внутреннего │ │////│/////│/////│/////│ │ │ │ │
│ │(подключенного к внутренним сетям │ │////│/////│/////│/////│ │ │ │ │
│ │организации) почтовых серверов с │ │////│/////│/////│/////│ │ │ │ │
│ │безопасной системой репликации │ │////│/////│/////│/////│ │ │ │ │
│ │почтовых сообщений между ними │ │////│/////│/////│/////│ │ │ │ │
│ │(интернет-киоски)? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.17 │Осуществляется ли архивирование │ обязательный │ │ │ │ │ │ │ 0,0368 │ │
│ │электронной почты? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.18 │Доступен ли архив электронной │ обязательный │ │ │ │ │ │ │ 0,0368 │ │
│ │почты подразделению (лицу), │ │ │ │ │ │ │ │ │ │
│ │ответственному за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.19 │Не допускаются ли изменения в │ обязательный │ │ │ │ │ │ │ 0,0390 │ │
│ │архиве электронной почты? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.20 │Определен ли документально │ обязательный │ │ │ │ │ │ │ 0,0433 │ │
│ │порядок доступа к информации │ │ │ │ │ │ │ │ │ │
│ │архива электронной почты? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.21 │Не применяется ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0436 │ │
│ │практика хранения и обработки │ │////│/////│/////│/////│ │ │ │ │
│ │банковской информации (в т.ч. │ │////│/////│/////│/////│ │ │ │ │
│ │открытой) на ЭВМ, с помощью │ │////│/////│/////│/////│ │ │ │ │
│ │которой осуществляется │ │////│/////│/////│/////│ │ │ │ │
│ │взаимодействие с сетью Интернет в │ │////│/////│/////│/////│ │ │ │ │
│ │режиме on-line? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.22 │Всегда ли наличие банковской │ обязательный │ │ │ │ │ │ │ 0,0430 │ │
│ │информации на ЭВМ, с помощью │ │ │ │ │ │ │ │ │ │
│ │которых осуществляется │ │ │ │ │ │ │ │ │ │
│ │взаимодействие с сетью Интернет в │ │ │ │ │ │ │ │ │ │
│ │режиме on-line, определяется │ │ │ │ │ │ │ │ │ │
│ │бизнес-целями организации и │ │ │ │ │ │ │ │ │ │
│ │документально санкционируется ее │ │ │ │ │ │ │ │ │ │
│ │руководством? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М5.23 │Определены ли документально и │ обязательный │ │ │ │ │ │ │ 0,0415 │ │
│ │используются ли защитные меры, │ │ │ │ │ │ │ │ │ │
│ │позволяющие обеспечить │ │ │ │ │ │ │ │ │ │
│ │противодействие атакам хакеров и │ │ │ │ │ │ │ │ │ │
│ │распространению спама? │ │ │ │ │ │ │ │ │ │
├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤
│Итоговая оценка группового показателя М5 │ │
└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей