Групповой показатель M7 "Обеспечение информационной безопасности банковских платежных технологических процессов"

┌───────────┬──────────────────────────────┬───────────────────────────────┬───────────────┬─────────────┐

│Обозначение│ Частный показатель ИБ │ Оценка частного показателя ИБ │ Коэффициент │ Вычисленное │

│ частного │ ├───┬─────┬─────┬─────┬────┬────┤ значимости │ значение │

│показателя │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │н/о │ частного │показателя ИБ│

│ ИБ │ │ │ │ │ │ │ │ показателя ИБ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M7.1 │Определен (отражен) ли │ │ │ │ │ │ │ 0,13 │ │

│ │однозначно в нормативно- │ │ │ │ │ │ │ │ │

│ │методических документах │ │ │ │ │ │ │ │ │

│ │организации банковский │ │ │ │ │ │ │ │ │

│ │платежный технологический │ │ │ │ │ │ │ │ │

│ │процесс? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M7.2 │Зафиксирован ли порядок обмена│ │ │ │ │ │ │ 0,13 │ │

│ │платежной информацией в │ │ │ │ │ │ │ │ │

│ │договорах между участниками │ │ │ │ │ │ │ │ │

│ │данного обмена? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M7.3 │Отсутствуют ли сотрудники, │ │ │ │ │ │ │ 0,13 │ │

│ │обладающие всеми полномочиями │ │ │ │ │ │ │ │ │

│ │на бесконтрольное создание, │ │ │ │ │ │ │ │ │

│ │авторизацию, уничтожение и │ │ │ │ │ │ │ │ │

│ │изменение платежной │ │ │ │ │ │ │ │ │

│ │информации, а также проведение│ │ │ │ │ │ │ │ │

│ │операций по изменению │ │ │ │ │ │ │ │ │

│ │состояния банковских счетов? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M7.4 │Контролируются ли и │ │ │ │ │ │ │ 0,13 │ │

│ │удостоверяются ли результаты │ │ │ │ │ │ │ │ │

│ │технологических операций по │ │ │ │ │ │ │ │ │

│ │обработке платежной информации│ │ │ │ │ │ │ │ │

│ │обязательными процедурами │ │ │ │ │ │ │ │ │

│ │контроля, независимыми от │ │ │ │ │ │ │ │ │

│ │процесса обработки? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M7.5 │Назначены ли на каждом │ │ │ │ │ │ │ 0,13 │ │

│ │технологическом участке │ │ │ │ │ │ │ │ │

│ │ответственные за │ │ │ │ │ │ │ │ │

│ │администрирование средств │ │ │ │ │ │ │ │ │

│ │защиты платежной информации │ │ │ │ │ │ │ │ │

│ │(администраторы ИБ)? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M7.6 │Существует ли нормативный │ │ │ │ │ │ │ 0,118 │ │

│ │документ (документы), которым │ │ │ │ │ │ │ │ │

│ │руководствуются администраторы│ │ │ │ │ │ │ │ │

│ │ИБ в своей деятельности? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M7.7 │Предусматривает ли комплекс │ │ │ │ │ │ │ 0,102 │ │

│ │мер по обеспечению ИБ: │ │ │ │ │ │ │ │ │

│ │- защиту платежной информации │ │ │ │ │ │ │ │ │

│ │от искажения, фальсификации, │ │ │ │ │ │ │ │ │

│ │переадресации, │ │ │ │ │ │ │ │ │

│ │несанкционированного │ │ │ │ │ │ │ │ │

│ │уничтожения, ложной │ │ │ │ │ │ │ │ │

│ │авторизации платежных │ │ │ │ │ │ │ │ │

│ │документов; │ │ │ │ │ │ │ │ │

│ │- минимально необходимый, │ │ │ │ │ │ │ │ │

│ │гарантированный доступ │ │ │ │ │ │ │ │ │

│ │сотрудника только к тем │ │ │ │ │ │ │ │ │

│ │ресурсам банковского │ │ │ │ │ │ │ │ │

│ │платежного технологического │ │ │ │ │ │ │ │ │

│ │процесса, которые необходимы │ │ │ │ │ │ │ │ │

│ │ему для исполнения служебных │ │ │ │ │ │ │ │ │

│ │обязанностей или реализации │ │ │ │ │ │ │ │ │

│ │прав, предусмотренных │ │ │ │ │ │ │ │ │

│ │технологией обработки │ │ │ │ │ │ │ │ │

│ │платежной информации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M7.8 │Включает ли комплекс мер по │ │ │ │ │ │ │ 0,13 │ │

│ │обеспечению ИБ: │ │ │ │ │ │ │ │ │

│ │- контроль (мониторинг) │ │ │ │ │ │ │ │ │

│ │исполнения установленной │ │ │ │ │ │ │ │ │

│ │технологии подготовки, │ │ │ │ │ │ │ │ │

│ │обработки, передачи и хранения│ │ │ │ │ │ │ │ │

│ │платежной информации; │ │ │ │ │ │ │ │ │

│ │- аутентификацию платежной │ │ │ │ │ │ │ │ │

│ │информации; │ │ │ │ │ │ │ │ │

│ │- двустороннюю аутентификацию │ │ │ │ │ │ │ │ │

│ │участников обмена платежной │ │ │ │ │ │ │ │ │

│ │информацией и двустороннюю │ │ │ │ │ │ │ │ │

│ │аутентификацию │ │ │ │ │ │ │ │ │

│ │автоматизированных рабочих │ │ │ │ │ │ │ │ │

│ │мест; │ │ │ │ │ │ │ │ │

│ │- восстановление платежной │ │ │ │ │ │ │ │ │

│ │информации в случае ее │ │ │ │ │ │ │ │ │

│ │умышленного (случайного) │ │ │ │ │ │ │ │ │

│ │разрушения (искажения) или │ │ │ │ │ │ │ │ │

│ │выхода из строя средств │ │ │ │ │ │ │ │ │

│ │вычислительной техники; │ │ │ │ │ │ │ │ │

│ │- авторизованный ввод │ │ │ │ │ │ │ │ │

│ │платежной информации в АБС │ │ │ │ │ │ │ │ │

│ │двумя сотрудниками с │ │ │ │ │ │ │ │ │

│ │последующей программной │ │ │ │ │ │ │ │ │

│ │сверкой результатов ввода на │ │ │ │ │ │ │ │ │

│ │совпадение; │ │ │ │ │ │ │ │ │

│ │- сверку выходных платежных │ │ │ │ │ │ │ │ │

│ │сообщений с соответствующими │ │ │ │ │ │ │ │ │

│ │поступившими сообщениями; │ │ │ │ │ │ │ │ │

│ │- гарантированную доставку │ │ │ │ │ │ │ │ │

│ │платежных сообщений участникам│ │ │ │ │ │ │ │ │

│ │обмена? │ │ │ │ │ │ │ │ │

├───────────┴──────────────────────────────┴───┴─────┴─────┴─────┴────┴────┴───────────────┼─────────────┤

│ Итоговая оценка группового показателя M7 │ │

└──────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘