Показатели информационной безопасности. Групповой показатель М8 "Обеспечение информационной безопасности банковских информационных технологических процессов" (обязательная форма)
Приложение A к Стандарту Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации СТО БР ИББС-1.2-2009
(обязательное)
Групповой показатель М8 "Обеспечение
информационной безопасности банковских информационных
технологических процессов"
---------------T----------------------------------T---------------T---------------------------------T------------T------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного показателя ИБ ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения +----T-----T-----T-----T----T-----+ значимости ¦ значение ¦
¦показателя ИБ ¦ ¦ ¦ 0 ¦0,25 ¦ 0,5 ¦0,75 ¦ 1 ¦ н/о ¦ частного ¦ показателя ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.1 ¦Проведена ли в организации ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0852 ¦ ¦
¦ ¦классификация неплатежной ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦информации? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.2 ¦Проводится ли классификация ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0779 ¦ ¦
¦ ¦неплатежной информации в ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦соответствии со степенью тяжести ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦последствий потери ее свойств ИБ, ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦в частности свойств доступности, ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦целостности и конфиденциальности? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.3 ¦Определен ли документально набор ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0970 ¦ ¦
¦ ¦требований по защите каждого из ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦типов неплатежных информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов неплатежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации), полученных в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результате классификации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.4 ¦Возложены ли обязанности по ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0814 ¦ ¦
¦ ¦администрированию средств защиты ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦неплатежной информации приказами ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦или распоряжениями по организации ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦на администраторов ИБ с ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦отражением этих обязанностей в ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦должностных инструкциях? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.5 ¦Определен ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0777 ¦ ¦
¦ ¦порядок контроля функционирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦со стороны лиц, отвечающих за ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для каждой АБС организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.6 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0740 ¦ ¦
¦ ¦организации банковские ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационные технологические ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессы, согласованы ли эти ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документы со службой ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.7 ¦Реализованы ли банковские ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0639 ¦ ¦
¦ ¦информационные технологические ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессы в рамках созданных для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦этих целей АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.8 ¦Изолированы ли серверы, офисные ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0758 ¦ ¦
¦ ¦ЭВМ и другое оборудование, не ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦входящее в состав АБС, ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦реализующих банковские ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦информационные технологические ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦процессы, от указанных АБС на ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦уровне локальных вычислительных ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦сетей способом, согласованным со ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦службой либо лицом, отвечающим в ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦организации за ИБ? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.9 ¦Определены ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦перечни программного обеспечения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦устанавливаемого и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦используемого в ЭВМ и АБС и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимого для выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦конкретных банковских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных технологических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.10 ¦Соответствует ли состав ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦установленного и используемого в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ЭВМ и АБС программного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения определенному ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦перечню? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.11 ¦Контролируется ли выполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0676 ¦ ¦
¦ ¦требований частных показателей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦М8.9, М8.10 с документированием ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результатов контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.12 ¦Регламентирована ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0889 ¦ ¦
¦ ¦организации, согласована ли со ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦службой ИБ либо лицом, отвечающим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ, и выполняется ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ли процедура периодического ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля всех реализованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средствами и организационными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мерами функций (требований) по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ неплатежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М8.13 ¦Регламентирована ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0814 ¦ ¦
¦ ¦организации, согласована ли со ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦службой ИБ либо лицом, отвечающим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ, и выполняется ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ли процедура восстановления всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализованных программно- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦техническими средствами и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организационными мерами функций ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по обеспечению ИБ неплатежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦Итоговая оценка группового показателя М8 ¦ ¦
L----------------------------------------------------------------------------------------------------------------+-------------
