Главная
Документы
Групповой показатель М5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"

Документ утратил силу или отменен. Подробнее см. Справку

"Стандарт Банка России "Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008" СТО БР ИББС-1.2-2009" (принят и введен в действие Распоряжением Банка России от...

Групповой показатель М5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"

См. данную форму в MS-Excel.

Групповой показатель М5 "Обеспечение информационной

безопасности при использовании ресурсов сети Интернет"

┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐

│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │

│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │

│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │

│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М5.1 │Принято ли документально │ обязательный │ │ │ │ │ │ │ 0,0586 │ │

│ │руководством организации решение │ │ │ │ │ │ │ │ │ │

│ │об использовании сети Интернет │ │ │ │ │ │ │ │ │ │

│ │для производственной и (или) │ │ │ │ │ │ │ │ │ │

│ │собственной хозяйственной │ │ │ │ │ │ │ │ │ │

│ │деятельности, в котором явно │ │ │ │ │ │ │ │ │ │

│ │перечислены цели использования │ │ │ │ │ │ │ │ │ │

│ │сети Интернет? │ │ │ │ │ │ │ │ │ │

│ М5.2 │Запрещается ли использование │ обязательный │ │ │ │ │ │ │ 0,0512 │ │

│ │ресурсов сети Интернет в │ │ │ │ │ │ │ │ │ │

│ │неустановленных целях? │ │ │ │ │ │ │ │ │ │

│ М5.3 │Проведено ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0398 │ │

│ │выделение ограниченного числа │ │////│/////│/////│/////│ │ │ │ │

│ │пакетов, содержащих перечень │ │////│/////│/////│/////│ │ │ │ │

│ │сервисов и ресурсов сети │ │////│/////│/////│/////│ │ │ │ │

│ │Интернет, доступных для │ │////│/////│/////│/////│ │ │ │ │

│ │пользователей? │ │////│/////│/////│/////│ │ │ │ │

│ М5.4 │Проводится ли наделение │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0355 │ │

│ │работников организации правами │ │////│/////│/////│/////│ │ │ │ │

│ │пользователя конкретного пакета в │ │////│/////│/////│/////│ │ │ │ │

│ │соответствии с его должностными │ │////│/////│/////│/////│ │ │ │ │

│ │обязанностями, в частности, в │ │////│/////│/////│/////│ │ │ │ │

│ │соответствии с назначенными ему │ │////│/////│/////│/////│ │ │ │ │

│ │ролями? │ │////│/////│/////│/////│ │ │ │ │

│ М5.5 │Оформляется ли документально │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0398 │ │

│ │наделение работников организации │ │////│/////│/////│/////│ │ │ │ │

│ │правами пользователя конкретного │ │////│/////│/////│/////│ │ │ │ │

│ │пакета? │ │////│/////│/////│/////│ │ │ │ │

│ М5.6 │Определен ли документально в │ обязательный │ │ │ │ │ │ │ 0,0583 │ │

│ │организации порядок подключения и │ │ │ │ │ │ │ │ │ │

│ │использования ресурсов сети │ │ │ │ │ │ │ │ │ │

│ │Интернет, включающий в том числе │ │ │ │ │ │ │ │ │ │

│ │положение о контроле со стороны │ │ │ │ │ │ │ │ │ │

│ │подразделения (лиц) в │ │ │ │ │ │ │ │ │ │

│ │организации, ответственных за │ │ │ │ │ │ │ │ │ │

│ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │

│ М5.7 │Применяются ли при осуществлении │ обязательный │ │ │ │ │ │ │ 0,0518 │ │

│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │

│ │обслуживания с использованием │ │ │ │ │ │ │ │ │ │

│ │сети Интернет средства защиты │ │ │ │ │ │ │ │ │ │

│ │информации (межсетевые экраны, │ │ │ │ │ │ │ │ │ │

│ │антивирусные средства, средства │ │ │ │ │ │ │ │ │ │

│ │криптографической защиты │ │ │ │ │ │ │ │ │ │

│ │информации), которые обеспечивают │ │ │ │ │ │ │ │ │ │

│ │прием и передачу информации │ │ │ │ │ │ │ │ │ │

│ │только в установленном формате и │ │ │ │ │ │ │ │ │ │

│ │только по конкретной технологии? │ │ │ │ │ │ │ │ │ │

│ М5.8 │Выполнено ли выделение и │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0292 │ │

│ │организована ли физическая │ │////│/////│/////│/////│ │ │ │ │

│ │изоляция от внутренних сетей тех │ │////│/////│/////│/////│ │ │ │ │

│ │ЭВМ, с помощью которых │ │////│/////│/////│/////│ │ │ │ │

│ │осуществляется взаимодействие с │ │////│/////│/////│/////│ │ │ │ │

│ │сетью Интернет в режиме on-line? │ │////│/////│/////│/////│ │ │ │ │

│ М5.9 │Применяются ли при осуществлении │ обязательный │ │ │ │ │ │ │ 0,0479 │ │

│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │

│ │обслуживания защитные меры, │ │ │ │ │ │ │ │ │ │

│ │предотвращающие возможность │ │ │ │ │ │ │ │ │ │

│ │подмены авторизованного клиента │ │ │ │ │ │ │ │ │ │

│ │злоумышленником в рамках сеанса │ │ │ │ │ │ │ │ │ │

│ │работы? │ │ │ │ │ │ │ │ │ │

│ М5.10 │Регистрируются ли │ обязательный │ │ │ │ │ │ │ 0,0440 │ │

│ │регламентированным образом │ │ │ │ │ │ │ │ │ │

│ │попытки подмены авторизованного │ │ │ │ │ │ │ │ │ │

│ │клиента злоумышленником в рамках │ │ │ │ │ │ │ │ │ │

│ │сеанса работы? │ │ │ │ │ │ │ │ │ │

│ М5.11 │Все ли операции клиентов в │ обязательный │ │ │ │ │ │ │ 0,0581 │ │

│ │течение сеанса работы с системами │ │ │ │ │ │ │ │ │ │

│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │

│ │обслуживания выполняются только │ │ │ │ │ │ │ │ │ │

│ │после проведения процедур │ │ │ │ │ │ │ │ │ │

│ │идентификации, аутентификации и │ │ │ │ │ │ │ │ │ │

│ │авторизации? │ │ │ │ │ │ │ │ │ │

│ М5.12 │Обеспечивается ли повторное │ обязательный │ │ │ │ │ │ │ 0,0415 │ │

│ │выполнение процедур │ │ │ │ │ │ │ │ │ │

│ │идентификации, аутентификации и │ │ │ │ │ │ │ │ │ │

│ │авторизации в случаях нарушения │ │ │ │ │ │ │ │ │ │

│ │или разрыва соединения при работе │ │ │ │ │ │ │ │ │ │

│ │с системами дистанционного │ │ │ │ │ │ │ │ │ │

│ │банковского обслуживания? │ │ │ │ │ │ │ │ │ │

│ М5.13 │Используется ли │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0331 │ │

│ │специализированное клиентское │ │////│/////│/////│/////│ │ │ │ │

│ │программное обеспечение для │ │////│/////│/////│/////│ │ │ │ │

│ │доступа пользователей к системам │ │////│/////│/////│/////│ │ │ │ │

│ │дистанционного банковского │ │////│/////│/////│/////│ │ │ │ │

│ │обслуживания? │ │////│/////│/////│/////│ │ │ │ │

│ М5.14 │Применяются ли защитные меры для │ обязательный │ │ │ │ │ │ │ 0,0450 │ │

│ │осуществления почтового обмена │ │ │ │ │ │ │ │ │ │

│ │через сеть Интернет? │ │ │ │ │ │ │ │ │ │

│ М5.15 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0491 │ │

│ │организации перечень защитных мер │ │ │ │ │ │ │ │ │ │

│ │и порядок их использования для │ │ │ │ │ │ │ │ │ │

│ │осуществления почтового обмена │ │ │ │ │ │ │ │ │ │

│ │через сеть Интернет? │ │ │ │ │ │ │ │ │ │

│ М5.16 │Организован ли почтовый обмен с │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0331 │ │

│ │сетью Интернет через ограниченное │ │////│/////│/////│/////│ │ │ │ │

│ │количество точек, состоящих из │ │////│/////│/////│/////│ │ │ │ │

│ │внешнего (подключенного к сети │ │////│/////│/////│/////│ │ │ │ │

│ │Интернет) и внутреннего │ │////│/////│/////│/////│ │ │ │ │

│ │(подключенного к внутренним сетям │ │////│/////│/////│/////│ │ │ │ │

│ │организации) почтовых серверов с │ │////│/////│/////│/////│ │ │ │ │

│ │безопасной системой репликации │ │////│/////│/////│/////│ │ │ │ │

│ │почтовых сообщений между ними │ │////│/////│/////│/////│ │ │ │ │

│ │(интернет-киоски)? │ │////│/////│/////│/////│ │ │ │ │

│ М5.17 │Осуществляется ли архивирование │ обязательный │ │ │ │ │ │ │ 0,0368 │ │

│ │электронной почты? │ │ │ │ │ │ │ │ │ │

│ М5.18 │Доступен ли архив электронной │ обязательный │ │ │ │ │ │ │ 0,0368 │ │

│ │почты подразделению (лицу), │ │ │ │ │ │ │ │ │ │

│ │ответственному за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │

│ М5.19 │Не допускаются ли изменения в │ обязательный │ │ │ │ │ │ │ 0,0390 │ │

│ │архиве электронной почты? │ │ │ │ │ │ │ │ │ │

│ М5.20 │Определен ли документально │ обязательный │ │ │ │ │ │ │ 0,0433 │ │

│ │порядок доступа к информации │ │ │ │ │ │ │ │ │ │

│ │архива электронной почты? │ │ │ │ │ │ │ │ │ │

│ М5.21 │Не применяется ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0436 │ │

│ │практика хранения и обработки │ │////│/////│/////│/////│ │ │ │ │

│ │банковской информации (в т.ч. │ │////│/////│/////│/////│ │ │ │ │

│ │открытой) на ЭВМ, с помощью │ │////│/////│/////│/////│ │ │ │ │

│ │которой осуществляется │ │////│/////│/////│/////│ │ │ │ │

│ │взаимодействие с сетью Интернет в │ │////│/////│/////│/////│ │ │ │ │

│ │режиме on-line? │ │////│/////│/////│/////│ │ │ │ │

│ М5.22 │Всегда ли наличие банковской │ обязательный │ │ │ │ │ │ │ 0,0430 │ │

│ │информации на ЭВМ, с помощью │ │ │ │ │ │ │ │ │ │

│ │которых осуществляется │ │ │ │ │ │ │ │ │ │

│ │взаимодействие с сетью Интернет в │ │ │ │ │ │ │ │ │ │

│ │режиме on-line, определяется │ │ │ │ │ │ │ │ │ │

│ │бизнес-целями организации и │ │ │ │ │ │ │ │ │ │

│ │документально санкционируется ее │ │ │ │ │ │ │ │ │ │

│ │руководством? │ │ │ │ │ │ │ │ │ │

│ М5.23 │Определены ли документально и │ обязательный │ │ │ │ │ │ │ 0,0415 │ │

│ │используются ли защитные меры, │ │ │ │ │ │ │ │ │ │

│ │позволяющие обеспечить │ │ │ │ │ │ │ │ │ │

│ │противодействие атакам хакеров и │ │ │ │ │ │ │ │ │ │

│ │распространению спама? │ │ │ │ │ │ │ │ │ │

├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤

│Итоговая оценка группового показателя М5 │ │

└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘

Групповой показатель М4 "Обеспечение информационной безопасности средствами антивирусной защиты" Групповой показатель М6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"