Групповой показатель М6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"

┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐

│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │

│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │

│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │

│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.1 │Проводится ли применение СКЗИ в │ обязательный │ │ │ │ │ │ │ 0,0776 │ │

│ │АБС в соответствии с моделью │ │ │ │ │ │ │ │ │ │

│ │нарушителя, принятой в │ │ │ │ │ │ │ │ │ │

│ │организации, с целью защиты │ │ │ │ │ │ │ │ │ │

│ │информации при ее обработке, │ │ │ │ │ │ │ │ │ │

│ │хранении и передаче по каналам │ │ │ │ │ │ │ │ │ │

│ │связи? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.2 │Утверждена ли политика │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0694 │ │

│ │(концепция) применения СКЗИ в │ │////│/////│/////│/////│ │ │ │ │

│ │организации? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.3 │Допускают ли СКЗИ возможность │ обязательный │ │ │ │ │ │ │ 0,0691 │ │

│ │встраивания в технологическую │ │ │ │ │ │ │ │ │ │

│ │схему обработки электронных │ │ │ │ │ │ │ │ │ │

│ │сообщений? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.4 │Обеспечивают ли СКЗИ │ обязательный │ │ │ │ │ │ │ 0,0691 │ │

│ │взаимодействие с прикладным │ │ │ │ │ │ │ │ │ │

│ │программным обеспечением на │ │ │ │ │ │ │ │ │ │

│ │уровне обработки запросов на │ │ │ │ │ │ │ │ │ │

│ │криптографические преобразования │ │ │ │ │ │ │ │ │ │

│ │и выдачи результатов? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.5 │Поставляются ли СКЗИ │ обязательный │ │ │ │ │ │ │ 0,0919 │ │

│ │разработчиками с полным │ │ │ │ │ │ │ │ │ │

│ │комплектом эксплуатационной │ │ │ │ │ │ │ │ │ │

│ │документации, включающей описание │ │ │ │ │ │ │ │ │ │

│ │ключевой системы, правила работы │ │ │ │ │ │ │ │ │ │

│ │с ней и обоснование необходимого │ │ │ │ │ │ │ │ │ │

│ │организационно-штатного │ │ │ │ │ │ │ │ │ │

│ │обеспечения? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.6 │Выполняется ли как минимум одна │ обязательный │ │ │ │ │ │ │ 0,0936 │ │

│ │из трех альтернатив: │ │ │ │ │ │ │ │ │ │

│ │- сертифицированы ли СКЗИ │ │ │ │ │ │ │ │ │ │

│ │уполномоченным государственным │ │ │ │ │ │ │ │ │ │

│ │органом; │ │ │ │ │ │ │ │ │ │

│ │- реализованы ли СКЗИ на основе │ │ │ │ │ │ │ │ │ │

│ │рекомендованных уполномоченным │ │ │ │ │ │ │ │ │ │

│ │государственным органом │ │ │ │ │ │ │ │ │ │

│ │алгоритмов либо алгоритмов, │ │ │ │ │ │ │ │ │ │

│ │определенных условиями договора с │ │ │ │ │ │ │ │ │ │

│ │контрагентом (клиентом) │ │ │ │ │ │ │ │ │ │

│ │организации; │ │ │ │ │ │ │ │ │ │

│ │- соответствуют ли СКЗИ │ │ │ │ │ │ │ │ │ │

│ │стандартам организации, │ │ │ │ │ │ │ │ │ │

│ │взаимодействующей с проверяемой │ │ │ │ │ │ │ │ │ │

│ │организацией? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.7 │Поддерживается ли непрерывность │ обязательный │ │ │ │ │ │ │ 0,0755 │ │

│ │процессов протоколирования работы │ │ │ │ │ │ │ │ │ │

│ │СКЗИ при применении СКЗИ в АБС? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.8 │Поддерживается ли непрерывность │ обязательный │ │ │ │ │ │ │ 0,0755 │ │

│ │процессов обеспечения целостности │ │ │ │ │ │ │ │ │ │

│ │программного обеспечения для всех │ │ │ │ │ │ │ │ │ │

│ │звеньев АБС, взаимодействующих со │ │ │ │ │ │ │ │ │ │

│ │СКЗИ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.9 │Обеспечивается ли ИБ процессов │ обязательный │ │ │ │ │ │ │ 0,0847 │ │

│ │изготовления ключевых документов │ │ │ │ │ │ │ │ │ │

│ │СКЗИ комплексом технологических, │ │ │ │ │ │ │ │ │ │

│ │организационных, технических и │ │ │ │ │ │ │ │ │ │

│ │программных мер и средств защиты? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.10 │Реализованы ли процедуры │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0755 │ │

│ │мониторинга, предусматривающие │ │////│/////│/////│/////│ │ │ │ │

│ │регистрацию всех значимых │ │////│/////│/////│/////│ │ │ │ │

│ │событий, состоявшихся в процессе │ │////│/////│/////│/////│ │ │ │ │

│ │обмена электронными сообщениями, │ │////│/////│/////│/////│ │ │ │ │

│ │и всех инцидентов ИБ? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.11 │Определен ли руководством порядок │ обязательный │ │ │ │ │ │ │ 0,0745 │ │

│ │применения СКЗИ в АБС, │ │ │ │ │ │ │ │ │ │

│ │включающий: │ │ │ │ │ │ │ │ │ │

│ │- порядок ввода в действие, │ │ │ │ │ │ │ │ │ │

│ │включая процедуры встраивания │ │ │ │ │ │ │ │ │ │

│ │СКЗИ в АБС; │ │ │ │ │ │ │ │ │ │

│ │- порядок эксплуатации; │ │ │ │ │ │ │ │ │ │

│ │- порядок восстановления │ │ │ │ │ │ │ │ │ │

│ │работоспособности в аварийных │ │ │ │ │ │ │ │ │ │

│ │случаях; │ │ │ │ │ │ │ │ │ │

│ │- порядок внесения изменений; │ │ │ │ │ │ │ │ │ │

│ │- порядок снятия с эксплуатации; │ │ │ │ │ │ │ │ │ │

│ │- порядок управления ключевой │ │ │ │ │ │ │ │ │ │

│ │системой; │ │ │ │ │ │ │ │ │ │

│ │- порядок обращения с носителями │ │ │ │ │ │ │ │ │ │

│ │ключевой информации, включая │ │ │ │ │ │ │ │ │ │

│ │действия при смене и │ │ │ │ │ │ │ │ │ │

│ │компрометации ключей? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.12 │Самостоятельно ли изготавливаются │ обязательный │ │ │ │ │ │ │ 0,0663 │ │

│ │в организации и (или) физическим │ │ │ │ │ │ │ │ │ │

│ │лицом ключи ЭЦП и (или) иных СКЗИ?│ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М6.13 │Отражены ли в соответствующих │ обязательный │ │ │ │ │ │ │ 0,0773 │ │

│ │договорах правовые и │ │ │ │ │ │ │ │ │ │

│ │организационные последствия │ │ │ │ │ │ │ │ │ │

│ │изготовления ключей СКЗИ для │ │ │ │ │ │ │ │ │ │

│ │одной организации в другой │ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │ │

├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤

│Итоговая оценка группового показателя М6 │ │

└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘