Групповой показатель М2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"
См. данную форму в MS-Excel.
Групповой показатель М2 "Обеспечение информационной
безопасности автоматизированных банковских систем
на стадиях жизненного цикла"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐
│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │
│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │
│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │
│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.1 │Рассматриваются ли при │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0504 │ │
│ │формировании требований ИБ │ │////│/////│/////│/////│ │ │ │ │
│ │следующие стадии модели ЖЦ АБС: │ │////│/////│/////│/////│ │ │ │ │
│ │- разработка технических заданий; │ │////│/////│/////│/////│ │ │ │ │
│ │- проектирование; │ │////│/////│/////│/////│ │ │ │ │
│ │- создание и тестирование; │ │////│/////│/////│/////│ │ │ │ │
│ │- приемка и ввод в действие; │ │////│/////│/////│/////│ │ │ │ │
│ │- эксплуатация; │ │////│/////│/////│/////│ │ │ │ │
│ │- сопровождение и модернизации; │ │////│/////│/////│/////│ │ │ │ │
│ │- снятие с эксплуатации? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.2 │Осуществляются ли разработка │ обязательный │ │ │ │ │ │ │ 0,0616 │ │
│ │технических заданий и приемка АБС │ │ │ │ │ │ │ │ │ │
│ │по согласованию и при участии │ │ │ │ │ │ │ │ │ │
│ │подразделения (лиц) в │ │ │ │ │ │ │ │ │ │
│ │организации, ответственных за │ │ │ │ │ │ │ │ │ │
│ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.3 │Осуществляются ли ввод в │ обязательный │ │ │ │ │ │ │ 0,0591 │ │
│ │действие, эксплуатация и │ │ │ │ │ │ │ │ │ │
│ │сопровождение (модернизация), │ │ │ │ │ │ │ │ │ │
│ │снятие с эксплуатации АБС под │ │ │ │ │ │ │ │ │ │
│ │контролем подразделений (лиц) в │ │ │ │ │ │ │ │ │ │
│ │организации, ответственных за │ │ │ │ │ │ │ │ │ │
│ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.4 │Имеют ли соответствующие лицензии │ обязательный │ │ │ │ │ │ │ 0,0563 │ │
│ │организации, которые привлекаются │ │ │ │ │ │ │ │ │ │
│ │на договорной основе для │ │ │ │ │ │ │ │ │ │
│ │разработки и (или) производства │ │ │ │ │ │ │ │ │ │
│ │средств и систем защиты АБС? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.5 │Снабжены ли разрабатываемые АБС │ обязательный │ │ │ │ │ │ │ 0,0646 │ │
│ │и (или) их компоненты │ │ │ │ │ │ │ │ │ │
│ │документацией, содержащей │ │ │ │ │ │ │ │ │ │
│ │описание реализованных защитных │ │ │ │ │ │ │ │ │ │
│ │мер, в том числе в отношении │ │ │ │ │ │ │ │ │ │
│ │угроз ИБ (источников угроз), │ │ │ │ │ │ │ │ │ │
│ │описанных в модели угроз │ │ │ │ │ │ │ │ │ │
│ │организации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.6 │Снабжены ли приобретаемые │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0604 │ │
│ │организацией АБС и (или) их │ │////│/////│/////│/////│ │ │ │ │
│ │компоненты документацией, │ │////│/////│/////│/////│ │ │ │ │
│ │содержащей описание реализованных │ │////│/////│/////│/////│ │ │ │ │
│ │защитных мер, в том числе в │ │////│/////│/////│/////│ │ │ │ │
│ │отношении угроз ИБ (источников │ │////│/////│/////│/////│ │ │ │ │
│ │угроз), описанных в модели угроз │ │////│/////│/////│/////│ │ │ │ │
│ │организации? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.7 │Содержит ли документация на │ обязательный │ │ │ │ │ │ │ 0,0450 │ │
│ │разрабатываемые АБС или │ │ │ │ │ │ │ │ │ │
│ │приобретаемые готовые АБС и их │ │ │ │ │ │ │ │ │ │
│ │компоненты описание реализованных │ │ │ │ │ │ │ │ │ │
│ │защитных мер, предпринятых │ │ │ │ │ │ │ │ │ │
│ │разработчиком относительно │ │ │ │ │ │ │ │ │ │
│ │безопасности разработки и │ │ │ │ │ │ │ │ │ │
│ │безопасности поставки? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.8 │Реализуется ли при взаимодействии │ обязательный │ │ │ │ │ │ │ 0,0604 │ │
│ │организации с разработчиком АБС и │ │ │ │ │ │ │ │ │ │
│ │их компонентов одна из трех │ │ │ │ │ │ │ │ │ │
│ │альтернатив: │ │ │ │ │ │ │ │ │ │
│ │1) в договор (контракт) │ │ │ │ │ │ │ │ │ │
│ │о разработке АБС или │ │ │ │ │ │ │ │ │ │
│ │поставке готовых АБС и их │ │ │ │ │ │ │ │ │ │
│ │компонентов включаются положения │ │ │ │ │ │ │ │ │ │
│ │по сопровождению поставляемых │ │ │ │ │ │ │ │ │ │
│ │изделий на весь срок их службы; │ │ │ │ │ │ │ │ │ │
│ │2) организация приобретает полный │ │ │ │ │ │ │ │ │ │
│ │комплект рабочей конструкторской │ │ │ │ │ │ │ │ │ │
│ │документации, обеспечивающий │ │ │ │ │ │ │ │ │ │
│ │возможность сопровождения АБС и │ │ │ │ │ │ │ │ │ │
│ │их компонентов без участия │ │ │ │ │ │ │ │ │ │
│ │разработчика; │ │ │ │ │ │ │ │ │ │
│ │3) руководство организации │ │ │ │ │ │ │ │ │ │
│ │оценивает и документально │ │ │ │ │ │ │ │ │ │
│ │оформляет допустимость риска │ │ │ │ │ │ │ │ │ │
│ │нарушения ИБ, возникающего при │ │ │ │ │ │ │ │ │ │
│ │невозможности сопровождения АБС │ │ │ │ │ │ │ │ │ │
│ │и их компонентов? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.9 │Учитывается ли при разработке │ обязательный │ │ │ │ │ │ │ 0,0596 │ │
│ │технических заданий на системы │ │ │ │ │ │ │ │ │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания, что защита данных │ │ │ │ │ │ │ │ │ │
│ │должна обеспечиваться в условиях: │ │ │ │ │ │ │ │ │ │
│ │- попыток доступа к банковской │ │ │ │ │ │ │ │ │ │
│ │информации анонимных, │ │ │ │ │ │ │ │ │ │
│ │неавторизованных злоумышленников │ │ │ │ │ │ │ │ │ │
│ │при использовании сетей общего │ │ │ │ │ │ │ │ │ │
│ │пользования; │ │ │ │ │ │ │ │ │ │
│ │- возможности ошибок │ │ │ │ │ │ │ │ │ │
│ │авторизованных пользователей │ │ │ │ │ │ │ │ │ │
│ │систем; │ │ │ │ │ │ │ │ │ │
│ │- возможности ненамеренного или │ │ │ │ │ │ │ │ │ │
│ │неадекватного использования │ │ │ │ │ │ │ │ │ │
│ │конфиденциальных данных │ │ │ │ │ │ │ │ │ │
│ │авторизованными пользователями? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.10 │Обеспечиваются ли на стадии │ обязательный │ │ │ │ │ │ │ 0,0474 │ │
│ │тестирования анонимность данных и │ │ │ │ │ │ │ │ │ │
│ │проверка адекватности │ │ │ │ │ │ │ │ │ │
│ │разграничения доступа? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0700 │ │
│ │организации и выполняются ли на │ │ │ │ │ │ │ │ │ │
│ │стадии эксплуатации АБС процедуры │ │ │ │ │ │ │ │ │ │
│ │контроля работоспособности │ │ │ │ │ │ │ │ │ │
│ │(функционирования, эффективности) │ │ │ │ │ │ │ │ │ │
│ │реализованных в АБС защитных мер? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.12 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0626 │ │
│ │частном показателе М2.11 │ │ │ │ │ │ │ │ │ │
│ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │
│ │результатов контроля? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.13 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0596 │ │
│ │организации и выполняются ли на │ │ │ │ │ │ │ │ │ │
│ │стадии сопровождения │ │ │ │ │ │ │ │ │ │
│ │(модернизации) АБС процедуры │ │ │ │ │ │ │ │ │ │
│ │контроля, обеспечивающие защиту │ │ │ │ │ │ │ │ │ │
│ │от: │ │ │ │ │ │ │ │ │ │
│ │- умышленного │ │ │ │ │ │ │ │ │ │
│ │несанкционированного раскрытия, │ │ │ │ │ │ │ │ │ │
│ │модификации или уничтожения │ │ │ │ │ │ │ │ │ │
│ │информации; │ │ │ │ │ │ │ │ │ │
│ │- неумышленной модификации, │ │ │ │ │ │ │ │ │ │
│ │раскрытия или уничтожения │ │ │ │ │ │ │ │ │ │
│ │информации; │ │ │ │ │ │ │ │ │ │
│ │- отказа в обслуживании или │ │ │ │ │ │ │ │ │ │
│ │ухудшения обслуживания? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.14 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0533 │ │
│ │частном показателе М2.13 │ │ │ │ │ │ │ │ │ │
│ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │
│ │результатов контроля? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.15 │Проводятся ли на стадии │ обязательный │ │ │ │ │ │ │ 0,0646 │ │
│ │сопровождения (модернизации) при │ │ │ │ │ │ │ │ │ │
│ │любом внесении изменений в АБС │ │ │ │ │ │ │ │ │ │
│ │процедуры проверки │ │ │ │ │ │ │ │ │ │
│ │функциональности, результаты │ │ │ │ │ │ │ │ │ │
│ │которых документируются? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.16 │Определены ли документально и │ обязательный │ │ │ │ │ │ │ 0,0675 │ │
│ │выполняются ли на стадии снятия с │ │ │ │ │ │ │ │ │ │
│ │эксплуатации процедуры, │ │ │ │ │ │ │ │ │ │
│ │обеспечивающие удаление │ │ │ │ │ │ │ │ │ │
│ │информации, несанкционированное │ │ │ │ │ │ │ │ │ │
│ │использование которой может │ │ │ │ │ │ │ │ │ │
│ │нанести ущерб бизнес-деятельности │ │ │ │ │ │ │ │ │ │
│ │организации, и информации, │ │ │ │ │ │ │ │ │ │
│ │используемой средствами │ │ │ │ │ │ │ │ │ │
│ │обеспечения ИБ, из постоянной │ │ │ │ │ │ │ │ │ │
│ │памяти АБС и с внешних носителей │ │ │ │ │ │ │ │ │ │
│ │(за исключением архивов │ │ │ │ │ │ │ │ │ │
│ │электронных документов и │ │ │ │ │ │ │ │ │ │
│ │протоколов электронного │ │ │ │ │ │ │ │ │ │
│ │взаимодействия, ведение и │ │ │ │ │ │ │ │ │ │
│ │сохранность которых в течение │ │ │ │ │ │ │ │ │ │
│ │определенного срока предусмотрены │ │ │ │ │ │ │ │ │ │
│ │соответствующими нормативными │ │ │ │ │ │ │ │ │ │
│ │и (или) договорными документами)? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М2.17 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0576 │ │
│ │частном показателе М2.16 │ │ │ │ │ │ │ │ │ │
│ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │
│ │результатов их выполнения? │ │ │ │ │ │ │ │ │ │
├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤
│Итоговая оценка группового показателя М2 │ │
└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей