Групповой показатель M7 "Обеспечение информационной безопасности банковских платежных технологических процессов"
См. данную форму в MS-Excel.
Групповой показатель M7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬───────────┬─────────────┐
│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент│ Вычисленное │
│ частного │ │ выполнения │ показателя ИБ │значимости │ значение │
│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │
│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.1 │Определен ли в документах организации │ обязательный │ │ │ │ │ │ │ 0,0405 │ │
│ │банковский платежный технологический │ │ │ │ │ │ │ │ │ │
│ │процесс? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.2 │Определены ли документально перечни │ обязательный │ │ │ │ │ │ │ 0,0365 │ │
│ │программного обеспечения, │ │ │ │ │ │ │ │ │ │
│ │устанавливаемого и (или) используемого│ │ │ │ │ │ │ │ │ │
│ │в ЭВМ и АБС и необходимого для │ │ │ │ │ │ │ │ │ │
│ │выполнения конкретных банковских │ │ │ │ │ │ │ │ │ │
│ │платежных технологических процессов? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.3 │Соответствует ли состав установленного│ обязательный │ │ │ │ │ │ │ 0,0389 │ │
│ │и используемого в ЭВМ и АБС │ │ │ │ │ │ │ │ │ │
│ │программного обеспечения определенному│ │ │ │ │ │ │ │ │ │
│ │перечню? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.4 │Контролируется ли выполнение │ обязательный │ │ │ │ │ │ │ 0,0319 │ │
│ │требований, оцениваемых в частных │ │ │ │ │ │ │ │ │ │
│ │показателях M7.2, M7.3, с │ │ │ │ │ │ │ │ │ │
│ │документированием результатов │ │ │ │ │ │ │ │ │ │
│ │контроля? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.5 │Зафиксирован ли порядок обмена │ обязательный │ │ │ │ │ │ │ 0,0451 │ │
│ │платежной информацией в договорах │ │ │ │ │ │ │ │ │ │
│ │между участниками данного обмена? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.6 │Отсутствуют ли в организации │ обязательный │ │ │ │ │ │ │ 0,0448 │ │
│ │работники, обладающие полномочиями для│ │ │ │ │ │ │ │ │ │
│ │бесконтрольного создания, авторизации,│ │ │ │ │ │ │ │ │ │
│ │уничтожения и изменения платежной │ │ │ │ │ │ │ │ │ │
│ │информации, а также проведение │ │ │ │ │ │ │ │ │ │
│ │несанкционированных операций по │ │ │ │ │ │ │ │ │ │
│ │изменению состояния банковских счетов?│ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.7 │Контролируются (проверяются) ли и │ обязательный │ │ │ │ │ │ │ 0,0458 │ │
│ │удостоверяются ли результаты │ │ │ │ │ │ │ │ │ │
│ │технологических операций по обработке │ │ │ │ │ │ │ │ │ │
│ │платежной информации лицами/ │ │ │ │ │ │ │ │ │ │
│ │автоматизированными процессами? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.8 │Осуществляется ли обработка платежной │ рекомендуемый │//│////│////│////│ │ │ 0,0442 │ │
│ │информации и контроль (проверка) │ │//│////│////│////│ │ │ │ │
│ │результатов обработки разными │ │//│////│////│////│ │ │ │ │
│ │работниками/автоматизированными │ │//│////│////│////│ │ │ │ │
│ │процессами? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.9 │Возложены ли обязанности по │ рекомендуемый │//│////│////│////│ │ │ 0,0365 │ │
│ │администрированию средств защиты │ │//│////│////│////│ │ │ │ │
│ │платежной информации приказами или │ │//│////│////│////│ │ │ │ │
│ │распоряжениями по организации на │ │//│////│////│////│ │ │ │ │
│ │администраторов ИБ с отражением этих │ │//│////│////│////│ │ │ │ │
│ │обязанностей в должностных │ │//│////│////│////│ │ │ │ │
│ │инструкциях? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.10 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0436 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса защиту │ │ │ │ │ │ │ │ │ │
│ │платежной информации от искажения, │ │ │ │ │ │ │ │ │ │
│ │фальсификации, переадресации, │ │ │ │ │ │ │ │ │ │
│ │несанкционированного уничтожения, │ │ │ │ │ │ │ │ │ │
│ │ложной авторизации электронных │ │ │ │ │ │ │ │ │ │
│ │платежных сообщений? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.11 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0384 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса доступ │ │ │ │ │ │ │ │ │ │
│ │работника организации только к тем │ │ │ │ │ │ │ │ │ │
│ │ресурсам банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса, которые │ │ │ │ │ │ │ │ │ │
│ │необходимы ему для исполнения │ │ │ │ │ │ │ │ │ │
│ │должностных обязанностей или │ │ │ │ │ │ │ │ │ │
│ │реализации прав, предусмотренных │ │ │ │ │ │ │ │ │ │
│ │технологией обработки платежной │ │ │ │ │ │ │ │ │ │
│ │информации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.12 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0389 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса контроль │ │ │ │ │ │ │ │ │ │
│ │(мониторинг) исполнения установленной │ │ │ │ │ │ │ │ │ │
│ │технологии подготовки, обработки, │ │ │ │ │ │ │ │ │ │
│ │передачи и хранения платежной │ │ │ │ │ │ │ │ │ │
│ │информации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.13 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0412 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса │ │ │ │ │ │ │ │ │ │
│ │аутентификацию входящих электронных │ │ │ │ │ │ │ │ │ │
│ │платежных сообщений? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.14 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0412 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса двустороннюю│ │ │ │ │ │ │ │ │ │
│ │аутентификацию автоматизированных │ │ │ │ │ │ │ │ │ │
│ │рабочих мест (рабочих станций и │ │ │ │ │ │ │ │ │ │
│ │серверов), участников обмена │ │ │ │ │ │ │ │ │ │
│ │электронными платежными сообщениями? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.15 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0436 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса возможность │ │ │ │ │ │ │ │ │ │
│ │ввода платежной информации в АБС │ │ │ │ │ │ │ │ │ │
│ │только для авторизованных │ │ │ │ │ │ │ │ │ │
│ │пользователей? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.16 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0436 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса контроль, │ │ │ │ │ │ │ │ │ │
│ │направленный на исключение возможности│ │ │ │ │ │ │ │ │ │
│ │совершения злоумышленных действий │ │ │ │ │ │ │ │ │ │
│ │(двойной ввод, сверку, установление │ │ │ │ │ │ │ │ │ │
│ │ограничений в зависимости от суммы │ │ │ │ │ │ │ │ │ │
│ │совершения операций и т.д.)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.17 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0392 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса │ │ │ │ │ │ │ │ │ │
│ │восстановление платежной информации в │ │ │ │ │ │ │ │ │ │
│ │случае ее умышленного (случайного) │ │ │ │ │ │ │ │ │ │
│ │разрушения (искажения) или выхода из │ │ │ │ │ │ │ │ │ │
│ │строя средств вычислительной техники? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.18 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0436 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса при │ │ │ │ │ │ │ │ │ │
│ │осуществлении межбанковских расчетов │ │ │ │ │ │ │ │ │ │
│ │сверку выходных электронных платежных │ │ │ │ │ │ │ │ │ │
│ │сообщений с соответствующими входными │ │ │ │ │ │ │ │ │ │
│ │и обработанными электронными │ │ │ │ │ │ │ │ │ │
│ │платежными сообщениями? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.19 │Предусматривает ли комплекс мер по │ обязательный │ │ │ │ │ │ │ 0,0408 │ │
│ │обеспечению ИБ банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса доставку │ │ │ │ │ │ │ │ │ │
│ │электронных платежных сообщений │ │ │ │ │ │ │ │ │ │
│ │участникам обмена? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.20 │Организован ли в организации │ рекомендуемый │//│////│////│////│ │ │ 0,0364 │ │
│ │авторизованный ввод платежной │ │//│////│////│////│ │ │ │ │
│ │информации в АБС двумя работниками с │ │//│////│////│////│ │ │ │ │
│ │последующей программной сверкой │ │//│////│////│////│ │ │ │ │
│ │результатов ввода на совпадение │ │//│////│////│////│ │ │ │ │
│ │(принцип "двойного управления")? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.21 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0337 │ │
│ │и выполняются ли при проектировании, │ │ │ │ │ │ │ │ │ │
│ │разработке, эксплуатации систем │ │ │ │ │ │ │ │ │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания процедуры, реализующие │ │ │ │ │ │ │ │ │ │
│ │механизмы: │ │ │ │ │ │ │ │ │ │
│ │- снижения вероятности выполнения │ │ │ │ │ │ │ │ │ │
│ │непреднамеренных или случайных │ │ │ │ │ │ │ │ │ │
│ │операций или транзакций │ │ │ │ │ │ │ │ │ │
│ │авторизованными клиентами; │ │ │ │ │ │ │ │ │ │
│ │- доведения информации о возможных │ │ │ │ │ │ │ │ │ │
│ │рисках, связанных с выполнением │ │ │ │ │ │ │ │ │ │
│ │операций или транзакций до клиентов? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.22 │Обеспечены ли клиенты систем │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания детальными инструкциями, │ │ │ │ │ │ │ │ │ │
│ │описывающими процедуры выполнения │ │ │ │ │ │ │ │ │ │
│ │операций или транзакций? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.23 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0368 │ │
│ │и выполняются ли процедуры │ │ │ │ │ │ │ │ │ │
│ │обслуживания средств вычислительной │ │ │ │ │ │ │ │ │ │
│ │техники, используемых в банковском │ │ │ │ │ │ │ │ │ │
│ │платежном технологическом процессе, │ │ │ │ │ │ │ │ │ │
│ │включая замену их программных и (или) │ │ │ │ │ │ │ │ │ │
│ │аппаратных частей? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.24 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0392 │ │
│ │организации, согласована ли со службой│ │ │ │ │ │ │ │ │ │
│ │либо лицом, отвечающим в организации │ │ │ │ │ │ │ │ │ │
│ │за обеспечение ИБ, и выполняется ли │ │ │ │ │ │ │ │ │ │
│ │процедура периодического контроля всех│ │ │ │ │ │ │ │ │ │
│ │реализованных программно-техническими │ │ │ │ │ │ │ │ │ │
│ │средствами функций (требований) по │ │ │ │ │ │ │ │ │ │
│ │обеспечению ИБ платежной информации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M7.25 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0392 │ │
│ │организации, согласована ли со службой│ │ │ │ │ │ │ │ │ │
│ │либо лицом, отвечающим в организации │ │ │ │ │ │ │ │ │ │
│ │за обеспечение ИБ, и выполняется ли │ │ │ │ │ │ │ │ │ │
│ │процедура восстановления всех │ │ │ │ │ │ │ │ │ │
│ │реализованных программно-техническими │ │ │ │ │ │ │ │ │ │
│ │средствами функций по обеспечению ИБ │ │ │ │ │ │ │ │ │ │
│ │платежной информации? │ │ │ │ │ │ │ │ │ │
├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴───────────┼─────────────┤
│Итоговая оценка группового показателя M7 │ │
└──────────────────────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей