Групповой показатель М2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"

┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐

│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │

│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │

│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │

│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.1 │Рассматриваются ли при │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0504 │ │

│ │формировании требований ИБ │ │////│/////│/////│/////│ │ │ │ │

│ │следующие стадии модели ЖЦ АБС: │ │////│/////│/////│/////│ │ │ │ │

│ │- разработка технических заданий; │ │////│/////│/////│/////│ │ │ │ │

│ │- проектирование; │ │////│/////│/////│/////│ │ │ │ │

│ │- создание и тестирование; │ │////│/////│/////│/////│ │ │ │ │

│ │- приемка и ввод в действие; │ │////│/////│/////│/////│ │ │ │ │

│ │- эксплуатация; │ │////│/////│/////│/////│ │ │ │ │

│ │- сопровождение и модернизации; │ │////│/////│/////│/////│ │ │ │ │

│ │- снятие с эксплуатации? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.2 │Осуществляются ли разработка │ обязательный │ │ │ │ │ │ │ 0,0616 │ │

│ │технических заданий и приемка АБС │ │ │ │ │ │ │ │ │ │

│ │по согласованию и при участии │ │ │ │ │ │ │ │ │ │

│ │подразделения (лиц) в │ │ │ │ │ │ │ │ │ │

│ │организации, ответственных за │ │ │ │ │ │ │ │ │ │

│ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.3 │Осуществляются ли ввод в │ обязательный │ │ │ │ │ │ │ 0,0591 │ │

│ │действие, эксплуатация и │ │ │ │ │ │ │ │ │ │

│ │сопровождение (модернизация), │ │ │ │ │ │ │ │ │ │

│ │снятие с эксплуатации АБС под │ │ │ │ │ │ │ │ │ │

│ │контролем подразделений (лиц) в │ │ │ │ │ │ │ │ │ │

│ │организации, ответственных за │ │ │ │ │ │ │ │ │ │

│ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.4 │Имеют ли соответствующие лицензии │ обязательный │ │ │ │ │ │ │ 0,0563 │ │

│ │организации, которые привлекаются │ │ │ │ │ │ │ │ │ │

│ │на договорной основе для │ │ │ │ │ │ │ │ │ │

│ │разработки и (или) производства │ │ │ │ │ │ │ │ │ │

│ │средств и систем защиты АБС? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.5 │Снабжены ли разрабатываемые АБС │ обязательный │ │ │ │ │ │ │ 0,0646 │ │

│ │и (или) их компоненты │ │ │ │ │ │ │ │ │ │

│ │документацией, содержащей │ │ │ │ │ │ │ │ │ │

│ │описание реализованных защитных │ │ │ │ │ │ │ │ │ │

│ │мер, в том числе в отношении │ │ │ │ │ │ │ │ │ │

│ │угроз ИБ (источников угроз), │ │ │ │ │ │ │ │ │ │

│ │описанных в модели угроз │ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.6 │Снабжены ли приобретаемые │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0604 │ │

│ │организацией АБС и (или) их │ │////│/////│/////│/////│ │ │ │ │

│ │компоненты документацией, │ │////│/////│/////│/////│ │ │ │ │

│ │содержащей описание реализованных │ │////│/////│/////│/////│ │ │ │ │

│ │защитных мер, в том числе в │ │////│/////│/////│/////│ │ │ │ │

│ │отношении угроз ИБ (источников │ │////│/////│/////│/////│ │ │ │ │

│ │угроз), описанных в модели угроз │ │////│/////│/////│/////│ │ │ │ │

│ │организации? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.7 │Содержит ли документация на │ обязательный │ │ │ │ │ │ │ 0,0450 │ │

│ │разрабатываемые АБС или │ │ │ │ │ │ │ │ │ │

│ │приобретаемые готовые АБС и их │ │ │ │ │ │ │ │ │ │

│ │компоненты описание реализованных │ │ │ │ │ │ │ │ │ │

│ │защитных мер, предпринятых │ │ │ │ │ │ │ │ │ │

│ │разработчиком относительно │ │ │ │ │ │ │ │ │ │

│ │безопасности разработки и │ │ │ │ │ │ │ │ │ │

│ │безопасности поставки? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.8 │Реализуется ли при взаимодействии │ обязательный │ │ │ │ │ │ │ 0,0604 │ │

│ │организации с разработчиком АБС и │ │ │ │ │ │ │ │ │ │

│ │их компонентов одна из трех │ │ │ │ │ │ │ │ │ │

│ │альтернатив: │ │ │ │ │ │ │ │ │ │

│ │1) в договор (контракт) │ │ │ │ │ │ │ │ │ │

│ │о разработке АБС или │ │ │ │ │ │ │ │ │ │

│ │поставке готовых АБС и их │ │ │ │ │ │ │ │ │ │

│ │компонентов включаются положения │ │ │ │ │ │ │ │ │ │

│ │по сопровождению поставляемых │ │ │ │ │ │ │ │ │ │

│ │изделий на весь срок их службы; │ │ │ │ │ │ │ │ │ │

│ │2) организация приобретает полный │ │ │ │ │ │ │ │ │ │

│ │комплект рабочей конструкторской │ │ │ │ │ │ │ │ │ │

│ │документации, обеспечивающий │ │ │ │ │ │ │ │ │ │

│ │возможность сопровождения АБС и │ │ │ │ │ │ │ │ │ │

│ │их компонентов без участия │ │ │ │ │ │ │ │ │ │

│ │разработчика; │ │ │ │ │ │ │ │ │ │

│ │3) руководство организации │ │ │ │ │ │ │ │ │ │

│ │оценивает и документально │ │ │ │ │ │ │ │ │ │

│ │оформляет допустимость риска │ │ │ │ │ │ │ │ │ │

│ │нарушения ИБ, возникающего при │ │ │ │ │ │ │ │ │ │

│ │невозможности сопровождения АБС │ │ │ │ │ │ │ │ │ │

│ │и их компонентов? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.9 │Учитывается ли при разработке │ обязательный │ │ │ │ │ │ │ 0,0596 │ │

│ │технических заданий на системы │ │ │ │ │ │ │ │ │ │

│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │

│ │обслуживания, что защита данных │ │ │ │ │ │ │ │ │ │

│ │должна обеспечиваться в условиях: │ │ │ │ │ │ │ │ │ │

│ │- попыток доступа к банковской │ │ │ │ │ │ │ │ │ │

│ │информации анонимных, │ │ │ │ │ │ │ │ │ │

│ │неавторизованных злоумышленников │ │ │ │ │ │ │ │ │ │

│ │при использовании сетей общего │ │ │ │ │ │ │ │ │ │

│ │пользования; │ │ │ │ │ │ │ │ │ │

│ │- возможности ошибок │ │ │ │ │ │ │ │ │ │

│ │авторизованных пользователей │ │ │ │ │ │ │ │ │ │

│ │систем; │ │ │ │ │ │ │ │ │ │

│ │- возможности ненамеренного или │ │ │ │ │ │ │ │ │ │

│ │неадекватного использования │ │ │ │ │ │ │ │ │ │

│ │конфиденциальных данных │ │ │ │ │ │ │ │ │ │

│ │авторизованными пользователями? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.10 │Обеспечиваются ли на стадии │ обязательный │ │ │ │ │ │ │ 0,0474 │ │

│ │тестирования анонимность данных и │ │ │ │ │ │ │ │ │ │

│ │проверка адекватности │ │ │ │ │ │ │ │ │ │

│ │разграничения доступа? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0700 │ │

│ │организации и выполняются ли на │ │ │ │ │ │ │ │ │ │

│ │стадии эксплуатации АБС процедуры │ │ │ │ │ │ │ │ │ │

│ │контроля работоспособности │ │ │ │ │ │ │ │ │ │

│ │(функционирования, эффективности) │ │ │ │ │ │ │ │ │ │

│ │реализованных в АБС защитных мер? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.12 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0626 │ │

│ │частном показателе М2.11 │ │ │ │ │ │ │ │ │ │

│ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │

│ │результатов контроля? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.13 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0596 │ │

│ │организации и выполняются ли на │ │ │ │ │ │ │ │ │ │

│ │стадии сопровождения │ │ │ │ │ │ │ │ │ │

│ │(модернизации) АБС процедуры │ │ │ │ │ │ │ │ │ │

│ │контроля, обеспечивающие защиту │ │ │ │ │ │ │ │ │ │

│ │от: │ │ │ │ │ │ │ │ │ │

│ │- умышленного │ │ │ │ │ │ │ │ │ │

│ │несанкционированного раскрытия, │ │ │ │ │ │ │ │ │ │

│ │модификации или уничтожения │ │ │ │ │ │ │ │ │ │

│ │информации; │ │ │ │ │ │ │ │ │ │

│ │- неумышленной модификации, │ │ │ │ │ │ │ │ │ │

│ │раскрытия или уничтожения │ │ │ │ │ │ │ │ │ │

│ │информации; │ │ │ │ │ │ │ │ │ │

│ │- отказа в обслуживании или │ │ │ │ │ │ │ │ │ │

│ │ухудшения обслуживания? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.14 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0533 │ │

│ │частном показателе М2.13 │ │ │ │ │ │ │ │ │ │

│ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │

│ │результатов контроля? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.15 │Проводятся ли на стадии │ обязательный │ │ │ │ │ │ │ 0,0646 │ │

│ │сопровождения (модернизации) при │ │ │ │ │ │ │ │ │ │

│ │любом внесении изменений в АБС │ │ │ │ │ │ │ │ │ │

│ │процедуры проверки │ │ │ │ │ │ │ │ │ │

│ │функциональности, результаты │ │ │ │ │ │ │ │ │ │

│ │которых документируются? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.16 │Определены ли документально и │ обязательный │ │ │ │ │ │ │ 0,0675 │ │

│ │выполняются ли на стадии снятия с │ │ │ │ │ │ │ │ │ │

│ │эксплуатации процедуры, │ │ │ │ │ │ │ │ │ │

│ │обеспечивающие удаление │ │ │ │ │ │ │ │ │ │

│ │информации, несанкционированное │ │ │ │ │ │ │ │ │ │

│ │использование которой может │ │ │ │ │ │ │ │ │ │

│ │нанести ущерб бизнес-деятельности │ │ │ │ │ │ │ │ │ │

│ │организации, и информации, │ │ │ │ │ │ │ │ │ │

│ │используемой средствами │ │ │ │ │ │ │ │ │ │

│ │обеспечения ИБ, из постоянной │ │ │ │ │ │ │ │ │ │

│ │памяти АБС и с внешних носителей │ │ │ │ │ │ │ │ │ │

│ │(за исключением архивов │ │ │ │ │ │ │ │ │ │

│ │электронных документов и │ │ │ │ │ │ │ │ │ │

│ │протоколов электронного │ │ │ │ │ │ │ │ │ │

│ │взаимодействия, ведение и │ │ │ │ │ │ │ │ │ │

│ │сохранность которых в течение │ │ │ │ │ │ │ │ │ │

│ │определенного срока предусмотрены │ │ │ │ │ │ │ │ │ │

│ │соответствующими нормативными │ │ │ │ │ │ │ │ │ │

│ │и (или) договорными документами)? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М2.17 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0576 │ │

│ │частном показателе М2.16 │ │ │ │ │ │ │ │ │ │

│ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │

│ │результатов их выполнения? │ │ │ │ │ │ │ │ │ │

├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤

│Итоговая оценка группового показателя М2 │ │

└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘