Обозначение | Частный показатель ИБ | Обязательность | Оценка частного показателя ИБ | Коэффициент | Вычисленное | |||||
частного показателя ИБ | выполнения | 0 | 0,25 | 0,5 | 0,75 | 1 | н/о | значимости частного показателя ИБ | значение показателя ИБ | |
М3.1 | Определен ли в документах организации перечень информационных активов (их типов)? | обязательный | 0,0356 | |||||||
М3.2 | Зафиксированы ли документально права доступа работников и клиентов к информационным активам организации? | обязательный | 0,0360 | |||||||
М3.3 | Применяются ли в составе АБС встроенные защитные меры? | обязательный | 0,0345 | |||||||
М3.4 | Применяются ли в составе АБС сертифицированные или разрешенные к применению руководством организации средства защиты информации от НСД и НРД и средства криптографической защиты информации? | рекомендуемый | 0,0334 | |||||||
М3.5 | Определены ли в документах организации, утверждены ли руководством организации, выполняются ли и контролируются ли процедуры идентификации, аутентификации и авторизации? | обязательный | 0,0366 | |||||||
М3.6 | Документируются ли результаты контроля процедур, указанных в частном показателе М3.5? | обязательный | 0,0345 | |||||||
М3.7 | Определены ли в документах организации, выполняются ли и контролируются ли процедуры управления доступом? | обязательный | 0,0360 | |||||||
М3.8 | Документируются ли результаты контроля процедур, указанных в частном показателе М3.7? | обязательный | 0,0334 | |||||||
М3.9 | Определены ли в документах организации, выполняются ли и контролируются ли процедуры контроля целостности? | обязательный | 0,0340 | |||||||
М3.10 | Документируются ли результаты контроля процедур, указанных в частном показателе М3.9? | обязательный | 0,0319 | |||||||
М3.11 | Определены ли в документах организации, выполняются ли и контролируются ли процедуры регистрации событий и действий? | обязательный | 0,0319 | |||||||
М3.12 | Документируются ли результаты контроля процедур, указанных в частном показателе М3.11? | обязательный | 0,0286 | |||||||
М3.13 | Исключают ли процедуры управления доступом возможность "самосанкционирования"? | обязательный | 0,0308 | |||||||
М3.14 | Определены ли в документах организации процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявить неправомерные или подозрительные операции и транзакции? | обязательный | 0,0331 | |||||||
М3.15 | Используются ли специализированные программные и(или) технические средства для проведения процедур мониторинга и анализа данных регистрации, действия и операций? | рекомендуемый | 0,0255 | |||||||
М3.16 | Используют ли процедуры мониторинга и анализа документально определенные критерии выявления неправомерных или подозрительных действий и операций? | обязательный | 0,0266 | |||||||
М3.17 | Применяются ли процедуры мониторинга и анализа на регулярной основе (например, ежедневно) ко всем выполненным операциям и транзакциям? | обязательный | 0,0286 | |||||||
М3.18 | Регламентирован ли во внутренних документах организации порядок доступа работников организации в помещения, в которых размещаются объекты среды информационных активов? | обязательный | 0,0292 | |||||||
М3.19 | Контролируется ли выполнение порядка доступа работников организации в помещения, в которых размещаются объекты среды информационных активов? | обязательный | 0,0297 | |||||||
М3.20 | Оформляются ли документально результаты выполнения контроля порядка доступа работников организации в помещения, в которых размещаются объекты среды информационных активов? | обязательный | 0,0263 | |||||||
М3.21 | Обеспечивают ли используемые в организации АБС, в том числе системы дистанционного банковского обслуживания, возможность регистрации: | обязательный | 0,0328 | |||||||
М3.22 | Реализованы ли в системах дистанционного банковского обслуживания, используемых в организации, защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций (например, ЭЦП)? | обязательный | 0,0344 | |||||||
М3.23 | Придано ли протоколам операций, выполняемых посредством дистанционного банковского обслуживания, свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание? | рекомендуемый | 0,0312 | |||||||
М3.24 | Производится ли при заключении договоров со сторонними организациями юридическое оформление договоренностей, определяющих необходимый уровень взаимодействия в случае выхода инцидента ИБ за рамки отдельной организации? | рекомендуемый | 0,0274 | |||||||
М3.25 | Определены ли в документах организации процедуры, определяющие действия работников и клиентов организации в случае компрометации информации, необходимой для их идентификации, аутентификации и(или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев? | обязательный | 0,0294 | |||||||
М3.26 | Доведены ли до сведения работников и клиентов организации процедуры, указанные в частном показателе М3.25? | обязательный | 0,0283 | |||||||
М3.27 | Предусматривают ли указанные в частном показателе М3.26 процедуры документирование работниками и клиентами своих действий и их результатов? | обязательный | 0,0254 | |||||||
М3.28 | Реализованы ли в системах дистанционного банковского обслуживания механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени? | обязательный | 0,0239 | |||||||
М3.29 | Применяются ли в организации защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и(или) авторизации клиентов и работников организации? | обязательный | 0,0319 | |||||||
М3.30 | Регистрируются ли все попытки НСД и НРД к информации, необходимой для идентификации, аутентификации и(или) авторизации клиентов и сотрудников организации? | обязательный | 0,0326 | |||||||
М3.31 | Определена ли в документах организации и выполняется ли процедура пересмотра прав доступа при увольнении или изменении должностных обязанностей работников организации, имевших доступ к информации, необходимой для идентификации, аутентификации и(или) авторизации клиентов и сотрудников организации? | обязательный | 0,0316 | |||||||
М3.32 | Осуществляется ли работа всех пользователей АБС под уникальными учетными записями? | обязательный | 0,0349 | |||||||
Итоговая оценка группового показателя М3 | ||||||||||