В область оценки нормативно-распорядительных документов вошли:
Таблица 3. Типы документов, предоставленных для анализа
№ п/п
Типы документов
1.
Внутренние нормативные документы КБ «Кубань Кредит» ООО;
2.
Договоры с контрагентами КБ «Кубань Кредит» ООО;
3.
Документация разработчиков программных средств.
В область оценки вошли следующие объекты информационной системы Банка:
Таблица 4. Объекты наблюдения
№ п/п
Объекты наблюдения
1.
Proxy-сервер
2.
АБС «RSBank»
3.
АБС «UBS»
4.
АБС «Сапфир»
5.
АС «Эскорд» (банк-клиент Сбербанк)
6.
Контроллер домена
7.
Криптомаршрутизатор TRouter
8.
Маршрутизатор Cisco
9.
Межсетевой экран Cisco ASA
10.
Межсетевой экран Cisco PIX
11.
Межсетевой экран ФПСУ-IP
12.
ПАК «Аккорд-AMDZ»
13.
Платежная система «CyberPlat»
14.
Помещение резервной серверной
15.
Помещение серверной
16.
Программное обеспечение Help Desk
17.
Программное обеспечение Lotus Notes 7
18.
Сканер безопасности Xspider 7
19.
Программное обеспечение «Коммунальная бухгалтерия»
20.
Рабочее место «Micex Trade TI» (ММВБ - торговые сделки)
21.
Рабочее место - Передача отчетности в НБКИ
22.
Рабочее место - Передача отчетности в ПФР
23.
Рабочее место - Передача отчетности в ФНС
24.
Рабочее место - Передача отчетности в ФСС
25.
Рабочее место - Передача отчетности в ЦБ
26.
Рабочее место «УРМ Луч» (ММВБ - ценные бумаги)
27.
Рабочие места КБР, РЦИ, БЭСП
28.
Рабочие места пользователей (ГО КБ «Кубань Кредит» ООО)
29.
Рабочие места пользователей (ДО «Центральный»)
30.
СКЗИ «Крипто-КОМ»
31.
СКЗИ «Верба»
32.
СКЗИ «Крипто-ПРО»
33.
СКЗИ «Агава»
34.
СКЗИ «Сигнатура»
35.
Сервер БД АБС «RSBank»
36.
Сервер БД «АБС UBS»
37.
Сервер видеонаблюдения Procam
38.
Сервер внешней почты Postfix
39.
Сервер внутренней почты MS Exchange
40.
Сервер обновлений WSUS
41.
Система ДБО «InterBank RS» (юр. лица)
42.
Система ДБО «UniSAB» (физ. лица)
43.
Система антивирусной защиты Dr.Web for Linux (postfix, proxy)
44.
Система антивирусной защиты Eset NOD32
45.
Система антивирусной защиты Kaspersky Antivirus
46.
Система банк-клиент «Альфа-Банк»
47.
Система банк-клиент КБ «Платина»
48.
Система банк-клиент «МДМ Банк»
49.
Система банк-клиент «ММВБ-Расчетная Палата»
50.
Система банк-клиент НКО ЗАО «Лидер»
51.
Система банк-клиент «Промсвязьбанк»
52.
Система банк-клиент «Юнистрим»
53.
Система денежных переводов «Western Union»
54.
Система денежных переводов «Анелик»
55.
Система денежных переводов «Лидер»
56.
Система денежных переводов «Юнистрим»
57.
Система межбанковских расчетов «SWIFT»
58.
Терминальные серверы АБС (Blade1 - Blade10)
59.
Удостоверяющий центр «Юнистрим»
60.
Файловый сервер ГО
61.
Файловый сервер ДО «Центральный»
Сотрудники подразделений, которые вошли в область оценки результатов опроса:
Таблица 5. Список опрошенных лиц
№ п/п
ФИО
Должность
1.
А.А. Говоруха
Главный специалист по кредитованию и экономической работе ДО «Центральный»
2.
А.А. Лола
Старший специалист Сетора информационной безопасности
3.
А.В. Киров
Пресс-секретарь Управления по информационной политике, рекламе и связям с общественностью
4.
А.В. Ковалев
Специалист по кредитованию и экономической работе ДО «Центральный»
5.
А.В. Козырь
Старший инженер-программист Сектора сопровождения расчетных операций
6.
А.М. Дергачев
Старший инженер Отдела системного администрирования, сетевых технологий и телекоммуникаций
7.
А.Н. Корогод
Ведущий инженер Отдела технического обеспечения и поддержки пользователей
8.
А.С. Кандауров
Начальник Департамента по безопасности и кадровым вопросам
9.
В.А. Москальченко
Главный специалист Технологического отдела
10.
Г.Н. Яняк
Начальник Управления финансового анализа и риск-менеджмента
11.
Д.А. Голуб
Юрисконсульт ДО «Центральный»
12.
Д.В. Калюжный
Администратор базы данных Отдела автоматизации банковской системы
13.
Д.В. Якушев
Старший специалист Сектора по информационной безопасности
14.
Д.Г. Иванов
Начальник Отдела дистанционного банковского обслуживания
15.
Д.Г. Яремчук
Старший инженер Отдела системного администрирования, сетевых технологий и телекоммуникаций
16.
Е.В. Литвинов
Старший инженер-программист Отдела системного администрирования, сетевых технологий и телекоммуникаций
17.
Е.С Галка
Специалист Сектора денежных переводов
18.
Е.С. Простякова
Председатель Правления
19.
Е.Ф. Мойсиева
Старший специалист Сектора учета и контроля платежей операционных касс г. Краснодара
20.
И.В. Белоножко
Специалист Сектора информационной безопасности
21.
И.Г. Ткаченко
Старший специалист Отдела вкладных операций
22.
И.Г. Чуприна
Начальник Службы безопасности
23.
И.О. Джалалова
Специалист Отдела учета и контроля платежей
24.
Л.И. Макашева
Начальник Отдела внутреннего контроля
25.
М.Ю. Чехла
Старший специалист Казначейства
26.
Н.В. Карачева
Специалист Отдела по операционной работе с банковскими картами
27.
Н.В. Цыпленина
Специалист бухгалтерии ДО «Центральный»
28.
Н.И. Мичурина
Заведующая канцелярией
29.
О.О. Рыбченко
Специалист Отдела потребительского кредитования физических лиц
30.
О.Ф. Зверев
Начальник Отдела технического обеспечения и поддержки пользователей
31.
Р.П. Строевский
Специалист Сектора по информационной безопасности
32.
Р.С. Гусев
Ведущий инженер-программист Отдела автоматизации банковской системы
33.
Р.Ф. Павлюк
Специалист Отдела по операционной работе с банковскими картами
34.
С.А. Фролов
Начальник Сектора информационной безопасности
35.
С.В. Бурмистров
Специалист Службы безопасности
36.
С.В. Колесник
Начальник Отдела кадров
37.
С.В. Сметанин
Начальник Отдела автоматизации банковской системы
38.
С.Н. Бутенко
Начальник Технологического отдела
39.
Т.Г. Сараев
Начальник Отдела системного администрирования, сетевых технологий и телекоммуникаций
40.
Ю.В. Никифорова
Начальник Сектора денежных переводов
8. Роли членов аудиторской группы и ответственных лиц со стороны Заказчика
В рамках проведения аудита ИБ предусмотрены следующие роли:
8.1. Со стороны Исполнителя:
Таблица 6. Роли членов аудиторской группы Исполнителя
Роль
Ф.И.О., должность
Основные функции
Руководитель аудиторской группы
Роман Чаплыгин,
руководитель группы
- управление аудиторской группой;
- контроль результатов аудита
Ведущий аудитор
Константин Малюшкин,
ведущий консультант по ИБ
- проведение аудита ИБ на месте;
- сбор и анализ свидетельств аудита;
- оценка свидетельств аудита ИБ;
- подготовка итоговых документов
8.2. Со стороны Заказчика:
Таблица 7. Роли ответственных лиц со стороны Заказчика
Роль
Ф.И.О., должность
Основные функции
Руководитель
проекта
Фролов Сергей Алексеевич,начальник сектора информационной безопасности
- планирование, контроль и координация взаимодействия аудиторской группы Исполнителя и ответственных лиц Заказчика;
- обеспечение необходимыми ресурсами аудиторской группы Исполнителя;
- согласование свидетельств аудита ИБ
- назначение специалистов, ответственных за предоставление более подробной информации по ИБ
Эксперт по информационным технологиям
Сараев Тимофей Георгиевич,начальник отдела системного администрирования, сетевых технологий и телекоммуникаций
- предоставление общей информации о деятельности структурного подразделения;
- предоставление информации по ИТ-процессам;
- назначение ответственных специалистов для предоставления более подробной информации по ИТ
Эксперт по информационной безопасности
Якушев Дмитрий Владимирович,старший специалист сектора информационной безопасности
- предоставление общей информации о деятельности структурного подразделения;
- предоставление информации по ИБ-процессам;
Внутренний аудитор
Лола Алексей Андреевич, старший специалист сектора информационной безопасности
- координация взаимодействия аудиторской группы Исполнителя и ответственных лиц Заказчика;
- сопровождение аудиторов в ходе проведения аудита ИБ на месте (участие в опросах и наблюдениях)
9. Краткое изложение процесса Аудита ИБ
В ходе мероприятий по аудиту ИБ были выполнены следующие действия:
9.1. Перед началом работ Банку был передан перечень документов, которые должны быть предоставлены для изучения аудиторской группе.
9.2. По результатам анализа представленных документов был оценен ряд частных показателей ИБ и составлен План аудита ИБ на месте (Приложение А), включая свидетельства документальной оценки. Также сформирован список предоставленных документов (Приложение Б).
9.3. В соответствии с разработанным Планом проведен аудит ИБ на месте на объектах КБ «Кубань Кредит» ООО, в ходе которого был проведен ряд опросов и наблюдений. По результатам аудита ИБ на месте сформированы протоколы опроса (Приложение В) и наблюдений (Приложение Г).
9.4. Частные показатели, выполнение которых рекомендуется в соответствии с п. 6.6. СТО БР ИББС-1.2-2009 оценено как «н/о» (нет оценки) по причине их неполного выполнения, приведены в таблице 8.
9.5. Обязательный частный показатель М2.5 оценен как «н/о» в связи с тем, что в Банке не осуществляется разработка АБС.
Таблица 8. Исключенные в ходе оценивания рекомендуемые частные показатели
Код частного показателя
Требование частного показателя
M1.5
Отсутствуют ли в организации роли, совмещающие функции разработки и сопровождения системы/ПО?
M1.8
Отсутствуют ли в организации роли, совмещающие функции администратора системы и администратора информационной безопасности?
M1.9
Отсутствуют ли в организации роли, совмещающие функции по выполнению операций в системе и контроля их выполнения?
M1.13
Определены ли в документах организации процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников?
M1.14
Предусматривают ли указанные в частном показателе М1.13 процедуры документальную фиксацию результатов проводимых проверок?
M1.15
Определены ли в документах организации процедуры внеплановой проверки работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии?
M1.16
Предусматривают ли указанные в частном показателе М1.15 процедуры документальную фиксацию результатов проводимых проверок?
M2.6
Снабжены ли приобретаемые организацией АБС и(или) их компоненты документацией, содержащей описание реализованных защитных мер, в том числе, в отношении угроз ИБ (источников угроз), описанных в модели угроз организации?
M3.4
Применяются ли в составе АБС сертифицированные или разрешенные к применению руководством организации средства защиты информации от НСД и НРД?
M3.15
Используются ли специализированные программные и(или) технические средства для проведения процедур мониторинга и анализа данных регистрации, действия и операций?
M4.4
Организован ли автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных?
M5.3
Проведено ли в организации выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей?
M5.4
Проводится ли наделение работников организации правами пользователя конкретного пакета в соответствии с его должностными обязанностями, в частности, в соответствии с назначенными ему ролями?
M5.5
Оформляется ли документально наделение работников организации правами пользователя конкретного пакета?
M5.13
Используется ли специализированное клиентское программное обеспечение для доступа пользователей к системам дистанционного банковского обслуживания?
M5.16
Организован ли почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (Интернет-киоски)?
M5.21
Не применяется ли в организации практика хранения и обработки банковской информации (в т.ч. открытой) на ЭВМ, с помощью которой осуществляется взаимодействие с сетью Интернет в режиме on-line?
M6.2
Утверждена ли частная политика, касающаяся применения СКЗИ в организации?
M6.11
Реализованы ли процедуры мониторинга, регистрирующие все значимые события, состоявшиеся в процессе обмена криптографически защищенными данными, и всех инциденты ИБ?
M7.8
Осуществляется ли обработка платежной информации и контроль (проверка) результатов обработки разными работниками/автоматизированными процессами?
M7.20
Организован ли в организации авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип «двойного управления»)?
M8.4
Возложены ли обязанности по администрированию средств защиты неплатежной информации приказами или распоряжениями по организации на администраторов ИБ, с отражением этих обязанностей в должностных инструкциях?
M8.8
Изолированы ли сервера, офисные ЭВМ и другое оборудование, не входящее в состав АБС, реализующих банковские информационные технологические процессы, от указанных АБС на уровне локальных вычислительных сетей способом, согласованным со службой либо лицом, отвечающим в организации за ИБ?
M9.4
Проводится ли в организации классификация персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных?
M9.17
Используется ли при обработке ПДн в ИСПДн для каждой категории персональных данных отдельный материальных носитель? Примечание: если в ИСПДн обрабатываются ПДн только одной категории, то показателю присваивается оценка «н/о».
M13.6
Создан ли и поддерживается ли в актуальном состоянии единый информационный ресурс (база данных), содержащий информацию об инцидентах ИБ?
M15.1
Проводится ли разработка и коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации, с учетом рекомендаций по стандартизации Банка России РС БР ИББС– 2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0»?
M19.2
Сформирована и поддерживается ли в актуальном состоянии централизованная база инцидентов ИБ?
M22.2
Организован ли порядок проведения самооценки ИБ в соответствии с рекомендациями по стандартизации Банка России РС БР ИББС-2.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС–1.0»?
9.6. После согласования вывода и оценки частных показателей проведено вычисление оценок по следующим направлениям:
- уровень ИБ при обработке ПДн;
- текущий уровень ИБ;
- менеджмент ИБ;
- осознание ИБ.
Оценка показателя определена, исходя из оценки свидетельств, полученных в ходе опросов и наблюдений, и свидетельстве документальной оценки.
9.7. Исходя из полученных оценок по каждому направлению, сформирован итоговый рейтинг Банка.
9.8. По результатам проведенного аудита ИБ сформированы выводы (раздел 12) и заключение (раздел 13)Ошибка! Источник ссылки не найден., содержащее результаты оценивания соответствия информационной безопасности Заказчика требованиям Стандарта.
9.9. После определения уровня соответствия Банка требованиям Стандарта разработан настоящий отчет по результатам аудита ИБ.
10. реультаты оценки показателей
В результате обработки (взвешенного усреднения) оценок степени выполнения требований СТО БР ИББС-1.0-2010 для всех частных показателей ИБ получена диаграмма оценки групповых показателей по уровням соответствия ИБ (рисунок 1), основанная на полученных оценках для 34 групповых показателей ИБ (таблица 9).
Рисунок 1. Оценки групповых показателей по уровням соответствия ИБ требованиям СТО БР ИББС-1.0-2010
5 уровень [0.95-1]
3 уровень [0.7-0.85)
1 уровень [0.25-0.5)
Таблица 9. Оценки групповых показателей
Начало формы
Код
Наименование показателя
Оценка
M1
Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу
0.7113
M2
Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла
0.3940
M3
Обеспечение информационной безопасности при управлении доступом и регистрации
0.5588
M4
Обеспечение информационной безопасности средствами антивирусной защиты
0.8235
M5
Обеспечение информационной безопасности при использовании ресурсов сети Интернет
0.6148
M6
Обеспечение информационной безопасности при использовании средств криптографической защиты информации
0.7941
M7
Обеспечение информационной безопасности банковских платежных технологических процессов
0.6216
M8
Обеспечение информационной безопасности банковских информационных технологических процессов
0.5513
M9
Общие требования по обработке персональных данных в организации БС РФ
0.5000
M10
Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные
0.8000
M11
Организация и функционирование службы ИБ организации БС РФ
0.9232
M12
Определение/коррекция области действия СОИБ
0.7372
M13
Выбор/коррекция подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ
0.6019
M14
Разработка планов обработки рисков нарушения ИБ
0.0000
M15
Определение/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ
0.4434
M16
Принятие руководством организации БС РФ решений о реализации и эксплуатации СОИБ
0.5358
M17
Организация реализации планов внедрения СОИБ
0.3286
M18
Разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ
0.2380
M19
Организация обнаружения и реагирования на инциденты безопасности
0.3864
M20
Организация обеспечения непрерывности бизнеса и его восстановления после прерываний
0.5806
M21
Мониторинг и контроль защитных мер
0.3872
M22
Проведение самооценки ИБ
0.2823
M23
Проведение аудита ИБ
0.9114
M24
Анализ функционирования СОИБ
0.3394
M25
Анализ СОИБ со стороны руководства организации БС РФ
0.3134
M26
Принятие решений по тактическим улучшениям СОИБ
0.4945
M27
Принятие решений по стратегическим улучшениям СОИБ
0.3890
M28
Оценка деятельности руководства организации БС РФ по поддержке функционирования службы ИБ организации БС РФ
0.9232
M29
Оценка деятельности руководства организации БС РФ по принятию решений о реализации и эксплуатации СОИБ
0.5358
M30
Оценка деятельности руководства организации БС РФ по поддержке планирования СОИБ
0.3576
M31
Оценка деятельности руководства организации БС РФ по поддержке реализации СОИБ
0.4162
M32
Оценка деятельности руководства организации БС РФ по поддержке проверки СОИБ
0.6007
M33
Оценка деятельности руководства организации БС РФ по анализу СОИБ
0.3144
M34
Оценка деятельности руководства по поддержке совершенствования СОИБ
0.7688
Исходя из оценок групповых показателей, вычислены оценки направлений обеспечения ИБ, представленные в Таблице 10.
Таблица 10. Оценки направлений обеспечения ИБ
Текущий уровень ИБ
EVБПТП
Уровень ИБ банковского платежного технологического процесса
0.6455
EVБИТП
Уровень ИБ банковского информационного технологического процесса
0.6354
EVОOПД
Уровень обработки персональных данных
0.5000
EV1ОЗПД
Уровень защиты персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0
0.6362
EV2ОЗПД
Уровень защиты персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0
0.6560
Итоговая оценка Текущего уровня ИБ организации (EV1)
0.5000
Итоговая оценка Менеджмента ИБ организации (EV2)
0.4643
Итоговая оценка Уровня осознания ИБ организации (EV3)
0.5595
Итоговый уровень ИБ организации (R)
0.4643
Круговая диаграмма, отображающая полученные результаты оценки направлений обеспечения ИБ приведена на рисунке 2.
Рисунок 2. Оценки итоговых показателей по уровням соответствия ИБ требованиям СТО БР ИББС-1.0-2010
Диапазоны
5 уровень [0.95-1]
4 уровень [0.85-0.95)
3 уровень [0.7-0.85)
2 уровень [0.5-0.7)
1 уровень [0.25-0.5)
0 уровень [0-0.25)
11. формирование итогового рейтинга Банка
Согласно п. 10.2. Методики итоговый уровень R соответствия ИБ организации требованиям СТО БР ИББС–1.0-2010 определяется по наименьшему значению из трех оценок по направлениям оценки:
- оценки текущего уровня ИБ организации ( );
- оценки менеджмента ИБ организации ( );
- оценки осознания ИБ организации ( ).
Как указано выше, для Банка в условиях оценки, описанных в настоящем отчете, получены следующие значения оценок по направлениям:
EV1 = 0.50, что соответствует второму уровню соответствия ИБ требованиям СТО БР ИББС–1.0-2010;
EV2 = 0.46,что соответствует первому уровню соответствия ИБ требованиям СТО БР ИББС–1.0-2010;
EV3 = 0.56, что соответствует второму уровню соответствия ИБ требованиям СТО БР ИББС–1.0-2010.
Итоговый уровень R соответствия ИБ организации требованиям СТО БР ИББС-1.0-2010 - первый.
12. Выводы по результатам аудита ИБ
Цель аудита, связанная с формирование итогового рейтинга Заказчика в обеспечении ИБ на основе определения уровней соответствия ИБ Банка принципам, положениям и требованиям Стандарта, отражающих:
- обеспечение ИБ при обработке ПДн;
- текущий уровень ИБ в Банке;
- менеджмент ИБ Банка;
- уровень осознания ИБ руководством Банка
достигнута в согласованной области аудита ИБ.
При оценке текущего уровня ИБ Банка (EV1 соответствует второму уровню) определено, что не в полном объеме соответствуют требованиям СТО БР ИББС–1.0-2010 процессы и процедуры связанные с обеспечением ИБ:
- при назначении и распределении ролей;
- автоматизированных банковских систем на стадиях жизненного цикла;
- при управлении доступом и регистрации;
- при использовании средств антивирусной защиты;
- при использовании ресурсов сети Интернет;
- при использовании средств криптографической защиты информации;
- при обработке персональных данных в организации БС РФ.
В перечисленных областях определенные и применяемые процедуры не оптимальны, что в большей степени характеризуется отсутствием соответствующих частных политик и процедурных документов.
Проведенный аудит показал, что в Банке на недостаточном уровне организована система менеджмента информационной безопасности, которая оценена на первый уровень соответствия требованиям СТО БР ИББС–1.0-2010. В Банке на достаточно высоком уровне организована служба ИБ, обеспеченная всеми необходимыми для выполнения установленных задач полномочиями и ресурсами. Разработан ряд нормативных документов в части обеспечения ИБ. Проведены мероприятия по проведению самооценки ИБ, аудита ИБ, оценки рисков нарушения ИБ с документированием их результатов. Вместе с тем указанные результаты, на момент проведения аудита, не были должным образом доведены до руководства Банка. Кроме того, в Банке не в полном объеме реализован мониторинг событий ИБ, не проводится регулярное обучение и повышение осведомленности сотрудников Банка по стандартным процедурам ИБ и не выполняются процедуры управления инцидентами ИБ.
Уровень менеджмента ИБ организации (EV2) не достаточно высок и, прежде всего, из-за уровня организации и выполнения процессов планирования, реализации и контроля использования защитных мер.
Повышение до рекомендованного ЦБ РФ уровня СМИБ Банка, прежде всего, будет зависеть от улучшения показателей, связанных с:
- принятием руководством Банка зафиксированных решений о реализации и эксплуатации СОИБ;
- разработкой/коррекцией внутренних документов, регламентирующих деятельность в области обеспечения ИБ;
- мониторингом и контролем защитных мер;
- принятием решений по стратегическим и тактическим улучшениям СОИБ, в том числе по результатам оценки рисков нарушения ИБ, самооценки и аудита ИБ;
- анализом функционирования СОИБ;
- организацией обеспечения непрерывности бизнеса и его восстановления после прерываний;
- разработкой и организацией программ по обучению и повышению осведомленности в области ИБ.
Процессы, связанные с обеспечением ИБ при обработке ПДн, реализованы в Банке на достаточно высоком уровне. Однако ряд выявленных недостатков не позволил Банку выйти на уровень, рекомендуемый Банком России. Для его достижения в Банке необходимо пересмотреть документы, регламентирующие вопросы распределения доступа сотрудников к ПДн, и ознакомить всех сотрудников, работающих с ПДн, со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей.
13. Заключение
Обозначение частного показателя
Частный показатель ИБ
Обоснование выставленной оценки
Оценка частного показателя ИБ
M1
Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу
0.9440
M1.1
Определены ли в документах организации роли ее работников?
Требования частного показателя ИБ полностью установлены в нормативных документах проверяемой организации.
1.0
M1.2
Формируются ли роли, связанные с выполнением деятельности по обеспечению ИБ, на основании требований разделов 7 и 8 стандарта СТО БР ИББС-1.0?
Роли, связанные с выполнением деятельности по обеспечению ИБ, документируются и выполняются с учетом требований разделов 7 и 8 стандарта СТО БР ИББС-1.0, но не в полном объеме.
0.25
M1.3
Персонифицированы ли роли в организации с установлением ответственности за их выполнение?
Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в полном объеме
1.0
M1.4
Зафиксирована ли документально в должностных инструкциях ответственность за выполнение ролей?
Ответственность за выполнение ролей зафиксирована документально в должностных инструкциях соответствующих сотрудников.
1.0
M1.5
Отсутствуют ли в организации роли, совмещающие функции разработки и сопровождения системы/ПО?
В Банке допускается совмещение функции разработки и сопровождения АБС. В связи с этим частный показатель оценивается как "н/о".
н/о
M1.6
Отсутствуют ли в организации роли, совмещающие функции разработки и эксплуатации системы/ПО?
В Банке отсутствуют роли, совмещающие функции разработки и эксплуатации системы/ПО.
1.0
M1.7
Отсутствуют ли в организации роли, совмещающие функции сопровождения и эксплуатации?
В Банке отсутствуют роли, совмещающие функции сопровождения и эксплуатации АБС и систем ДБО.
1.0
M1.8
Отсутствуют ли в организации роли, совмещающие функции администратора системы и администратора информационной безопасности?
В связи с тем, что в Банке не в полном объеме распределены роли администратора системы и администратора информационной безопасности, частный показатель оценивается как "н/о".
н/о
M1.9
Отсутствуют ли в организации роли, совмещающие функции по выполнению операций в системе и контроля их выполнения?
В Банке присутствуют роли, совмещающие функции по выполнению операций в системе и контроля их выполнения. В связи с этим, частный показатель оценивается как "н/о".
н/о
M1.10
Определены ли документально в организации и выполняются ли процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации?
Требования частного показателя ИБ не установлены в нормативных документах Банка и не выполняются.
0.0
M1.11
Определены ли в документах организации процедуры приема на работу, влияющую на обеспечение ИБ, включающие: ? проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических навыков; ? проверку в части профессиональных навыков и оценку профессиональной пригодности?
Процедуры приема сотрудников на работу, влияющую на обеспечение ИБ, в документах Банка не определены.
0.5
M1.12
Предусматривают ли указанные в частном показателе М1.11 процедуры документальную фиксацию результатов проводимых проверок?
Процедуры приема сотрудников на работу, влияющую на обеспечение ИБ, выполняются, но результаты их выполнения документируются не в полном объеме.
0.0
M1.13
Определены ли в документах организации процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников?
Частный показатель оценивается как "н/о", в связи с отсутствием соответствующей документации.
н/о
M1.14
Предусматривают ли указанные в частном показателе М1.13 процедуры документальную фиксацию результатов проводимых проверок?
Частный показатель оценивается как "н/о" в связи с отсутствием соответствующей документации.
н/о
M1.15
Определены ли в документах организации процедуры внеплановой проверки работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии?
Частный показатель оценивается как "н/о" в связи с отсутствием соответствующей документации.
н/о
M1.16
Предусматривают ли указанные в частном показателе М1.15 процедуры документальную фиксацию результатов проводимых проверок?
Частный показатель оценивается как "н/о" в связи с отсутствием соответствующей документации.
н/о
M1.17
Обязаны ли все работники организации давать письменные обязательства о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов?
Все сотрудники Банка дают письменные обязательства о соблюдении конфиденциальности и приверженности правилам корпоративной этики, но обязательства не включают требований по недопущению конфликта интересов.
0.75
M1.18
Регламентируются ли положениями, включенными в договора (соглашения) с внешними организациями и клиентами, требования по ИБ?
Требования по ИБ регламентируются включаемыми в договоры соглашениями о конфиденциальности.
1.0
M1.19
Определены ли в трудовых контрактах (соглашениях, договорах) и(или) должностных инструкциях обязанности персонала по выполнению требований ИБ?
Обязанности сотрудников по выполнению требований ИБ включены в их должностные инструкции.
1.0
M1.20
Приравнивается ли невыполнение работниками организации требований ИБ к невыполнению должностных обязанностей и приводит ли, как минимум, к дисциплинарной ответственности?
Требования частного показателя ИБ полностью установлены во внутренних нормативных документах Банка и выполняются в полном объеме.
1.0
M2
Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла
0.4433
M2.1
Рассматриваются ли при формировании требований ИБ следующие стадии модели ЖЦ АБС: – разработка технических заданий; – проектирование; – создание и тестирование; – приемка и ввод в действие; – эксплуатация; – сопровождение и модернизации; – снятие с эксплуатации?
Требования ИБ сформированы для всех стадий жизненного цикла АБС.
1.0
M2.2
Осуществляются ли разработка технических заданий и приемка АБС по согласованию и при участии подразделения (лиц) в организации, ответственных за обеспечение ИБ?
Участие Сектора ИБ в разработке ТЗ и проведении ПСИ в полном объеме регламентировано документами Банка, но выполняется не для всех АБС, применяемых в Банке.
0.75
M2.3
Осуществляются ли ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации АБС под контролем подразделений (лиц) в организации, ответственных за обеспечение ИБ?
Требования частного показателя ИБ частично установлены во внутренних нормативных документах Банка, но выполняются в полном объеме.
0.75
M2.4
Имеют ли соответствующие лицензии организации, которые привлекаются на договорной основе для разработки и(или) производства средств и систем защиты АБС?
Организации, которые привлекаются на договорной основе для разработки и(или) производства средств и систем защиты АБС, не имеют соответствующих лицензий.
0.0
M2.5
Снабжены ли разрабатываемые АБС и(или) их компоненты документацией, содержащей описание реализованных защитных мер, в том числе, в отношении угроз ИБ (источников угроз), описанных в модели угроз организации?
В Банке не осуществляется разработка АБС. В связи с этим частный показатель оценивается как "н/о".
н/о
M2.6
Снабжены ли приобретаемые организацией АБС и(или) их компоненты документацией, содержащей описание реализованных защитных мер, в том числе, в отношении угроз ИБ (источников угроз), описанных в модели угроз организации?
Частный показатель оценивается как "н/о" в связи с тем, что в документации на приобретаемые АБС отсутствует описание реализованных защитных мер.
н/о
M2.7
Содержит ли документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки?
Документация на приобретаемые готовые АБС и их компоненты не содержит описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.
0.0
M2.8
Реализуется ли при взаимодействии организации с разработчиком АБС и их компонентов одна из трех альтернатив: 1. в договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов включаются положения по сопровождению поставляемых изделий на весь срок их службы; 2. организация приобретает полный комплект рабочей конструкторской документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика; 3. руководство организации оценивает и документально оформляет допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов?
Банком заключены и ежегодно продлеваются договоры на сопровождение поставляемых АБС.
1.0
M2.9
Учитывается ли при разработке технических заданий на системы дистанционного банковского обслуживания, что защита данных должна обеспечиваться в условиях: ? попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования; ? возможности ошибок авторизованных пользователей систем; ? возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями?
Технические задания на системы ДБО не разрабатывались.
0.0
M2.10
Обеспечивается ли на стадии тестирования анонимность данных и проверка адекватности разграничения доступа?
Требования частного показателя ИБ не установлены в документах Банка и не выполняются.
0.0
M2.11
Определены ли в документах организации и выполняются ли на стадии эксплуатации АБС процедуры контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер?
Процедуры контроля работоспособности реализованных в АБС защитных мер частично определены в документах Банка и выполняется в неполном объеме.
0.25
M2.12
Предусматривают ли указанные в частном показателе М2.11 процедуры документальную фиксацию результатов контроля?
Процедуры контроля работоспособности реализованных в АБС защитных мер предусматривают документальную фиксацию результатов.
1.0
M2.13
Определены ли в документах организации и выполняются ли на стадии сопровождения (модернизации) АБС процедуры контроля, обеспечивающие защиту от: ? умышленного несанкционированного раскрытия, модификации или уничтожения информации; ? неумышленной модификации, раскрытия или уничтожения информации; ? отказа в обслуживании или ухудшения обслуживания?
Требования частного показателя ИБ не установлены во внутренних нормативных документах Банка и выполняются в неполном объеме.
0.25
M2.14
Предусматривают ли указанные в частном показателе М2.13 процедуры документальную фиксацию результатов контроля?
Процедуры, указанные в частном показателе М2.13, не предусматривают документальную фиксацию результатов контроля.
0.0
M2.15
Проводятся ли на стадии сопровождения (модернизации) при любом внесении изменений в АБС процедуры проверки функциональности, результаты которых документируются?
Требования частного показателя ИБ частично установлены во внутренних нормативных документах Банка, но выполняются в полном объеме.
0.75
M2.16
Определены ли документально и выполняются ли на стадии снятия с эксплуатации процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб бизнес–деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС и с внешних носителей (за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрено соответствующими нормативными и(или) договорными документами)?
Требования частного показателя ИБ частично установлены в нормативных документах Банка, но не выполняются.
0.0
M2.17
Предусматривают ли указанные в частном показателе М2.16 процедуры документальную фиксацию результатов их выполнения?
Указанные в частном показателе М2.16 процедуры не предусматривают документальную фиксацию результатов их выполнения.
0.0
M3
Обеспечение информационной безопасности при управлении доступом и регистрации
0.5918
M3.1
Определен ли в документах организации перечень информационных активов (их типов)?
Перечень информационных активов и их типов в полном объеме определен в документах Банка.
1.0
M3.2
Зафиксированы ли документально права доступа работников и клиентов к информационным активам организации?
Права доступа работников и клиентов к информационным активам Банка зафиксированы документально.
1.0
M3.3
Применяются ли в составе АБС встроенные защитные меры?
В составе АБС Банка применяются встроенные защитные меры.
1.0
M3.4
Применяются ли в составе АБС сертифицированные или разрешенные к применению руководством организации средства защиты информации от НСД и НРД?
Средства защиты от НСД и НРД применяются не во всех АБС Банка. В связи с этим частный показатель оценивается как "н/о".
н/о
M3.5
Определены ли в документах организации, утверждены ли руководством организации, выполняются ли и контролируются ли процедуры идентификации, аутентификации и авторизации?
Процедуры идентификации, аутентификации и авторизации частично определены в документах Банка, утверждены руководством, но выполняются и контролируются в неполном объеме.
0.25
M3.6
Документируются ли результаты контроля процедур, указанных в частном показателе М3.5?
Результаты контроля процедур, указанных в частном показателе М3.5, не документируются.
0.0
M3.7
Определены ли в документах организации, выполняются ли и контролируются ли процедуры управления доступом?
Требования частного показателя ИБ полностью установлены во внутренних нормативных документах Банка и выполняются в неполном объеме.
0.5
M3.8
Документируются ли результаты контроля процедур, указанных в частном показателе М3.7?
Результаты выполнения процедур контроля управления доступом документируются не в полном объеме.
0.5
M3.9
Определены ли в документах организации, выполняются ли и контролируются ли процедуры контроля целостности?
Процедуры контроля целостности частично определены в документах Банка, но выполняются и контролируются не в полном объеме.
0.25
M3.10
Документируются ли результаты контроля процедур, указанных в частном показателе М3.9?
Результаты контроля процедур, указанных в частном показателе М3.9, не документируются.
0.0
M3.11
Определены ли в документах организации, выполняются ли и контролируются ли процедуры регистрации событий и действий?
Процедуры регистрации событий и действий частично определены в документах Банка и выполняются в неполном объеме. Контроль выполнения указанных процедур не осуществляется.
0.25
M3.12
Документируются ли результаты контроля процедур, указанных в частном показателе М3.11?
Результаты контроля процедур, указанных в частном показателе М3.11, не документируются.
0.0
M3.13
Исключают ли процедуры управления доступом возможность «самосанкционирования»?
Требования частного показателя ИБ не установлены во внутренних нормативных документах Банка и выполняются в неполном объеме.
0.0
M3.14
Определены ли в документах организации процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявить неправомерные или подозрительные операции и транзакции?
Процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявить неправомерные или подозрительные операции и транзакции, в документах Банка не определены.
0.0
M3.15
Используются ли специализированные программные и(или) технические средства для проведения процедур мониторинга и анализа данных регистрации, действия и операций?
Система IPS Stonesoft, предназначенная для выполнения мониторинга и анализа событий в сети, находится на стадии внедрения. В связи с этим частный показатель оценивается как "н/о".
н/о
M3.16
Используют ли процедуры мониторинга и анализа документально определенные критерии выявления неправомерных или подозрительных действий и операций?
Критерии выявления неправомерных или подозрительных действий и операций документально не определены.
0.0
M3.17
Применяются ли процедуры мониторинга и анализа на регулярной основе (например, ежедневно), ко всем выполненным операциям и транзакциям?
Процедуры мониторинга и анализа выполненных операций и транзакций выполняются, но не регулярно.
0.5
M3.18
Регламентирован ли во внутренних документах организации порядок доступа работников организации в помещения, в которых размещаются объекты среды информационных активов?
Порядок доступа работников Банка в помещения, в которых размещаются объекты среды информационных активов, полностью определен в документах Банка.
1.0
M3.19
Контролируется ли выполнение порядка доступа работников организации в помещения, в которых размещаются объекты среды информационных активов?
В Банке контролируется выполнение порядка доступа работников организации в помещения, в которых размещаются объекты среды информационных активов.
1.0
M3.20
Оформляются ли документально результаты выполнения контроля порядка доступа работников организации в помещения, в которых размещаются объекты среды информационных активов?
Результаты выполнения контроля порядка доступа работников Банка в помещения, в которых размещаются объекты среды информационных активов документально не оформляются.
0.0
M3.21
Обеспечивают ли используемые в организации АБС, в том числе системы дистанционного банковского обслуживания, возможность регистрации: ? операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов; ? проводимых транзакций, имеющих финансовые последствия; ? операций, связанных с назначением и распределением прав пользователей?
Не все используемые в Банке АБС, в том числе системы дистанционного банковского обслуживания, обеспечивают возможность регистрации событий, указанных в частном показателе.
0.5
M3.22
Реализованы ли в системах дистанционного банковского обслуживания, используемых в организации, защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций (например, ЭЦП)?
В системах дистанционного банковского обслуживания, используемых в Банке, реализованы защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций.
1.0
M3.23
Придано ли протоколам операций, выполняемых посредством дистанционного банковского обслуживания, свойство юридической значимости, например, путем внесения соответствующих положений в договора на дистанционное банковское обслуживание?
Протоколам операций, выполняемых посредством ДБО, придано свойство юридической значимости соответствующими положениями договоров на ДБО.
1.0
M3.24
Производится ли при заключении договоров со сторонними организациями юридическое оформление договоренностей, определяющих необходимый уровень взаимодействия в случае выхода инцидента ИБ за рамки отдельной организации?
Требования частного показателя ИБ выполняются.
1.0
M3.25
Определены ли в документах организации процедуры, определяющие действия работников и клиентов организации в случае компрометации информации, необходимой для их идентификации, аутентификации и(или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев?
Процедуры, определяющие действия сотрудников и клиентов Банка в случае компрометации информации, не содержат информации о способах распознавания таких случаев.
0.5
M3.26
Доведены ли до сведения работников и клиентов организации процедуры, указанные в частном показателе М3.25?
До сведения сотрудников и клиентов Банка процедуры, указанные в частном показателе М3.25, доводятся не в полном объеме.
0.5
M3.27
Предусматривают ли указанные в частном показателе М3.26 процедуры документирование работниками и клиентами своих действий и их результатов?
Указанные в частном показателе М3.26 процедуры предусматривают документирование работниками и клиентами своих действий и их результатов.
1.0
M3.28
Реализованы ли в системах дистанционного банковского обслуживания механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имен?
В системах дистанционного банковского обслуживания реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имен.
1.0
M3.29
Применяются ли в организации защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и(или) авторизации клиентов и работников организации?
Защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности, применяются не на всех АРМ, на которых осуществляется хранение информации, необходимой для регистрации, идентификации, аутентификации и(или) авторизации клиентов и сотрудников Банка.
0.5
M3.30
Регистрируются ли все попытки НСД и НРД к информации, необходимой для идентификации, аутентификации и(или) авторизации клиентов и сотрудников организации?
);
);
).