"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" СТО БР ИББС-1.2-2014"

Документ по состоянию на август 2014 г.


Дата введения: 2014-06-01


Предисловие

1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 17 мая 2014 года N Р-399.

2. ВЗАМЕН СТО БР ИББС-1.2-2010.

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.


Введение

Стандартом Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярного аудита ИБ и самооценки ИБ.

Настоящий стандарт устанавливает способы определения степени выполнения требований стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", а также итогового уровня соответствия ИБ требованиям стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" при проведении аудита ИБ и самооценки ИБ.


1. Область применения

Настоящий стандарт распространяется на организации БС РФ, а также на организации, проводящие оценку соответствия ИБ организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0).

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ, а также в договорных документах, устанавливающих отношения сторон при проведении внешних оценок соответствия ИБ.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена законодательством Российской Федерации, нормативными актами Банка России или условиями договоров.


2. Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на стандарт СТО БР ИББС-1.0.


3. Термины и определения

В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, стандартом Банка России СТО БР ИББС-1.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности", а также следующие термины с соответствующими определениями.

3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.

3.2. Проверяющая организация: Организация, проводящая оценку соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.

3.3. Проверяемая организация: Организация БС РФ, обеспечение ИБ которой подвергается оценке на соответствие требованиям СТО БР ИББС-1.0.


4. Обозначения и сокращения

АБС - автоматизированная банковская система;

БС - банковская система;

ЖЦ - жизненный цикл;

ИБ - информационная безопасность;

ИСПДн - информационные системы персональных данных;

НСД - несанкционированный доступ;

НРД - нерегламентированные действия в рамках предоставленных полномочий;

РФ - Российская Федерация;

СКЗИ - средство криптографической защиты информации;

СМИБ - система менеджмента информационной безопасности;

СИБ - система информационной безопасности;

СОИБ - система обеспечения информационной безопасности;

ЭВМ - электронная вычислительная машина;

ЭП - электронная подпись;

- оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации";

- оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации";

- оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации";

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;

- оценка степени выполнения требований СТО БР ИББС-1.0 для группового показателя;

- оценка степени выполнения требований СТО БР ИББС-1.0 для частного показателя;

i - номер группового показателя;

j - номер частного показателя;

- обозначение частного показателя;

R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.


5. Общие положения

5.1. Целью настоящей методики является стандартизация подходов и способов оценки соответствия обеспечения ИБ организации БС РФ требованиям СТО БР ИББС-1.0 по направлениям оценки:

- текущий уровень ИБ организации;

- менеджмент ИБ организации;

- уровень осознания ИБ организации.

5.2. Задачами настоящей методики являются:

- определение состава показателей ИБ и способов их оценивания;

- определение способа оценивания текущего уровня ИБ организации с помощью установления степени выполнения требований, определенных в разделе 7 СТО БР ИББС-1.0;

- определение способа оценивания менеджмента ИБ организации и уровня осознания ИБ организации с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;

- определения итогового уровня соответствия ИБ организации требованиям СТО БР ИББС-1.0.


6. Показатели информационной безопасности. Способы оценивания показателей

6.1. Для оценки степени соответствия обеспечения ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ. Оценки групповых показателей () используются для получения оценки по направлениям (, и ). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (), которые затем формируют оценки групповых показателей.

Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ.

6.2. Частные показатели разделены на два типа. К первому типу относятся частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Ко второму типу относятся частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным типам определена в формах приложения А.

6.3. Способ оценивания частного показателя зависит от его принадлежности к одному из типов, определенных в п. 6.2 настоящей методики.

6.4. Оценка частного показателя формируется на основании выявленной проверяющей группой степени выполнения требований посредством экспертного оценивания.

Оценивание частного показателя должно сопровождаться внесением символа, например "X", в соответствующую графу представленных в приложении А форм.

6.5. Для частных показателей, выполнение которых обязательно (первый тип), устанавливается следующая шкала степени их выполнения:

- "нет" - оценке присваивается значение, равное нулю;

- "частично" - оценке присваивается значение 0,25, 0,5 или 0,75;

- "да" - оценке присваивается значение, равное единице.

Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что зафиксировано документами организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки.

6.6. Для частных показателей, выполнение которых рекомендуется (второй тип), устанавливается следующая шкала степени их выполнения:

- "да" - оценке присваивается значение, равное единице;

- "нет" - частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки.

6.7. При проведении оценки частных показателей, для которых оценивается как степень их установления (определения) в организации БС РФ, так и степень выполнения (частный показатель категории проверки 1), используется следующий общий подход:


Таблица 1. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ

Оценка частного показателя ИБ Критерий выставления оценки частного показателя ИБ 0

Требования частного показателя ИБ не установлены (определены) во внутренних документах проверяемой организации

0,25

Требования частного показателя ИБ установлены (определены) во внутренних документах проверяемой организации, но не выполняются

0,5

Требования частного показателя ИБ установлены (определены) во внутренних документах проверяемой организации, но выполняются в неполном объеме

0,75

Требования частного показателя ИБ установлены (определены) во внутренних документах проверяемой организации и выполняются почти в полном объеме

1

Требования частного показателя ИБ установлены (определены) во внутренних документах проверяемой организации и выполняются в полном объеме


6.8. При проведении оценки частных показателей, для которых оценивается только степень документированности (частный показатель категории проверки 2), используется следующий общий подход:


Таблица 2. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень документированности требований ИБ

Оценка частного показателя ИБ Критерий выставления оценки частного показателя ИБ 0

Требования частного показателя ИБ не установлены во внутренних документах проверяемой организации

1

Требования частного показателя ИБ полностью установлены во внутренних документах проверяемой организации


6.9. При проведении оценки частных показателей, для которых оценивается только степень выполнения (частный показатель категории проверки 3), используется следующий общий подход:


Таблица 3. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ

Оценка частного показателя ИБ Критерий выставления оценки частного показателя ИБ 0

Требования частного показателя ИБ не выполняются

0,5

Требования частного показателя ИБ выполняются в неполном объеме

1

Требования частного показателя ИБ выполняются в полном объеме


6.10. В случаях, если при проведении оценки частного показателя используется ограниченный набор объектов, входящих в область оценки соответствия ИБ (например, ограниченная выборка АБС), и по результатам оценивания частного показателя получены результаты, указывающие на полное выполнение или полное невыполнение/полную документированность или отсутствие документированности соответствующих требований ИБ, рекомендуется расширить набор указанных объектов (выборку) для подтверждения или коррекции полученных результатов.

6.11. Оценка частного показателя ИБ должна основываться на свидетельствах, в качестве основных источников которых рекомендуется использовать:

- внутренние документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации;

- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;

- результаты наблюдений членов проверяющей группы за деятельностью сотрудников проверяемой организации.

В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены проверяющей группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних документов проверяемой организации.

Полученные свидетельства оценки соответствия ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств оценки соответствия ИБ, пример которых приведен в приложении Б. При заполнении листов для сбора свидетельств оценки соответствия ИБ необходимо указать ссылки на соответствующие внутренние документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов проверяющей группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена проверяющей группы соответственно.

6.12. Оценка группового показателя () вычисляется из оценок входящих в него частных показателей ():


.


6.13. Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. В этом случае групповой показатель не учитывается в формулах расчета для , , , , , , и (см. разделы 7, 8, 9) с соответствующей корректировкой в формулах расчета количества оцениваемых групповых показателей. Оценки для таких групповых показателей не отображаются на круговой диаграмме (см. раздел 11).


7. Оценка текущего уровня информационной безопасности организации банковской системы Российской Федерации

7.1. Оценка текущего уровня ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:

- обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу;

- обеспечения ИБ на стадиях жизненного цикла АБС;

- обеспечение ИБ при управлении доступом и регистрацией;

- обеспечение ИБ средствами антивирусной защиты;

- обеспечение ИБ при использовании ресурсов сети Интернет;

- обеспечение ИБ при использовании средств криптографической защиты информации;

- обеспечение ИБ банковских платежных технологических процессов;

- обеспечение ИБ банковских информационных технологических процессов;

- обработка персональных данных в организации БС РФ;

- обеспечение ИБ банковских технологических процессов, в рамках которых обрабатываются персональные данные.

7.2. Групповые показатели по направлению оценки "текущий уровень ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0. Таблица 4 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.


Таблица 4. Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0

Обозначение группового показателя ИБ Наименование группового показателя ИБ Структурный элемент СТО БР ИББС-1.0 М1

Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу

п. 7.2

М2

Обеспечение ИБ на стадиях жизненного цикла АБС

п. 7.3

М3

Обеспечение ИБ при управлении доступом и регистрации

п. 7.4

М4

Обеспечение ИБ средствами антивирусной защиты

п. 7.5

М5

Обеспечение ИБ при использовании ресурсов сети Интернет

п. 7.6

М6

Обеспечение ИБ при использовании средств криптографической защиты информации

п. 7.7

М7

Обеспечение ИБ банковских платежных технологических процессов

п. 7.8

М8

Обеспечение ИБ банковских информационных технологических процессов

п. 7.9

М9

Общие требования по обработке персональных данных в организации БС РФ

п. 7.10

М10

Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные

п. 7.11


7.3. Частные показатели по направлению оценки "текущий уровень ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "текущий уровень ИБ организации" (показатели М1 М10) в приложении А.

7.4. Оценивание частных показателей в рамках групповых показателей М1 М6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 по следующим направлениям:

- банковский платежный технологический процесс (М7);

- банковский информационный технологический процесс (М8);

- банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10).

7.5. Оценки и , полученные в результате оценивания групповых показателей ИБ М1 М10, вносятся в соответствующие графы представленных в приложении А форм.

7.6. Оценивание частных показателей в рамках групповых показателей М1 - М7 для направления банковского платежного технологического процесса следует осуществлять с учетом актуальных результатов последней по времени проведения оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России от 9 июня 2012 года N 382-П) и используемых для вычисления обобщающего показателя , установленного Положением Банка России от 9 июня 2012 года N 382-П.

Таблица соответствия частных показателей и требований к обеспечению защиты информации при осуществлении переводов денежных средств, указанных в приложении 2 к Положению Банка России от 9 июня 2012 года N 382-П и учитываемых при оценивании частных показателей, приведена в приложении В.

Для проведения оценивания частных показателей с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П, следует использовать подход, установленный в п. 6.7, 6.8 и 6.9 настоящей методики, с учетом того, что оценка частного показателя не может превышать минимальную оценку выполнения требований, установленных Положением Банка России от 9 июня 2012 года N 382-П, соответствующих оцениваемому частному показателю.

7.7. Итоговая оценка , отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации", вычисляется по формуле:


, где:


- степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;

- степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;

- степень выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

- степень выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных.

7.8. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей М1 М6 выбираются по результатам их оценивания, применительно к банковскому платежному технологическому процессу и с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П:


, ,


где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей М1 М6 выбираются по результатам их оценивания применительно к банковскому информационному технологическому процессу:


, ,


где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании средств криптографической защиты информации (СКЗИ) вычисляется по формуле, в которой оценки групповых показателей М1 М5 выбираются по результатам их оценивания применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:


, ,


где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ вычисляется по формуле, в которой оценки групповых показателей М1 М6 выбираются по результатам их оценивания применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:


, ,


где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных, вычисляется по формуле:


,


где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

7.9. Оценки , полученные в результате оценивания групповых показателей ИБ М1 М10, отображаются на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

7.10. Оценка отображается на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению.


8. Оценка менеджмента информационной безопасности организации банковской системы Российской Федерации

8.1. Оценка менеджмента ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:

- организация и функционирование службы ИБ организации БС РФ;

- определение/коррекция области действия СОИБ;

- выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;

- разработка планов обработки рисков нарушения ИБ;

- разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ;

- принятие руководством организации БС РФ решений о реализации и эксплуатации СОИБ;

- организация реализации планов обработки рисков нарушения ИБ;

- разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ;

- организация обнаружения и реагирования на инциденты ИБ;

- организация обеспечения непрерывности бизнеса и его восстановления после прерываний;

- мониторинг ИБ и контроль защитных мер;

- проведение самооценки ИБ;

- проведение внешнего аудита ИБ;

- анализ функционирования СОИБ;

- анализ СОИБ со стороны руководства организации БС РФ;

- принятие решений по тактическим улучшениям СОИБ;

- принятие решений по стратегическим улучшениям СОИБ.

8.2. Групповые показатели по направлению оценки "менеджмент ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 5 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.


Таблица 5. Соответствие групповых показателей ИБ требованиям к СМИБ, представленным в разделе 8 СТО БР ИББС-1.0

Обозначение группового показателя ИБ Наименование группового показателя ИБ Структурный элемент СТО БР ИББС-1.0 М11

Организация и функционирование службы ИБ организации БС РФ

п. 8.2

М12

Определение/коррекция области действия СОИБ

п. 8.3

М13

Выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ

п. 8.4

М14

Разработка планов обработки рисков нарушения ИБ

п. 8.5

М15

Разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ

п. 8.6

М16

Принятие руководством организации БС РФ решений о реализации и эксплуатации СОИБ

п. 8.7

М17

Организация реализации планов внедрения СОИБ

п. 8.8

М18

Разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ

п. 8.9

М19

Организация обнаружения и реагирования на инциденты ИБ

п. 8.10

М20

Организация обеспечения непрерывности бизнеса и его восстановления после прерываний

п. 8.11

М21

Мониторинг ИБ и контроль защитных мер

п. 8.12

М22

Проведение самооценки ИБ

п. 8.13

М23

Проведение аудита ИБ

п. 8.14

М24

Анализ функционирования СОИБ

п. 8.15

М25

Анализ СОИБ со стороны руководства организации БС РФ

п. 8.16

М26

Принятие решений по тактическим улучшениям СОИБ

п. 8.17

М27

Принятие решений по стратегическим улучшениям СОИБ

п. 8.18


8.3. Частные показатели по направлению оценки "менеджмент ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "менеджмент ИБ организации" (показатели М11 М27) приведены в приложении А.

8.4. Оценки и , полученные в результате оценивания групповых показателей ИБ М11 М27, вносятся в соответствующие графы представленных в приложении А форм.

8.5. Оценивание частных показателей в рамках групповых показателей М11 М27 следует осуществлять с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П и используемых для вычисления обобщающего показателя , установленного Положением Банка России от 9 июня 2012 года N 382-П.

Таблица соответствия частных показателей и требований к обеспечению защиты информации при осуществлении переводов денежных средств, указанных в приложении 2 к Положению Банка России от 9 июня 2012 года N 382-П и учитываемых при оценивании частных показателей, приведена в приложении В.

Для проведения оценивания частных показателей с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П, следует использовать подход, установленный в п. 6.7, 6.8 и 6.9 настоящего стандарта, с учетом того, что оценка частного показателя не может превышать минимальную оценку выполнения требований, установленных Положением Банка России от 9 июня 2012 года N 382-П, соответствующих оцениваемому частному показателю.

8.6. Итоговая оценка , отражающая степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации", вычисляется по формуле:


,


где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

8.7. Оценки , полученные в результате оценивания групповых показателей ИБ М11 М27, отображаются на круговой диаграмме (см. раздел 11) в секторах с 11-го по 27-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

8.8. Оценка отображается на круговой диаграмме (см. раздел 11) в секторах с 11-го по 27-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению .


9. Оценка уровня осознания информационной безопасности организации банковской системы Российской Федерации

9.1. Оценка уровня осознания ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:

- деятельность руководства организации БС РФ по поддержке функционирования службы ИБ организации;

- деятельность руководства организации БС РФ по принятию решений о реализации и эксплуатации СОИБ;

- деятельность руководства организации БС РФ по поддержке планирования СОИБ;

- деятельность руководства организации БС РФ по поддержке реализации СОИБ;

- деятельность руководства организации БС РФ по поддержке проверки СОИБ;

- деятельность руководства организации БС РФ по анализу СОИБ;

- деятельность руководства организации БС РФ по поддержке совершенствования СОИБ.

9.2. Групповые показатели по направлению оценки "уровень осознания ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 6 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.


Таблица 6. Соответствие групповых показателей ИБ требованиям, представленным в разделе 8 СТО БР ИББС-1.0

Обозначение группового показателя ИБ Наименование группового показателя ИБ Структурный элемент СТО БР ИББС-1.0 М28

Оценка деятельности руководства организации по поддержке функционирования службы ИБ организации

п. 8.2

М29

Оценка деятельности руководства организации по принятию решений о реализации и эксплуатации СОИБ

п. 8.7

М30

Оценка деятельности руководства организации по поддержке планирования СОИБ

п. 8.3, 8.4, 8.5, 8.6, 8.8

М31

Оценка деятельности руководства организации по поддержке реализации СОИБ

п. 8.9, 8.10, 8.11

М32

Оценка деятельности руководства организации по поддержке проверки СОИБ

п. 8.12, 8.13, 8.14, 8.15

М33

Оценка деятельность руководства организации по анализу СОИБ

п. 8.16

М34

Оценка деятельности руководства организации по поддержке совершенствования СОИБ

п. 8.17, 8.18


9.3. Частные показатели по направлению оценки "уровень осознания ИБ организации" отражают отдельные требования СТО БР ИББС-1.0 к СМИБ организации, относящиеся к деятельности руководства организации. Частные показатели по направлению оценки "уровень осознания ИБ организации" (показатели М28 М34) приведены в приложении А.

Частные показатели по направлению оценки "уровень осознания ИБ организации" оцениваются с учетом результатов оценки выполнения организацией БС РФ требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П и используемых для вычисления обобщающего показателя , установленного Положением Банка России от 9 июня 2012 года N 382-П, в соответствии с подходом, установленным п. 8.5 настоящего стандарта.

9.4. Оценки и , полученные в результате оценивания групповых показателей ИБ М28 М34, вносятся в соответствующие графы представленных в приложении А форм.

9.5. Итоговая оценка , отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации", вычисляется по формуле:


,


где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

9.6. Оценки , полученные в результате оценивания групповых показателей ИБ М28 М34, отображаются на круговой диаграмме (см. раздел 11) в секторах с 28-го по 34-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

9.7. Оценка отображается на круговой диаграмме (см. раздел 11) в секторах с 28-го по 34-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению .


10. Правила определения корректирующих коэффициентов

Корректирующие коэффициенты , , , , , и определяются в зависимости от количества частных показателей, участвующих в вычислении оценок , , , , , и соответственно, оценки которых равны 0 (полностью не выполняются) согласно правилам, установленным в таблице 7.


Таблица 7. Правила определения корректирующих коэффициентов

Корректирующий коэффициент Количество частных показателей, оценки которых равны нулю (полностью не выполняются)

0 1 - 20 более 20

0 1 - 20 более 20

0 1 - 20 более 20

0 1 - 20 более 20

0 1 - 25 более 25

0 1 - 10 более 10 Значение корректирующего коэффициента 1 0,85 0,7

11. Определение уровня соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0. Отображение оценок

11.1. Если оценка , или лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка , или лежит в интервале от 0,25 до 0,5, то данному направлению оценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка , или лежит в интервале от 0,5 до 0,7, то данному направлению оценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка , или лежит в интервале от 0,7 до 0,85, то данному направлению оценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка , или лежит в интервале от 0,85 до 0,95, то данному направлению оценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка , или лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

11.2. Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:

- оценки уровня осознания ИБ организации ();

- оценки менеджмента ИБ организации ();

- оценки текущего уровня ИБ организации ().

11.3. Полученное в результате оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0 значение R является основой для формирования заключения по результатам оценки соответствия ИБ.

11.4. Значения R, соответствующие четвертому и пятому уровню, являются рекомендуемыми Банком России.

Значения R, соответствующие уровням с нулевого по третий, не являются рекомендуемыми Банком России.

11.5. Рисунок 1 представляет собой круговую диаграмму для отображения результатов оценивания.

Сектора с 1-го по 10-й используются для отображения оценки текущего уровня ИБ организации.

Сектора с 11-го по 27-й используются для отображения оценки процессов менеджмента ИБ организации.

Сектора с 28-го по 34-й используются для отображения оценки уровня осознания ИБ организации.

Пятому уровню соответствует окружность радиусом 0,95 и кольцо до окружности радиусом 1.

Четвертому уровню соответствует окружность радиусом 0,85 и кольцо до окружности радиусом 0,95.

Третьему уровню соответствует окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.

Второму уровню соответствует окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.

Первому уровню соответствует окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.

Нулевому уровню соответствует круг до окружности радиусом 0,25.

11.6. По результатам проведения оценки соответствия формируется документ - "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014".

"Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014" формируется на основе:

- аудиторского заключения в случае проведения оценки соответствия внешней организацией;

- отчета самооценки в случае проведения оценки соответствия силами организации БС РФ.

В "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014" как минимум следует включать следующие оценки:

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

- оценка группового показателя М6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации", применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные (оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных при использовании средств криптографической защиты информации);

R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.

С целью направления "Подтверждения соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014" регуляторам, осуществляющим надзор за выполнением законодательства в области персональных данных, данный документ следует составлять в пяти экземплярах, один из которых предназначен для использования в организации БС РФ.


Рисунок 1. Круговая диаграмма для отображения результатов оценивания


Приложение А

(обязательное)


ПОКАЗАТЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Групповой показатель М1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу"

Обозначение частного показателя ИБ Частный показатель ИБ Обязательность выполнения Категория проверки частного показателя Оценка частного показателя ИБ 0 0,25 0,5 0,75 1 н/о М1.1

Выделены ли в организации БС РФ роли ее работников?

обязательный категория 1

М1.2

Формируются ли роли, связанные с выполнением деятельности по обеспечению ИБ, на основании требований разделов 7 и 8 стандарта СТО БР ИББС-1.0?

рекомендуемый категория 1

М1.3

Осуществляется ли формирование и назначение ролей работников организации БС РФ с учетом соблюдения принципа предоставления минимальных прав и полномочий, необходимых для выполнения служебных обязанностей?

обязательный категория 1

М1.4

Персонифицированы ли роли в организации БС РФ с установлением ответственности за их выполнение?

обязательный категория 2

М1.5

Зафиксирована ли в должностных инструкциях или в организационно-распорядительных документах организации БС РФ ответственность за выполнение ролей?

обязательный категория 2

М1.6

Отсутствуют ли в организации БС РФ роли, совмещающие функции разработки и сопровождения АБС/ПО?

обязательный категория 1

М1.7

Отсутствуют ли в организации БС РФ роли, совмещающие функции разработки и эксплуатации АБС/ПО?

обязательный категория 1

М1.8

Отсутствуют ли в организации БС РФ роли, совмещающие функции сопровождения и эксплуатации АБС/ПО?

обязательный категория 1

М1.9

Отсутствуют ли в организации БС РФ роли, совмещающие функции администратора и администратора информационной безопасности?

обязательный категория 1

М1.10

Отсутствуют ли в организации БС РФ роли, совмещающие функции по выполнению операций в АБС и контроля их выполнения?

обязательный категория 1

М1.11

Определены ли в организации БС РФ, выполняются ли и регистрируются ли процедуры контроля деятельности работников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить контроль над защищаемым информационным активом организации БС РФ?

обязательный категория 1

М1.12

Определены ли, выполняются ли и регистрируются ли в организации БС РФ процедуры приема на работу, влияющую на обеспечение ИБ, включающие:

- проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;

- проверку в части профессиональных навыков и оценку профессиональной пригодности?

обязательный категория 1

М1.13

Предусматривают ли указанные в частном показателе М1.12 процедуры фиксацию результатов проводимых проверок?

обязательный категория 2

М1.14

Определены ли, выполняются ли и регистрируются, выполняются и регистрируются ли в организации БС РФ процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников?

рекомендуемый категория 1

М1.15

Предусматривают ли указанные в частном показателе М1.14 процедуры фиксацию результатов проводимых проверок?

рекомендуемый категория 2

М1.16

Определены ли, выполняются ли и регистрируются ли в организации БС РФ процедуры внеплановой проверки работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии?

рекомендуемый категория 1

М1.17

Предусматривают ли указанные в частном показателе М1.16 процедуры фиксацию результатов проводимых проверок?

рекомендуемый категория 2

М1.18

Обязаны ли все работники организации БС РФ давать письменные обязательства о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов?

обязательный категория 3

М1.19

Регламентируются ли положениями, включенными в договоры (соглашения) с внешними организациями и клиентами, требования по ИБ?

обязательный категория 2

М1.20

Определены ли в трудовых контрактах (соглашениях, договорах) и (или) должностных инструкциях обязанности персонала по выполнению требований ИБ?

обязательный категория 2

М1.21

Приравнивается ли невыполнение работниками организации БС РФ требований ИБ к невыполнению должностных обязанностей и приводит ли как минимум к дисциплинарной ответственности?

обязательный категория 1

Итоговая оценка группового показателя М1


Групповой показатель М2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"

Обозначение частного показателя ИБ Частный показатель ИБ Обязательность выполнения Категория проверки частного показателя Оценка частного показателя ИБ 0 0,25 0,5 0,75 1 н/о М2.1

Рассматриваются ли в части вопросов обеспечения ИБ следующие стадии модели ЖЦ АБС:

- разработка технических заданий;

- проектирование;

- создание и тестирование;

-приемка и ввод в действие;

- эксплуатация;

- сопровождение и модернизации;

- снятие с эксплуатации?

обязательный категория 1

М2.2

Осуществляется ли выполнение работ на всех стадиях жизненного цикла АБС в части вопросов обеспечения ИБ по согласованию и под контролем службы ИБ?

обязательный категория 1

М2.3

Имеют ли организации, привлекаемые на договорной основе для обеспечения ИБ на стадиях ЖЦ АБС, лицензии на деятельность по технической защите конфиденциальной информации в соответствии с законодательством РФ?

обязательный категория 3

М2.4

Включаются ли требования к обеспечению информационной безопасности, установленные и используемые организацией БС РФ для обеспечения ИБ в рамках технологических процессов организации БС РФ, в технические задания на разработку или модернизацию АБС?

обязательный категория 3

М2.5

Обеспечивается ли в организации БС РФ реализация запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграничения доступа на стадии создания и тестирования АБС и (или) их компонентов?

обязательный категория 1

М2.6

Снабжены ли эксплуатируемые АБС и (или) их компоненты документацией, содержащей описание реализованных в АБС защитных мер, в том числе описание состава и требований к реализации организационных защитных мер, состава и требований к эксплуатации технических защитных мер?

обязательный категория 2

М2.7

Проводится ли организацией БС РФ анализ принятия разработчиком АБС защитных мер, направленных на обеспечение безопасности разработки АБС и безопасности ее поставки?

рекомендуемый категория 1

М2.8

Реализуется ли при взаимодействии организации БС РФ с разработчиком АБС и их компонентов одна из трех альтернатив:

1) в договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов включаются положения по сопровождению поставляемых изделий на весь срок их службы;

2) организация БС РФ приобретает полный комплект документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика;

3) руководство организации БС РФ оценивает и фиксирует допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов?

обязательный категория 3

М2.9

Учитывается ли при разработке технических заданий на системы дистанционного банковского обслуживания, что защита данных должна обеспечиваться в условиях:

- попыток несанкционированного доступа к информации анонимных, неавторизованных злоумышленников с использованием сетей общего пользования;

- возможности ошибок авторизованных пользователей систем;

- возможности ненамеренного или неадекватного использования защищаемой информации авторизованными пользователями?

обязательный категория 3

М2.10

Определены ли в организации БС РФ, выполняются ли и регистрируются ли на стадии эксплуатации АБС процедуры:

- контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер, в том числе контроль реализации организационных защитных мер, контроль состава и параметров настройки применяемых технических защитных мер;

- контроля отсутствия уязвимостей в оборудовании и программном обеспечении АБС;

- контроля внесения изменений в параметры настройки АБС и применяемых технических защитных мер;

- контроля необходимого обновления программного обеспечения АБС, включая программное обеспечение технических защитных мер?

обязательный категория 1



М2.11

Определены ли, выполняются ли, регистрируются ли и контролируется ли на стадии эксплуатации АБС процедуры, необходимые для обеспечения восстановления всех реализованных функций по обеспечению ИБ?

обязательный категория 1

М2.12

Определены ли, выполняются ли и регистрируются ли на стадии эксплуатации АБС процедуры контроля состава устанавливаемого и (или) используемого ПО АБС?

обязательный категория 1

М2.13

Выделены ли и назначены ли роли, связанные с эксплуатацией и контролем эксплуатации АБС и применяемых технических защитных мер, в том числе с внесением изменений в параметры их настройки?

обязательный категория 3

М2.14

Определены ли, выполняются ли для всех АБС процедуры контроля ее эксплуатации со стороны службы ИБ, регистрируется ли процесс и результаты их выполнения?

обязательный категория 1

М2.15

Определены ли, выполняются ли и контролируются ли на стадии эксплуатации АБС процедуры, необходимые для обеспечения сохранности носителей защищаемой информации?

обязательный категория 1

М2.16

Определены ли, выполняются ли и регистрируются ли в организации БС РФ на стадии сопровождения (модернизации) АБС процедуры контроля, обеспечивающие защиту от:

- умышленного несанкционированного раскрытия, модификации или уничтожения информации;

- неумышленной модификации, раскрытия или уничтожения информации;

- отказа в обслуживании или ухудшения обслуживания?

обязательный категория 1

М2.17

Определены ли, выполняются ли и регистрируются ли на стадии сопровождения (модернизации) АБС, отнесенных решением организацией БС РФ к критичным, в том числе АБС, задействованных в реализации банковского платежного технологического процесса, и в ИСПДн, процедуры фиксации внесенных изменений?

обязательный категория 1

М2.18

Определены ли, выполняются ли и регистрируются ли на стадии сопровождения (модернизации) АБС, отнесенных решением организацией БС РФ к критичным, в том числе АБС, задействованных в реализации банковского платежного технологического процесса, и в ИСПДн, процедуры проверки функциональности АБС, в том числе применяемых мер защиты информации, после внесения изменений?

обязательный категория 1

М2.19

Определены ли, выполняются ли, регулируются ли и выполняются ли на стадии снятия с эксплуатации процедуры, обеспечивающие удаление информации с использованием алгоритмов и (или) методов, обеспечивающих невозможность восстановления удаленной информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности организации, и информации, используемой техническими защитными мерами, из постоянной памяти АБС и с внешних носителей (за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрены законодательством РФ, нормативными актами Банка России и (или) договорными документами)?

обязательный категория 1

Итоговая оценка группового показателя М2


Групповой показатель М3 "Обеспечение информационной безопасности при управлении доступом и регистрации"

Обозначение частного показателя ИБ Частный показатель ИБ Обязательность выполнения Категория проверки частного показателя Оценка частного показателя ИБ 0 0,25 0,5 0,75 1 н/о М3.1

Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов?

обязательный категория 1

М3.2

Учтены ли и зафиксированы ли права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам?

обязательный категория 1

М3.3

Применяются ли в составе АБС встроенные защитные меры от НСД и НРД?

обязательный категория 1

М3.4

Применяются ли в составе АБС сертифицированные по требованиям безопасности информации средства защиты информации?

рекомендуемый категория 3

М3.5

Обеспечивается ли защитными мерами от НСД сокрытие вводимых субъектами доступа аутентификационных данных на устройствах отображения информации?

обязательный категория 3

М3.6

Препятствует ли размещение устройств отображения информации АБС ее несанкционированному просмотру?

обязательный категория 3

М3.7

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры идентификации, аутентификации, авторизации субъектов доступа, в том числе внешних субъектов доступа, которые не являются работниками организации БС РФ, и программных процессов (сервисов)?

обязательный категория 1

М3.8

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры разграничения доступа к информационным активам на основе ролевого метода с определением для каждой роли полномочий по доступу к информационным активам?

обязательный категория 1

М3.9

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети?

обязательный категория 1

М3.10

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры регистрации действий субъектов доступа с обеспечением контроля целостности и защиты данных регистрации?

обязательный категория 1

М3.11

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры управления идентификационными данными, аутентификационными данными и средствами аутентификации?

обязательный категория 1

М3.12

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры управления учетными записями субъектов доступа?

обязательный категория 1

М3.13

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры выявления и блокирования неуспешных попыток доступа?

обязательный категория 1

М3.14

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры блокирования сеанса доступа после установленного времени бездействия или по запросу субъекта доступа, требующего выполнения процедур повторной аутентификации и авторизации для продолжения работы?

обязательный категория 1

М3.15

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры ограничения действий пользователей по изменению настроек их автоматизированных мест (использование ограничений на изменение BIOS)?

обязательный категория 1

М3.16

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры управления составом разрешенных действий до выполнения идентификации и аутентификации?

обязательный категория 1

М3.17

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры ограничения действий пользователей по изменению параметров настроек АБС и реализации контроля действий эксплуатационного персонала по изменению параметров настроек АБС?

обязательный категория 1

М3.18

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры выявления и блокирования несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин?

обязательный категория 1

М3.19

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры использования технологий беспроводного доступа к информации в случае их применения и защиты внутренних беспроводных соединений?

обязательный категория 1

М3.20

Определены ли, выполняются ли, регистрируются ли и контролируются ли правила и процедуры использования мобильных устройств для доступа к информации в случае их применения?

обязательный категория 1

М3.21

Исключают ли процедуры управления доступом возможность "самосанкционирования"?

обязательный категория 1

М3.22

Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции?

обязательный категория 1

М3.23

Определены ли действия и операции, подлежащие регистрации?

обязательный категория 2

М3.24

Определены ли состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения?

обязательный категория 2

М3.25

Обеспечено ли резервирование необходимого объема памяти для записи данных?

обязательный категория 3

М3.26

Обеспечено ли реагирование на сбои при регистрации действий и операций, в том числе на аппаратные и программные ошибки, сбои в технических средствах сбора данных?

обязательный категория 1

М3.27

Обеспечена ли генерация временных меток для регистрируемых действий и операций и синхронизация системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных?

обязательный категория 3

М3.28

Реализовано ли в организации БС РФ ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ?

обязательный категория 1

М3.29

Обеспечено ли хранение данных о действиях и операциях не менее трех лет (если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России)?

рекомендуемый категория 3

М3.30

Обеспечено ли хранение данных, полученных в результате выполнения банковского платежного технологического процесса, не менее пяти лет (если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России)?

рекомендуемый категория 3

М3.31

Используются ли для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях специализированные программные и (или) технические средства?

обязательный категория 3

М3.32

Зафиксированы ли критерии выявления неправомерных или подозрительных действий и операций, используемые при проведении процедур мониторинга ИБ и анализа данных о действиях и операциях?

обязательный категория 2

М3.33

Применяются ли процедуры мониторинга ИБ и анализа данных о действиях и операциях, использующие зафиксированные критерии выявления неправомерных или подозрительных действий и операций, на регулярной основе, например ежедневно, ко всем выполненным операциям (транзакциям)?

обязательный категория 3

М3.34

Определено ли и контролируется ли в организации БС РФ выполнение требований:

- к разделению сегментов вычислительных сетей, в том числе создаваемых с использованием технологии виртуализации;

- к межсетевому экранированию;

- к информационному взаимодействию между сегментами вычислительных сетей?

обязательный категория 1

М3.35

Осуществляется ли разделение сегментов вычислительных сетей с целью обеспечения независимого выполнения банковских платежных технологических процессов организации БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн?

обязательный категория 1

М3.36

Регламентированы ли и контролируются ли процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласование вносимых изменений со службой ИБ?

обязательный категория 2

М3.37

Предоставлен ли работникам службы ИБ доступ к конфигурации сетевого оборудования без возможности внесения изменений?

рекомендуемый категория 3

М3.38

Определен ли, выполняется ли, регистрируется ли и контролируется ли порядок доступа к объектам среды информационных активов, в том числе в помещения, в которых размещаются объекты среды информационных активов?

обязательный категория 1

М3.39

Обеспечивают ли используемые в организации БС РФ АБС, в том числе системы дистанционного банковского обслуживания, возможность регистрации:

- операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;

- проводимых транзакций, имеющих финансовые последствия;

- операций, связанных с назначением и распределением прав пользователей?

обязательный категория 3

М3.40

Определен ли, выполняется ли и контролируется ли в организации БС РФ порядок использования съемных носителей информации?

обязательный категория 1

М3.41

Реализованы ли в системах дистанционного банковского обслуживания, используемых в организации БС РФ, защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций?

обязательный категория 3

М3.42

Придано ли протоколам операций, выполняемых посредством дистанционного банковского обслуживания, свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание?

обязательный категория 1

М3.43

Производится ли при заключении договоров со сторонними организациями юридическое оформление договоренностей, определяющих необходимый уровень взаимодействия в случае выхода инцидента ИБ за рамки отдельной организации?

рекомендуемый категория 2

М3.44

Определены ли в организации БС РФ процедуры, определяющие действия работников и клиентов организации БС РФ в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев?

обязательный категория 2

М3.45

Доведены ли до сведения работников и клиентов организации БС РФ процедуры, указанные в частном показателе М3.44?

обязательный категория 3

М3.46

Предусматривают ли указанные в частном показателе М3.44 процедуры регистрацию работниками и клиентами всех своих действий и их результатов?

обязательный категория 3

М3.47

Реализованы ли в системах дистанционного банковского обслуживания механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени?

обязательный категория 3

М3.48

Применяются ли в организации БС РФ меры, направленные на обеспечение защиты от НСД, повреждения или нарушения целостности данных о действиях и операциях, а также меры по защите информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ?

обязательный категория 1

М3.49

Регистрируются ли все попытки НСД к информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и сотрудников организации БС РФ?

обязательный категория 1

М3.50

Предоставляется ли доступ к данным о действиях и операциях только с целью выполнения служебных обязанностей?

обязательный категория 1

М3.51

Выполняются ли регламентированные процедуры соответствующего пересмотра прав доступа при увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к данным о действиях и операциях?

обязательный категория 1

М3.52

Используются ли сетевые протоколы, обеспечивающие защиту сетевого соединения, контроль целостности сетевого взаимодействия и реализацию технологии двухсторонней аутентификации при осуществлении доступа на участке телекоммуникационных каналов и линий связи, в том числе беспроводных, не контролируемых организацией БС РФ?

обязательный категория 3

М3.53

Осуществляется ли передача защищаемых данных по каналам связи, имеющим выход за пределы контролируемой организацией БС РФ зоны, только при условии обеспечения их защиты от раскрытия и модификации?

обязательный категория 3

М3.54

Осуществляется ли работа всех работников организации БС РФ АБС под уникальными и персонифицированными учетными записями?

обязательный категория 3

Итоговая оценка группового показателя М3


Групповой показатель М4 "Обеспечение информационной безопасности средствами антивирусной защиты"

Обозначение частного показателя ИБ Частный показатель ИБ Обязательность выполнения Категория проверки частного показателя Оценка частного показателя ИБ 0 0,25 0,5 0,75 1 н/о М4.1

Применяются ли на всех автоматизированных рабочих местах и серверах АБС организации БС РФ, если иное не предусмотрено технологическим процессом, средства антивирусной защиты?

обязательный категория 1

М4.2

Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС?

обязательный категория 1

М4.3

Организовано ли функционирование постоянной антивирусной защиты в автоматическом режиме и автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных?

рекомендуемый категория 1

М4.4

Проводится ли антивирусная проверка съемных носителей информации перед их подключением к средствам вычислительной техники, задействованным в рамках осуществления банковских технологических процессов, на специально выделенном автономном средстве вычислительной техники?

рекомендуемый категория 1

М4.5

Разработаны ли и введены ли в действие инструкции и рекомендации по антивирусной защите, учитывающие особенности банковских технологических процессов?

обязательный категория 2

М4.6

Организована ли в организации БС РФ антивирусная фильтрация всего трафика электронного почтового обмена?

обязательный категория 3

М4.7

Организована ли в организации БС РФ эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей на:

- рабочих станциях;

- серверном оборудовании, в том числе серверах электронной почты;

- технических средствах межсетевого экранирования?

обязательный категория 1

М4.8

Определены ли, выполняются ли, регистрируются ли и контролируются ли процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов?

обязательный категория 1

М4.9

Выполняется ли после установки или изменения программного обеспечения антивирусная проверка?

обязательный категория 3

М4.10

Определены ли, выполняются ли, регистрируются ли и контролируются ли процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых, в частности, необходимо зафиксировать:

- необходимые меры по отражению и устранению последствий вирусной атаки;

- порядок официального информирования руководства;

- порядок приостановления при необходимости работы (на период устранения последствий вирусной атаки)?

обязательный категория 1

М4.11

Определены ли, выполняются ли и регистрируются ли процедуры контроля за отключением и обновлением антивирусных средств на всех технических средствах АБС?

обязательный категория 1

М4.12

Возложена ли обязанность по выполнению предписанных мер антивирусной защиты на каждого работника организации БС РФ, имеющего доступ к ЭВМ и (или) АБС, а ответственность за выполнение требований по антивирусной защите - на руководителей функциональных подразделений организации БС РФ?

обязательный категория 3

Итоговая оценка группового показателя М4


Групповой показатель М5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"

Обозначение частного показателя ИБ Частный показатель ИБ Обязательность выполнения Категория проверки частного показателя Оценка частного показателя ИБ 0 0,25 0,5 0,75 1 н/о М5.1

Принято ли документально руководством организации БС РФ решение об использовании сети Интернет для производственной и (или) собственной хозяйственной деятельности, в котором явно перечислены и зафиксированы цели использования сети Интернет?

обязательный категория 2

М5.2

Запрещается ли использование ресурсов сети Интернет в неустановленных целях?

обязательный категория 2

М5.3

Проведено ли в организации БС РФ выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей?

обязательный категория 3

М5.4

Проводится ли наделение работников организации БС РФ правами пользователя конкретного пакета, содержащего перечень сервисов и ресурсов сети Интернет, в соответствии с его должностными обязанностями, в частности в соответствии с назначенными ему ролями?

обязательный категория 3

М5.5

Регистрируется ли наделение работников организации БС РФ правами пользователя конкретного пакета, содержащего перечень сервисов и ресурсов сети Интернет, в соответствии с его должностными обязанностями, в частности в соответствии с назначенными ему ролями?

обязательный категория 3

М5.6

Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры подключения и использования ресурсов сети Интернет?

обязательный категория 1

М5.7

Осуществляется ли передача защищаемых данных с использованием сети Интернет только при условии обеспечения их защиты от раскрытия и модификации?

обязательный категория 1

М5.8

Применяются ли в организации БС РФ в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет защитные меры, в том числе межсетевые экраны, антивирусные средства, средства обнаружения вторжений, средства криптографической защиты информации, обеспечивающие, среди прочего, прием и передачу информации только в установленном формате и только по конкретной технологии?

обязательный категория 1

М5.9

Разработаны ли и введены ли в действие инструкции и рекомендации по использованию сети Интернет, учитывающие особенности банковских технологических процессов?

обязательный категория 1

М5.10

Определены ли и выполняются ли процедуры протоколирования посещения ресурсов сети Интернет работниками организации БС РФ?

обязательный категория 1

М5.11

Доступны ли данные о посещенных сотрудниками организации БС РФ ресурсов сети Интернет работникам службы ИБ?

обязательный категория 3

М5.12

Выполнено ли выделение и организована ли физическая изоляция от внутренних сетей тех ЭВМ, с помощью которых осуществляется непосредственное взаимодействие с сетью Интернет?

рекомендуемый категория 1

М5.13

Применяются ли при осуществлении дистанционного банковского обслуживания защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы?


Страницы документа: