Куда я попал?
Постановление Правления Национального Банка Республики Казахстан № 110 от 23.11.2020
Приложение к Правилам оценки уровня защищенности от угроз информационной безопасности
Параметры оценки уровня защищенности от угроз информационной безопасности
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
55
%
Входящая логистика
90
%
Создание продукта
56
%
Исходящая логистика
38
%
Маркетинг, продажа
91
%
Обслуживание клиента
84
%
Инфраструктура
67
%
HR-менеджмент
74
%
Технологии
88
%
Закупки / Снабжение
47
%
Опыт клиента
Список требований
-
Отсутствует документ, содержащий описание политики информационной безопасности.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий описание политики информационной безопасности.Обязательно для уровня защищенности УЗ2
-
Периодичность пересмотра документа, содержащего описание политики информационной безопасности, не утверждена.Обязательно для уровня защищенности УЗ1
-
Отсутствует документ, определяющий обязанности руководителей и работников по обеспечению информационной безопасности.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, определяющий обязанности работников по обеспечению информационной безопасности.Обязательно для уровня защищенности УЗ2
-
В наличии утвержденный документ, определяющий обязанности руководителей и работников по обеспечению информационной безопасности.Обязательно для уровня защищенности УЗ3
-
Отсутствует соглашение о неразглашении информации.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденное соглашение о неразглашении информации, но оно не подписано всеми работниками, имеющими доступ к конфиденциальной информации.Обязательно для уровня защищенности УЗ2
-
В наличии утвержденное соглашение о неразглашении информации, которое подписано всеми работниками, имеющими доступ к конфиденциальной информации.Обязательно для уровня защищенности УЗ3
-
Отсутствуют процедуры, определяющие взаимодействие работников с компетентными органами.Обязательно для уровня защищенности УЗ1
-
В наличии задокументированные и утвержденные процедуры, определяющие взаимодействие работников с компетентными органами.Обязательно для уровня защищенности УЗ3
-
Отсутствует утвержденный документ, определяющий порядок взаимодействия работников по информационной безопасности финансовой организации с профессиональными группами, ассоциациями и принятие участия в конференциях (форумах) по информационной безопасности, работники по информационной безопасности осуществляют взаимодействие по собственной инициативе.Обязательно для уровня защищенности УЗ2
-
Внешний аудит информационной безопасности ключевых информационных систем не проводился в течение последних трех лет.Обязательно для уровня защищенности УЗ1
-
В течение последних трех лет проводился внешний аудит обеспечения информационной безопасности более половины из всех ключевых информационных систем.Обязательно для уровня защищенности УЗ2
-
В течение последних трех лет проводился внешний аудит обеспечения информационной безопасности всех ключевых информационных систем.Обязательно для уровня защищенности УЗ3
-
Внешний аудит информационной безопасности ключевых информационных систем не проводится.Обязательно для уровня защищенности УЗ1
-
Доступ третьих лиц к средствам обработки информации финансовой организации не контролируется.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, определяющий обеспечение информационной безопасности при предоставлении доступа третьим лицам к средствам обработки информации.Обязательно для уровня защищенности УЗ2
-
Меры информационной безопасности при предоставлении клиентам доступа к информационным системам финансовой организации не определены.Обязательно для уровня защищенности УЗ1
-
Отсутствует документ, содержащий перечень ключевых информационных систем финансовой организации.Обязательно для уровня защищенности УЗ1
-
Отсутствует документ, содержащий правила использования электронной почты.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий правила использования электронной почты, доведенный до сведения всех работников финансовой организации.Обязательно для уровня защищенности УЗ3
-
Отсутствует документ, содержащий правила использования сети Интернет.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий правила использования сети Интернет, доведенный до сведения всех работников финансовой организацииОбязательно для уровня защищенности УЗ3
-
Отсутствует документ, содержащий перечень защищаемой информации.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий перечень защищаемой информации, доведенный до сведения всех работников финансовой организации.Обязательно для уровня защищенности УЗ3
-
Отсутствует документ, содержащий перечень персональных данных.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий перечень персональных данных, доведенный до сведения всех работников финансовой организации.Обязательно для уровня защищенности УЗ3
-
Отсутствует документ, содержащий правила классификации информации.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий правила классификации информации, доведенный до сведения всех работников финансовой организации.Обязательно для уровня защищенности УЗ3
-
Отсутствует документ, содержащий правила маркировки носителей информации.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий правила маркировки носителей информации, доведенный до сведения всех работников финансовой организации.Обязательно для уровня защищенности УЗ3
-
Отсутствует документ, определяющий роли и функции подразделений или работников финансовой организации в процессах обеспечения информационной безопасности.Обязательно для уровня защищенности УЗ1
-
В трудовых договорах с работниками ответственность работников за несоблюдение требований информационной безопасности не предусмотрена.Обязательно для уровня защищенности УЗ1
-
В трудовых договорах с работниками предусмотрена ответственность работников за несоблюдение требований информационной безопасности.Обязательно для уровня защищенности УЗ3
-
Обучение работников о требованиях правил и процедур по информационной безопасности не проводится.Обязательно для уровня защищенности УЗ1
-
Обучение работников о требованиях правил и процедур по информационной безопасности проводится нерегулярно (менее чем 1 раз в полгода за последние 3 года).Обязательно для уровня защищенности УЗ2
-
Обучение работников о требованиях правил и процедур по информационной безопасности проводится регулярно (не менее чем 1 раз в полгода за последние 3 года).Обязательно для уровня защищенности УЗ3
-
Отсутствует документ, определяющий дисциплинарную ответственность за нарушение правил и процедур по информационной безопасности.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, в котором определена дисциплинарная ответственность за нарушение правил и процедур по информационной безопасности.Обязательно для уровня защищенности УЗ2
-
Процесс контроля возврата активов финансовой организации при увольнении работников отсутствует.Обязательно для уровня защищенности УЗ1
-
Процесс контроля возврата активов финансовой организации при увольнении работников осуществляется в ручном режиме.Обязательно для уровня защищенности УЗ2
-
Процесс контроля возврата активов финансовой организации при увольнении работников частично или полностью автоматизирован.Обязательно для уровня защищенности УЗ3
-
Процесс аннулирования доступа работников к средствам обработки информации при увольнении отсутствует.Обязательно для уровня защищенности УЗ1
-
Процесс аннулирования доступа работников к средствам обработки информации при увольнении осуществляется в ручном режиме.Обязательно для уровня защищенности УЗ2
-
Процесс аннулирования доступа работников к средствам обработки информации при увольнении частично или полностью автоматизирован.Обязательно для уровня защищенности УЗ3
-
Процесс ограничения физического доступа к средствам обработки информации отсутствует.Обязательно для уровня защищенности УЗ1
-
Процесс ограничения физического доступа к средствам обработки информации осуществляется в ручном режиме.Обязательно для уровня защищенности УЗ2
-
Процесс ограничения физического доступа к средствам обработки информации частично или полностью автоматизирован.Обязательно для уровня защищенности УЗ3
-
Серверное оборудование располагается в рабочих кабинетах работников.Обязательно для уровня защищенности УЗ1
-
Серверное оборудование располагается в отдельных помещениях, где поддерживается микроклимат. Мониторинг микроклимата не осуществляется.Обязательно для уровня защищенности УЗ2
-
Отсутствует защита от помех и резервное питание серверного оборудования.Обязательно для уровня защищенности УЗ1
-
В наличии имеется защита от помех и резервное питание до 1-го часа для серверного оборудования.Необязательное требование
-
В наличии имеется защита от помех и резервное питание более 1-го часа для серверного оборудования.Обязательно для уровня защищенности УЗ3
-
Защита каналов связи не осуществляется.Обязательно для уровня защищенности УЗ1
-
Осуществляется шифрование каналов связи между стационарными офисами и устройствами финансовой организации.Обязательно для уровня защищенности УЗ2
-
Уничтожение информации с носителей не регламентировано и не осуществляется.Обязательно для уровня защищенности УЗ1
-
Уничтожение информации с носителей регламентировано и осуществляется штатными средствами операционных систем.Обязательно для уровня защищенности УЗ2
-
Уничтожение информации с носителей регламентировано и осуществляется специализированными средствами гарантированного уничтожения информации.Обязательно для уровня защищенности УЗ3
-
Контроль перемещения оборудования через границу физического периметра безопасности не регламентирован и не осуществляется.Обязательно для уровня защищенности УЗ1
-
Контроль перемещения оборудования через границу физического периметра безопасности регламентирован и осуществляется в ручном режиме.Обязательно для уровня защищенности УЗ2
-
Контроль перемещения оборудования через границу физического периметра безопасности регламентирован и автоматизирован частично или полностью.Обязательно для уровня защищенности УЗ3
-
Правила управления изменениями в ключевых информационных системах не определены.Обязательно для уровня защищенности УЗ1
-
Правила управления изменениями в ключевых информационных системах определены, процесс управления изменениями осуществляется в ручном режиме.Обязательно для уровня защищенности УЗ2
-
Правила управления изменениями в ключевых информационных системах определены, процесс управления изменениями частично или полностью автоматизирован.Обязательно для уровня защищенности УЗ3
-
Среды разработки, тестирования и промышленной эксплуатации ключевых информационных систем не разделены.Обязательно для уровня защищенности УЗ1
-
Разделены среды тестирования и промышленной эксплуатации ключевых информационных систем.Обязательно для уровня защищенности УЗ2
-
Разделены среды разработки, тестирования и промышленной эксплуатации ключевых информационных систем.Обязательно для уровня защищенности УЗ3
-
Работники совмещают обязанности по разработке и внедрению изменений в ключевые информационные системы.Обязательно для уровня защищенности УЗ1
-
Обязанности по разработке и внедрению изменений в ключевые информационные системы разделены между работниками, доступ разработчиков к промышленной среде закрыт.Обязательно для уровня защищенности УЗ3
-
Выявляющее вредоносный программный код программное обеспечение не установлено на всех компьютерах.Обязательно для уровня защищенности УЗ1
-
Резервные копии информации и программного обеспечения ключевых информационных систем не создаются.Обязательно для уровня защищенности УЗ1
-
Ведение журналов аудита ключевых информационных систем не регламентировано, журналы аудита ведутся с настройками «по умолчанию» или не ведутся.Обязательно для уровня защищенности УЗ1
-
Действия привилегированных пользователей в ключевых информационных системах не регистрируются.Обязательно для уровня защищенности УЗ1
-
Действия привилегированных пользователей в ключевых информационных системах регистрируются, но не анализируются на периодической основе.Обязательно для уровня защищенности УЗ2
-
Действия привилегированных пользователей в ключевых информационных системах регистрируются и анализируются на периодической основе.Обязательно для уровня защищенности УЗ3
-
Системное время ключевых информационных систем в пределах финансовой организации не синхронизируется.Обязательно для уровня защищенности УЗ1
-
Системное время ключевых информационных систем в пределах финансовой организации синхронизируется с помощью единого источника точного времени.Обязательно для уровня защищенности УЗ2 УЗ3
-
Для доступа в одну или более ключевые информационные системы не требуется уникального персонального идентификатора.Обязательно для уровня защищенности УЗ1
-
Доступ во все ключевые информационные системы осуществляется по уникальным персональным идентификаторам.Обязательно для уровня защищенности УЗ3
-
Разграничение уровней доступа пользователей используется не во всех ключевых информационных системах.Обязательно для уровня защищенности УЗ1
-
Разграничение уровней доступа пользователей используется во всех ключевых информационных системах.Обязательно для уровня защищенности УЗ3
-
Отсутствует документ, содержащий правила управления паролями пользователей в ключевых информационных системах.Обязательно для уровня защищенности УЗ1
-
Отсутствует документ, содержащий правила периодического пересмотра действующих прав доступа пользователей в ключевых информационных системах.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий правила периодического пересмотра действующих прав доступа пользователей в ключевых информационных системах.Обязательно для уровня защищенности УЗ3
-
Для подключения пользователей извне физического периметра безопасности используется один фактор для аутентификации.Обязательно для уровня защищенности УЗ1
-
Для подключения пользователей извне физического периметра безопасности используется двух- или многофакторная аутентификация.Обязательно для уровня защищенности УЗ3
-
Разграничение информационной сети финансовой организации на группы не предусмотрено.Обязательно для уровня защищенности УЗ1
-
Информационная сеть финансовой организации разграничена на группы по функциональному признаку средств обработки информации.Обязательно для уровня защищенности УЗ2
-
Информационная сеть финансовой организации разграничена на группы на основе классификации обрабатываемой информации.Обязательно для уровня защищенности УЗ3
-
Функционал автоматизированного управления паролями в ключевых информационных системах не используется.Обязательно для уровня защищенности УЗ1
-
В ключевых информационных системах используется функционал самостоятельной смены паролей пользователями, контроля периодической смены пароля.Обязательно для уровня защищенности УЗ2
-
Отсутствует документ, содержащий правила работы в дистанционном режиме.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий правила работы в дистанционном режиме, доведенный до сведения всех работников финансовой организации.Обязательно для уровня защищенности УЗ3
-
Отсутствует документ, содержащий правила использования средств криптографической защиты информации.Обязательно для уровня защищенности УЗ1
-
Отсутствует документ, содержащий правила управления криптографическими ключами.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий правила управления криптографическими ключами.Обязательно для уровня защищенности УЗ3
-
Доступ к исходным кодам ключевых информационных систем не ограничен.Обязательно для уровня защищенности УЗ1
-
Доступ к исходным кодам ключевых информационных систем предоставлен только разработчикамОбязательно для уровня защищенности УЗ2
-
Анализ информации о технических уязвимостях ключевых информационных систем не осуществляется.Обязательно для уровня защищенности УЗ1
-
Отсутствует процесс оповещения работников о необходимости уведомлять о нарушениях информационной безопасности.Обязательно для уровня защищенности УЗ1
-
Работники периодически оповещаются о необходимости уведомлять о нарушениях информационной безопасности.Обязательно для уровня защищенности УЗ2
-
Отсутствует документ, содержащий процедуры реагирования на инциденты информационной безопасности.Обязательно для уровня защищенности УЗ1
-
В наличии утвержденный документ, содержащий процедуры реагирования на инциденты информационной безопасности.Обязательно для уровня защищенности УЗ3
-
Регистрация инцидентов информационной безопасности не ведется.Обязательно для уровня защищенности УЗ1
-
Ведется регистрация инцидентов информационной безопасности, анализ в течение прошедшего года не осуществлялся.Обязательно для уровня защищенности УЗ2
-
Ведется регистрация инцидентов информационной безопасности, результаты анализа за прошедший год зафиксированы документально.Обязательно для уровня защищенности УЗ3
-
Тестирование на проникновение информационной инфраструктуры финансовой организации не осуществляется.Обязательно для уровня защищенности УЗ1
-
Тестирование на проникновение информационной инфраструктуры финансовой организации осуществляется менее одного раза в год.Обязательно для уровня защищенности УЗ2
-
Тестирование на проникновение информационной инфраструктуры финансовой организации осуществляется не менее одного раза в год.Обязательно для уровня защищенности УЗ3
-
Анализ исходных кодов ключевых информационных систем на уязвимости не осуществляется.Обязательно для уровня защищенности УЗ1
-
Анализ исходных кодов ключевых информационных систем на уязвимости осуществляется выборочно, не по каждому изменению в промышленной среде.Обязательно для уровня защищенности УЗ2
-
Анализ исходных кодов ключевых информационных систем на уязвимости осуществляется перед каждым изменением в промышленной среде.Обязательно для уровня защищенности УЗ3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.