Показатели информационной безопасности. Групповой показатель М5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет" (обязательная форма)
Приложение A к Стандарту Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации СТО БР ИББС-1.2-2009
(обязательное)
Групповой показатель М5 "Обеспечение информационной
безопасности при использовании ресурсов сети Интернет"
---------------T----------------------------------T---------------T---------------------------------T------------T------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного показателя ИБ ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения +----T-----T-----T-----T----T-----+ значимости ¦ значение ¦
¦показателя ИБ ¦ ¦ ¦ 0 ¦0,25 ¦ 0,5 ¦0,75 ¦ 1 ¦ н/о ¦ частного ¦ показателя ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.1 ¦Принято ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0586 ¦ ¦
¦ ¦руководством организации решение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦об использовании сети Интернет ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для производственной и(или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦собственной хозяйственной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности, в котором явно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦перечислены цели использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сети Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.2 ¦Запрещается ли использование ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0512 ¦ ¦
¦ ¦ресурсов сети Интернет в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦неустановленных целях? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.3 ¦Проведено ли в организации ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0398 ¦ ¦
¦ ¦выделение ограниченного числа ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦пакетов, содержащих перечень ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦сервисов и ресурсов сети ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦Интернет, доступных для ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦пользователей? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.4 ¦Проводится ли наделение ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0355 ¦ ¦
¦ ¦работников организации правами ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦пользователя конкретного пакета в ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦соответствии с его должностными ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦обязанностями, в частности, в ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦соответствии с назначенными ему ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦ролями? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.5 ¦Оформляется ли документально ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0398 ¦ ¦
¦ ¦наделение работников организации ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦правами пользователя конкретного ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦пакета? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.6 ¦Определен ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0583 ¦ ¦
¦ ¦организации порядок подключения и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования ресурсов сети ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Интернет, включающий в том числе ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦положение о контроле со стороны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подразделения (лиц) в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, ответственных за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.7 ¦Применяются ли при осуществлении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0518 ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания с использованием ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сети Интернет средства защиты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации (межсетевые экраны, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦антивирусные средства, средства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦криптографической защиты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации), которые обеспечивают ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦прием и передачу информации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦только в установленном формате и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦только по конкретной технологии? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.8 ¦Выполнено ли выделение и ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0292 ¦ ¦
¦ ¦организована ли физическая ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦изоляция от внутренних сетей тех ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦ЭВМ, с помощью которых ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦осуществляется взаимодействие с ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦сетью Интернет в режиме on-line? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.9 ¦Применяются ли при осуществлении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0479 ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предотвращающие возможность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подмены авторизованного клиента ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦злоумышленником в рамках сеанса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.10 ¦Регистрируются ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0440 ¦ ¦
¦ ¦регламентированным образом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦попытки подмены авторизованного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦клиента злоумышленником в рамках ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сеанса работы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.11 ¦Все ли операции клиентов в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0581 ¦ ¦
¦ ¦течение сеанса работы с системами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания выполняются только ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦после проведения процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦идентификации, аутентификации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.12 ¦Обеспечивается ли повторное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0415 ¦ ¦
¦ ¦выполнение процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦идентификации, аутентификации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизации в случаях нарушения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦или разрыва соединения при работе ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦с системами дистанционного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦банковского обслуживания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.13 ¦Используется ли ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0331 ¦ ¦
¦ ¦специализированное клиентское ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦программное обеспечение для ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦доступа пользователей к системам ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦дистанционного банковского ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.14 ¦Применяются ли защитные меры для ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0450 ¦ ¦
¦ ¦осуществления почтового обмена ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦через сеть Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.15 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0491 ¦ ¦
¦ ¦организации перечень защитных мер ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и порядок их использования для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осуществления почтового обмена ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦через сеть Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.16 ¦Организован ли почтовый обмен с ¦ рекомендуемый ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0331 ¦ ¦
¦ ¦сетью Интернет через ограниченное ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦количество точек, состоящих из ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внешнего (подключенного к сети ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Интернет) и внутреннего ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(подключенного к внутренним сетям ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации) почтовых серверов с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦безопасной системой репликации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦почтовых сообщений между ними ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(интернет-киоски)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.17 ¦Осуществляется ли архивирование ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.18 ¦Доступен ли архив электронной ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦почты подразделению (лицу), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственному за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.19 ¦Не допускаются ли изменения в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0390 ¦ ¦
¦ ¦архиве электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.20 ¦Определен ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0433 ¦ ¦
¦ ¦порядок доступа к информации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦архива электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.21 ¦Не применяется ли в организации ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦практика хранения и обработки ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦банковской информации (в т.ч. ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦открытой) на ЭВМ, с помощью ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦которой осуществляется ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦взаимодействие с сетью Интернет в ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦режиме on-line? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.22 ¦Всегда ли наличие банковской ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0430 ¦ ¦
¦ ¦информации на ЭВМ, с помощью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦которых осуществляется ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦взаимодействие с сетью Интернет в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦режиме on-line, определяется ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦бизнес-целями организации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документально санкционируется ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М5.23 ¦Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0415 ¦ ¦
¦ ¦используются ли защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦позволяющие обеспечить ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦противодействие атакам хакеров и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦распространению спама? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦Итоговая оценка группового показателя М5 ¦ ¦
L----------------------------------------------------------------------------------------------------------------+-------------
