Групповой показатель М8 "Обеспечение информационной безопасности банковских информационных технологических процессов"

┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐

│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │

│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │

│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │

│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.1 │Проведена ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0852 │ │

│ │классификация неплатежной │ │////│/////│/////│/////│ │ │ │ │

│ │информации? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.2 │Проводится ли классификация │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0779 │ │

│ │неплатежной информации в │ │////│/////│/////│/////│ │ │ │ │

│ │соответствии со степенью тяжести │ │////│/////│/////│/////│ │ │ │ │

│ │последствий потери ее свойств ИБ, │ │////│/////│/////│/////│ │ │ │ │

│ │в частности свойств доступности, │ │////│/////│/////│/////│ │ │ │ │

│ │целостности и конфиденциальности? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.3 │Определен ли документально набор │ обязательный │ │ │ │ │ │ │ 0,0970 │ │

│ │требований по защите каждого из │ │ │ │ │ │ │ │ │ │

│ │типов неплатежных информационных │ │ │ │ │ │ │ │ │ │

│ │активов (типов неплатежной │ │ │ │ │ │ │ │ │ │

│ │информации), полученных в │ │ │ │ │ │ │ │ │ │

│ │результате классификации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.4 │Возложены ли обязанности по │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0814 │ │

│ │администрированию средств защиты │ │////│/////│/////│/////│ │ │ │ │

│ │неплатежной информации приказами │ │////│/////│/////│/////│ │ │ │ │

│ │или распоряжениями по организации │ │////│/////│/////│/////│ │ │ │ │

│ │на администраторов ИБ с │ │////│/////│/////│/////│ │ │ │ │

│ │отражением этих обязанностей в │ │////│/////│/////│/////│ │ │ │ │

│ │должностных инструкциях? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.5 │Определен ли документально │ обязательный │ │ │ │ │ │ │ 0,0777 │ │

│ │порядок контроля функционирования │ │ │ │ │ │ │ │ │ │

│ │со стороны лиц, отвечающих за ИБ, │ │ │ │ │ │ │ │ │ │

│ │для каждой АБС организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.6 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0740 │ │

│ │организации банковские │ │ │ │ │ │ │ │ │ │

│ │информационные технологические │ │ │ │ │ │ │ │ │ │

│ │процессы, согласованы ли эти │ │ │ │ │ │ │ │ │ │

│ │документы со службой ИБ │ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.7 │Реализованы ли банковские │ обязательный │ │ │ │ │ │ │ 0,0639 │ │

│ │информационные технологические │ │ │ │ │ │ │ │ │ │

│ │процессы в рамках созданных для │ │ │ │ │ │ │ │ │ │

│ │этих целей АБС? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.8 │Изолированы ли серверы, офисные │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0758 │ │

│ │ЭВМ и другое оборудование, не │ │////│/////│/////│/////│ │ │ │ │

│ │входящее в состав АБС, │ │////│/////│/////│/////│ │ │ │ │

│ │реализующих банковские │ │////│/////│/////│/////│ │ │ │ │

│ │информационные технологические │ │////│/////│/////│/////│ │ │ │ │

│ │процессы, от указанных АБС на │ │////│/////│/////│/////│ │ │ │ │

│ │уровне локальных вычислительных │ │////│/////│/////│/////│ │ │ │ │

│ │сетей способом, согласованным со │ │////│/////│/////│/////│ │ │ │ │

│ │службой либо лицом, отвечающим в │ │////│/////│/////│/////│ │ │ │ │

│ │организации за ИБ? │ │////│/////│/////│/////│ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.9 │Определены ли документально │ обязательный │ │ │ │ │ │ │ 0,0646 │ │

│ │перечни программного обеспечения, │ │ │ │ │ │ │ │ │ │

│ │устанавливаемого и (или) │ │ │ │ │ │ │ │ │ │

│ │используемого в ЭВМ и АБС и │ │ │ │ │ │ │ │ │ │

│ │необходимого для выполнения │ │ │ │ │ │ │ │ │ │

│ │конкретных банковских │ │ │ │ │ │ │ │ │ │

│ │информационных технологических │ │ │ │ │ │ │ │ │ │

│ │процессов? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.10 │Соответствует ли состав │ обязательный │ │ │ │ │ │ │ 0,0646 │ │

│ │установленного и используемого в │ │ │ │ │ │ │ │ │ │

│ │ЭВМ и АБС программного │ │ │ │ │ │ │ │ │ │

│ │обеспечения определенному │ │ │ │ │ │ │ │ │ │

│ │перечню? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.11 │Контролируется ли выполнение │ обязательный │ │ │ │ │ │ │ 0,0676 │ │

│ │требований частных показателей │ │ │ │ │ │ │ │ │ │

│ │М8.9, М8.10 с документированием │ │ │ │ │ │ │ │ │ │

│ │результатов контроля? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.12 │Регламентирована ли в документах │ обязательный │ │ │ │ │ │ │ 0,0889 │ │

│ │организации, согласована ли со │ │ │ │ │ │ │ │ │ │

│ │службой ИБ либо лицом, отвечающим │ │ │ │ │ │ │ │ │ │

│ │за обеспечение ИБ, и выполняется │ │ │ │ │ │ │ │ │ │

│ │ли процедура периодического │ │ │ │ │ │ │ │ │ │

│ │контроля всех реализованных │ │ │ │ │ │ │ │ │ │

│ │программно-техническими │ │ │ │ │ │ │ │ │ │

│ │средствами и организационными │ │ │ │ │ │ │ │ │ │

│ │мерами функций (требований) по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ неплатежной │ │ │ │ │ │ │ │ │ │

│ │информации? │ │ │ │ │ │ │ │ │ │

├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤

│ М8.13 │Регламентирована ли в документах │ обязательный │ │ │ │ │ │ │ 0,0814 │ │

│ │организации, согласована ли со │ │ │ │ │ │ │ │ │ │

│ │службой ИБ либо лицом, отвечающим │ │ │ │ │ │ │ │ │ │

│ │за обеспечение ИБ, и выполняется │ │ │ │ │ │ │ │ │ │

│ │ли процедура восстановления всех │ │ │ │ │ │ │ │ │ │

│ │реализованных программно- │ │ │ │ │ │ │ │ │ │

│ │техническими средствами и │ │ │ │ │ │ │ │ │ │

│ │организационными мерами функций │ │ │ │ │ │ │ │ │ │

│ │по обеспечению ИБ неплатежной │ │ │ │ │ │ │ │ │ │

│ │информации? │ │ │ │ │ │ │ │ │ │

├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤

│Итоговая оценка группового показателя М8 │ │

└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘