СТО БР ИББС-1.2-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх (утратил силу с 01.06.2014 на основании распоряжения Банка России от 17.05.2014 N Р-399)

N
уточ-
ня-
ющего
воп-
роса

Пункт РС БР
ИББС-2.3

Уточняющий вопрос

Частный
показатель
СТО БР ИББС-1.2

1

5.2

Отнесена ли каждая информационная система персональных данных (ИСПДн) организации к одному из следующих классов - ИСПДн-С, ИСПДн-Б, ИСПДн-И, ИСПДн-Д?

М10.2, М10.3, М12.2, М12.3, М12.4

_______________

Классы ИСПДн:

ИСПДн-С - ИСПДн обработки специальных категорий персональных данных;

ИСПДн-Б - ИСПДн обработки биометрических персональных данных;

ИСПДн-И - ИСПДн обработки персональных данных, не являющихся биометрическими и не относящихся к специальным категориям, доступ к которым должен быть ограничен;

ИСПДн-Д - ИСПДн обработки общедоступных и (или) обезличенных персональных данных.

2

6.1.1

Реализуются ли требования по обеспечению безопасности персональных данных в ИСПДн комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации?

Осуществляется ли реализация требований и (или) организуется ли выполнение требований по обеспечению безопасности персональных данных структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных, либо на договорной основе организацией - контрагентом организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации?

Допускается возложение ответственности за организацию работы по обеспечению безопасности персональных данных на существующее в организации подразделение (например, на службу ИБ).

Осуществляется ли реализация требований по обеспечению безопасности ПДн по согласованию и под контролем службы ИБ организации?

М2.1, М2.2, М2.3, М2.4

3

6.1.2

Включает ли создание ИСПДн организации разработку и согласование (утверждение) предусмотренной техническим заданием организационно-распорядительной, проектной и эксплуатационной документации на создаваемую систему (в документации должны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных)?

Осуществляются ли разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн по согласованию и под контролем структурного подразделения или должностного лица (работника) организации, ответственного за обеспечение безопасности персональных данных, и службы ИБ организации?

М2.1, М2.2, М2.3, М2.5, М2.6, М8.3, М8.5, М15.6, М15.7

4

6.1.3

Защищены ли от воздействий вредоносного кода все информационные активы, принадлежащие ИСПДн организации?

Определены ли в организации и зафиксированы ли документально требования по обеспечению безопасности персональных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований в соответствии с требованиями пункта 7.5 СТО БР ИББС-1.0?

М4.1, М4.5

5

6.1.4

Определена ли в организации система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода-вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн?

М3.5, М3.6, М3.7, М3.8

6

6.1.5

Действуют ли работники, осуществляющие обработку персональных данных в ИСПДн, в соответствии с инструкцией (руководством, регламентом и т.п.), входящей в состав эксплуатационной документации на ИСПДн, и соблюдают ли работники требования документов организации по обеспечению ИБ?

М1.1, М1.3, М1.4, М1.19, М16.1, М29.1

7

6.1.6

Возложены ли приказами (распоряжениями) обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению ИБ ИСПДн организации, на администраторов информационной безопасности ИСПДн?

М1.1, М1.3, М1.4, М8.4, М8.5, М15.6, М15.7, М15.8

8

6.1.7

Определен ли порядок действий администратора информационной безопасности ИСПДн и персонала, занятых в процессе обработки персональных данных, инструкциями (руководствами), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн? Выполняются ли следующие требования к таким инструкциям (руководствам):

- устанавливают требования к квалификации администратора информационной безопасности и персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;

- содержат в полном объеме актуальные (по времени) данные о полномочиях пользователей;

- содержат данные о технологии обработки информации в объеме, необходимом для администратора информационной безопасности;

- устанавливают порядок и периодичность анализа журналов регистрации событий (архивов журналов)?

Определены ли в эксплуатационной документации на ИСПДн параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности администратора информационной безопасности?

Установлены ли в эксплуатационной документации или регламентированы ли внутренним документом организации порядок и периодичность проверок установленных параметров конфигурации (при этом проверки должны проводиться не реже чем раз в год)?

М1.1, М1.3, М1.4, М1.13, М1.14,
М2.5, М2.6, М2.11, М2.12,
М3.2, М3.11, М3.12, М3.14, М3.15, М3.16, М3.17,
М8.5, М8.12,
М15.6, М15.7, М15.8,
М21.1, М21.7, М21.8,
М32.1, М32.2

9

6.1.8

Определен ли в организации и зафиксирован ли документально порядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторонних лиц и наличие препятствий для несанкционированного проникновения в помещения?

Разработан ли указанный порядок структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение режима физической безопасности организации БС РФ и согласован ли структурным подразделением или должностным лицом (работником) организации БС РФ, ответственным за обеспечение безопасности персональных данных, и со службой ИБ организации?

М3.18, М3.19, М3.20,
М11.9, М28.9

10

6.1.9

Запрещено ли организационно-техническими мерами в помещениях, в которых размещаются технические средства ИСПДн, несанкционированное и (или) нерегистрируемое (бесконтрольное) копирование персональных данных, в том числе с использованием отчуждаемых носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото- и видеосъемки?

М15.6, М15.8,
М21.1, М21.7,
М32.1

11

6.2.1

Регламентируются ли в проектной и эксплуатационной документации процессы обработки персональных данных, а также порядок установки, настройки, эксплуатации и восстановления необходимых технических и программных средств?

М2.1, М8.6, М15.6, М15.7

12

6.2.2

Обеспечиваются ли идентификация и аутентификация (проверка подлинности) субъекта доступа при входе в ИСПДн по идентификатору (коду) и периодически обновляемому паролю длиной не менее шести буквенно-цифровых символов?

Ограничено ли при наличии технической возможности количество последовательных неудачных попыток ввода пароля (от 3 до 5 попыток)?

Блокируют ли при превышении указанного количества средства защиты и механизмы защиты возможность дальнейшего ввода пароля, включая правильное значение пароля, до вмешательства администратора информационной безопасности?

Регламентируются ли порядок формирования и смены паролей, а также порядок контроля исполнения этих процедур разработчиком ИСПДн в эксплуатационной документации в инструкциях (руководствах) администраторов информационной безопасности?

М3.5, М3.6, М3.7, М3.8,
М15.6, М15.8

13

6.2.3

Осуществляется ли передача персональных данных только при условии обеспечения их целостности с помощью защитных мер, механизмов и средств, применяемых по согласованию со структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных?

М3.9, М5.1, М5.15, М5.23, М11.9, М28.9

14

6.3.2

Обеспечивается ли выполнение функций обеспечения безопасности персональных данных в ИСПДн средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, а также комплексом встроенных механизмов защиты электронных вычислительных машин (ЭВМ), операционных систем (ОС), систем управления базами данных (СУБД), прикладного программного обеспечения (ПО)?

М2.1, М3.4

15

6.3.3

Выполнены ли разработчиком ИСПДн на стадии ввода в действие настройки средств и механизмов обеспечения безопасности, не допускающие несанкционированного изменения пользователем предоставленных ему полномочий?

Определен ли разработчиком ИСПДн порядок постоянного контроля фактического состояния настроек средств и механизмов обеспечения безопасности на предмет их соответствия установленным правилам?

Согласован ли указанный порядок со структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных, и согласован ли со службой ИБ организации?

М3.4, М11.9, М21.1, М28.9

16

6.3.4

Выполняется ли в обязательном порядке регистрация входа в ИСПДн (выхода из ИСПДн) субъектов доступа? Указываются ли в журнале регистрации событий, который ведется в электронном виде ИСПДн, следующие параметры:

- дата и время входа в систему (выхода из системы) субъекта доступа;

- идентификатор субъекта, предъявленный при запросе доступа;

- результат попытки входа: успешная или неуспешная (несанкционированная);

- идентификатор (адрес) устройства (компьютера), используемого для входа в систему?

М3.11, М3.12

17

6.3.6

Определен ли в организации и зафиксирован ли документально порядок постановки на учет и снятия с учета машинных носителей, предназначенных для размещения персональных данных?

Проводится ли снятие с учета машинных носителей, на которых были размещены персональные данные, по акту путем стирания с них информации средствами гарантированного стирания информации или по акту путем их уничтожения?

Регламентируется ли разработчиком ИСПДн в эксплуатационной документации на ИСПДн процедура стирания информации в зависимости от применяемого средства гарантированного стирания?

Осуществляется ли (при наличии технической возможности) очистка освобождаемых областей памяти на носителях, ранее использованных для хранения персональных данных?

М2.16, М2.17,
М3.1, М3.11, М3.12,
М8.1, М8.6, М8.7,
М12.2, М12.3
М17.2

18

6.3.7

Определены ли в соответствии с требованиями пункта 7.9.7 СТО БР ИББС-1.0 и зафиксированы ли документально состав и назначение ПО ИСПДн?

М2.13, М2.14,
М8.9, М8.10

19

6.3.8

Регламентирован ли порядок внесения изменений в установленное ПО ИСПДн, включая контроль действий программистов в процессе модификации ПО? Учтены ли эталонные копии ПО, регламентирован ли доступ к ним? Готовятся ли разработчиком ИСПДн соответствующие регламенты в виде инструкций, руководств и включаются ли в эксплуатационную документацию на ИСПДн?

М2.1, М2.13, М2.14,
М15.6, М15.7, М15.8

20

6.3.9

Подлежат ли резервному копированию все программные средства, архивы, журналы, информационные ресурсы (данные), используемые и создаваемые в процессе эксплуатации ИСПДн?

Предусматривают ли средства восстановления функций обеспечения безопасности персональных данных в ИСПДн ведение не менее двух независимых копий программных средств?

Регламентирован ли порядок создания и сопровождения резервных копий, включающий способ и периодичность копирования, процедуры создания, учета, хранения, использования (для восстановления) и уничтожения резервных копий, разработчиком ИСПДн в эксплуатационной документации на ИСПДн?

М2.13, М2.14, М8.13, М20.3, М20.5

21

6.3.10

Осуществляется ли (в случае нештатной ситуации) восстановление функций обеспечения безопасности персональных данных в ИСПДн администратором ИСПДн с обязательным привлечением администратора информационной безопасности ИСПДн (при необходимости - с привлечением специалистов структурного подразделения или должностного лица (работника) организации, ответственного за обеспечение безопасности персональных данных, и службы ИБ организации)?

Регламентирована ли разработчиком ИСПДн в эксплуатационной документации на ИСПДн процедура восстановления?

М1.1, М1.3, М1.4,
М2.5, М2.6, М2.13,
М8.4, М8.5, М8.13,
М20.2

22

6.3.11

Осуществляется ли подключение ИСПДн к ИСПДн другого класса или к сети Интернет с использованием средств межсетевого экранирования (межсетевых экранов), которые обеспечивают выполнение следующих функций:

- фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

- идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

- регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

- возможность проверки (контроля) целостности программной и информационной части средства межсетевого экранирования (в том числе с применением внешних программных средств, не встроенных в средство межсетевого экранирования);

- фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

- восстановление свойств межсетевого экрана после сбоев и отказов оборудования (в том числе с применением внешних программных средств, не встроенных в средство межсетевого экранирования);

- возможность проведения регламентного тестирования реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления (в том числе с применением внешних программных средств, не встроенных в средство межсетевого экранирования)?

М5.1, М5.15, М5.23

23

6.4.1

Выполняются ли для информационных систем обработки биометрических персональных данных требования, установленные постановлением Правительства от 6 июля 2008 года N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"?

М2.5, М2.6,
М3.1, М3.3, М3.4, М3.7, М3.8, М3.9, М3.10, М3.11, М3.12,
М6.3, М6.4, М8.1, М8.7, М11.9, М12.2, М12.3, М17.2, М28.9

24

6.5.2

Осуществляется ли идентификация по логическим именам информационных ресурсов (например, информационных массивов, баз данных, файлов, обрабатывающих их программ), содержащих персональные данные?

М3.4, М3.5

25

6.5.3

Осуществляется ли обязательный контроль доступа субъектов к защищаемым информационным ресурсам в соответствии с правами доступа указанных субъектов?

М3.2, М3.4, М3.5, М3.6, М3.7, М3.8

26

6.5.4

Выполняется ли в обязательном порядке регистрация печати материалов, содержащих персональные данные? Указываются ли в журнале регистрации событий, который ведется в электронном виде ИСПДн, следующие параметры:

- дата и время печати;

- спецификация устройства печати (логическое имя (номер) внешнего устройства);

- полное наименование (вид, шифр, код) материала;

- идентификатор субъекта доступа, запросившего печать материала;

- объем фактически отпечатанного материала (количество страниц, листов, копий) и результат печати: успешная (весь объем) или неуспешная?

М3.11, М3.12

27

6.5.5

Выполняется ли обязательная регистрация запуска программ и процессов, осуществляющих доступ к защищаемым информационным ресурсам?

Указываются ли в журнале регистрации событий, который ведется в электронном виде ИСПДн, следующие параметры:

- дата и время запуска;

- имя (идентификатор) программы (процесса, задания);

- идентификатор субъекта доступа, запросившего программу (процесс, задание);

- результат попытки запуска: успешная или неуспешная (несанкционированная);

- дата и время попытки доступа к защищаемому информационному ресурсу;

- имя (идентификатор) защищаемого информационного ресурса;

- вид запрашиваемой операции (например, чтение, запись, модификация, удаление);

- результат попытки доступа: успешная или неуспешная (несанкционированная)?

М3.11, М3.12

28

6.5.6

Выполняется ли обязательная регистрация изменений полномочий субъектов доступа и статуса объектов доступа (защищаемых информационных ресурсов)?

Указываются ли в журнале регистрации событий, который ведется в электронном виде ИСПДн, следующие параметры:

- дата и время изменения;

- содержание изменения с указанием идентификатора субъекта доступа, чьи полномочия подверглись изменению, или логического имени защищаемого информационного ресурса, чей статус изменился;

- идентификатор администратора информационной безопасности, осуществившего изменение?

М3.11, М3.12

29

6.3.5

6.5.7

Не имеют ли ИСПДн субъектов доступа, обладающих полномочиями, а при возможности и техническими средствами по уничтожению и модификации информации, содержащейся в журналах регистрации событий, указанных в пунктах 6.3.4, 6.5.4-6.5.6 РС БР ИББС-2.3?

Регламентирована ли очистка журналов регистрации событий, указанных в пунктах 6.3.4, 6.5.4-6.5.6 РС БР ИББС-2.3, разработчиком ИСПДн в эксплуатационной документации на ИСПДн?

Проводится ли перед очисткой журналов регистрации событий, указанных в пунктах 6.3.4, 6.5.4-6.5.6 РС БР ИББС-2.3, архивирование содержащейся в них информации путем перемещения информации в соответствующий архив?

Регистрируются ли операции по архивированию журнала регистрации событий, указанных в пунктах 6.3.4, 6.5.4-6.5.6 РС БР ИББС-2.3, с указанием времени и идентификатора работника, выполнившего операцию, в качестве первой записи в действующем журнале регистрации событий?

Уничтожаются ли архивы журналов регистрации событий, указанных в пунктах 6.3.4, 6.5.4-6.5.6 РС БР ИББС-2.3, только администратором информационной безопасности, в зоне ответственности которого находятся данные архивы не ранее чем через три года с момента появления последней записи в данной архивной копии?

М1.9, М3.11, М3.12, М8.4, М8.5, М15.6, М15.8

30

6.5.8

В случае, если комплекс средств автоматизации ИСПДн представляет собой автономное, изолированное на физическом уровне в соответствии с эталонной моделью взаимодействия открытых систем - моделью OSI, автоматизированное рабочее место (АРМ) работника или работников - исключены ли из ИСПДн программные средства, предназначенные для разработки и отладки ПО (либо содержащие средства разработки, отладки и тестирования программно-аппаратного обеспечения)?

В случае, если стандартные программные средства общего назначения (например, MS Office) не обеспечивают возможности выборочного удаления из них средств разработки и отладки ПО - введен ли документально запрет использования отдельных компонент (средств разработки и отладки ПО) стандартных программных средств общего назначения (например, MS Office)?

М2.1, М2.13

31

6.5.9

В случае, если комплекс средств автоматизации ИСПДн включает одно или несколько сетевых АРМ, сетевого оборудования и серверов - располагаются ли технические и программные средства, предназначенные для разработки и отладки ПО либо содержащие средства разработки, отладки и тестирования программно- аппаратного обеспечения, в сегментах локальной вычислительной сети (ЛВС), изолированных (на уровне не выше сетевого в соответствии с эталонной моделью взаимодействия открытых систем - моделью OSI) от сегментов, задействованных в обработке персональных данных?

Регламентированы ли разработчиком в эксплуатационной документации на ИСПДн параметры настроек технических и программных средств, обеспечивающих указанное разделение, а также процедура контроля этих параметров настроек?

В случае, если стандартные программные средства общего назначения (например, MS Office) не обеспечивают возможности выборочного удаления из них средств разработки и отладки ПО - введен ли документально запрет использования отдельных компонент (средств разработки и отладки ПО) стандартных программных средств общего назначения (например, MS Office), использующихся в сегментах, задействованных в обработке персональных данных?

М2.7, М2.10, М8.8, М8.12

32

6.5.10

В случае осуществления передачи персональных данных между подразделениями организации по телекоммуникационным каналами линиям связи, не принадлежащим организации или не пролегающим только по территории организации - осуществляется ли такая передача только при обеспечении защиты персональных данных с помощью организации виртуальных частных сетей (Virtual Private Network - VPN) или иных защитных мер, механизмов и средств, применение которых определяется структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных, и согласовывается со службой ИБ организации?

М3.4, М6.1

33

6.5.11

В случае осуществления передачи персональных данных по телекоммуникационным каналам и линиям связи между подразделениями организации, с одной стороны, и внешними организациями, с другой стороны - осуществляется ли такая передача с использованием сертифицированных СКЗИ или иных защитных механизмов, применение которых определяется структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных, и согласовывается со службой ИБ организации?

В случае использования СКЗИ - выполняются ли требования нормативных правовых актов ФСБ России?

В случае обмена информацией с другой организацией - определены ли соглашением сторон (в частности, условиями договора) правила использования СКЗИ?

В случае отсутствия указанной технической возможности - осуществляется ли передача персональных данных в электронном виде на съемных носителях в порядке, согласованном со структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных, и со службой ИБ организации?

М3.4, М6.1, М11.9

34

6.5.12

Осуществляется ли подключение ИСПДн к ИСПДн другого класса или к сети Интернет с использованием средств межсетевого экранирования (межсетевых экранов), которые имеют подтвержденный сертификатом класс защиты не ниже четвертого при возможности информационного обмена между всеми компонентами защищаемой ИСПДн без использования компонентов других автоматизированных банковских систем организации (в иных случаях - не ниже третьего класса)?

Указанные классы защиты устанавливаются в соответствии с руководящим документом "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", утвержденного решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 года.

М3.4,
М5.1, М5.15, М5.23