Групповой показатель М7 "Обеспечение информационной безопасности банковских платежных технологических процессов"

Обозначение частного показателя ИБ

Частный показатель ИБ

Обязательность выполнения

Категория проверки частного показателя

Оценка частного показателя ИБ

0

0,25

0,5

0,75

1

н/о

М7.1

Регламентирован (описан) ли в организации БС РФ банковский платежный технологический процесс?

обязательный

категория 2

М7.2

Зафиксирован ли порядок обмена платежной информацией в договорах между участниками данного обмена?

обязательный

категория 2

М7.3

Отсутствуют ли в организации БС РФ работники, обладающие полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведение несанкционированных операций по изменению состояния банковских счетов?

обязательный

категория 1

М7.4

Контролируются (проверяются) ли и удостоверяются ли результаты технологических операций по обработке платежной информации лицами/автоматизированными процессами?

обязательный

категория 3

М7.5

Осуществляется ли обработка платежной информации и контроль (проверка) результатов обработки разными работниками/автоматизированными процессами?

рекомендуемый

категория 3

М7.6

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений?

обязательный

категория 1

М7.7

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации?

обязательный

категория 1

М7.8

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации?

обязательный

категория 1

М7.9

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса аутентификацию входящих электронных платежных сообщений?

обязательный

категория 1

М7.10

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями?

обязательный

категория 1

М7.11

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса возможность ввода платежной информации в АБС только для авторизованных пользователей?

обязательный

категория 1

М7.12

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса контроль, направленный на исключение возможности совершения злоумышленных действий, в частности двойной ввод, сверка, установление ограничений в зависимости от суммы совершения операций?

обязательный

категория 1

М7.13

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники?

обязательный

категория 1

М7.14

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса при осуществлении межбанковских расчетов сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями?

обязательный

категория 1

М7.15

Предусматривает ли комплекс защитных мер возможность блокирования приема к исполнению распоряжений клиентов?

обязательный

категория 1

М7.16

Предусматривает ли комплекс защитных мер банковского платежного технологического процесса доставку электронных платежных сообщений участникам обмена?

обязательный

категория 1

М7.17

Организован ли в организации БС РФ авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип "двойного управления")?

рекомендуемый

категория 3

М7.18

Применяются ли для систем дистанционного банковского обслуживания процедуры, реализующие:

- снижение вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;

- доведение информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов?

обязательный

категория 3

М7.19

Обеспечены ли клиенты систем дистанционного банковского обслуживания детальными инструкциями, описывающими процедуры выполнения операций или транзакций?

обязательный

категория 3

М7.20

Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры обслуживания средств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и (или) аппаратных частей?

обязательный

категория 1

М7.21

Определены ли, выполняются ли и регистрируются ли в организации БС РФ процедуры периодического контроля всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ платежной информации?

обязательный

категория 1

М7.22

Определены ли, выполняются ли и регистрируются ли в организации БС РФ процедуры контроля отсутствия размещения на устройствах, задействованных в осуществлении банковского платежного технологического процесса, находящихся в общедоступных местах вне зоны постоянного контроля, в том числе банкоматах и платежных терминалах, специализированных средств, используемых для несанкционированного съема информации?

обязательный

категория 1

М7.23

Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации БС РФ процедуры восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ платежной информации?

обязательный

категория 1

Итоговая оценка группового показателя М7