Групповой показатель М7 "Обеспечение информационной безопасности банковских платежных технологических процессов"
См. данную форму в MS-Excel.
Групповой показатель М7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐
│ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │
│ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │
│показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │
│ │ │ │ │ │ │ │ │ │ показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.1 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0405 │ │
│ │организации банковский платежный │ │ │ │ │ │ │ │ │ │
│ │технологический процесс? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.2 │Определены ли документально │ обязательный │ │ │ │ │ │ │ 0,0365 │ │
│ │перечни программного обеспечения, │ │ │ │ │ │ │ │ │ │
│ │устанавливаемого и (или) │ │ │ │ │ │ │ │ │ │
│ │используемого в ЭВМ и АБС и │ │ │ │ │ │ │ │ │ │
│ │необходимого для выполнения │ │ │ │ │ │ │ │ │ │
│ │конкретных банковских платежных │ │ │ │ │ │ │ │ │ │
│ │технологических процессов? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.3 │Соответствует ли состав │ обязательный │ │ │ │ │ │ │ 0,0389 │ │
│ │установленного и используемого в │ │ │ │ │ │ │ │ │ │
│ │ЭВМ и АБС программного │ │ │ │ │ │ │ │ │ │
│ │обеспечения определенному │ │ │ │ │ │ │ │ │ │
│ │перечню? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.4 │Контролируется ли выполнение │ обязательный │ │ │ │ │ │ │ 0,0319 │ │
│ │требований, оцениваемых в частных │ │ │ │ │ │ │ │ │ │
│ │показателях М7.2, М7.3 с │ │ │ │ │ │ │ │ │ │
│ │документированием результатов │ │ │ │ │ │ │ │ │ │
│ │контроля? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.5 │Зафиксирован ли порядок обмена │ обязательный │ │ │ │ │ │ │ 0,0451 │ │
│ │платежной информацией в договорах │ │ │ │ │ │ │ │ │ │
│ │между участниками данного обмена? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.6 │Отсутствуют ли в организации │ обязательный │ │ │ │ │ │ │ 0,0448 │ │
│ │работники, обладающие │ │ │ │ │ │ │ │ │ │
│ │полномочиями для бесконтрольного │ │ │ │ │ │ │ │ │ │
│ │создания, авторизации, │ │ │ │ │ │ │ │ │ │
│ │уничтожения и изменения платежной │ │ │ │ │ │ │ │ │ │
│ │информации, а также проведения │ │ │ │ │ │ │ │ │ │
│ │несанкционированных операций по │ │ │ │ │ │ │ │ │ │
│ │изменению состояния банковских │ │ │ │ │ │ │ │ │ │
│ │счетов? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.7 │Контролируются (проверяются) ли и │ обязательный │ │ │ │ │ │ │ 0,0458 │ │
│ │удостоверяются ли результаты │ │ │ │ │ │ │ │ │ │
│ │технологических операций по │ │ │ │ │ │ │ │ │ │
│ │обработке платежной информации │ │ │ │ │ │ │ │ │ │
│ │лицами/автоматизированными │ │ │ │ │ │ │ │ │ │
│ │процессами? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.8 │Осуществляются ли обработка │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0442 │ │
│ │платежной информации и контроль │ │////│/////│/////│/////│ │ │ │ │
│ │(проверка) результатов обработки │ │////│/////│/////│/////│ │ │ │ │
│ │разными работниками/ │ │////│/////│/////│/////│ │ │ │ │
│ │автоматизированными процессами? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.9 │Возложены ли обязанности по │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0365 │ │
│ │администрированию средств защиты │ │////│/////│/////│/////│ │ │ │ │
│ │платежной информации приказами │ │////│/////│/////│/////│ │ │ │ │
│ │или распоряжениями по организации │ │////│/////│/////│/////│ │ │ │ │
│ │на администраторов ИБ с │ │////│/////│/////│/////│ │ │ │ │
│ │отражением этих обязанностей в │ │////│/////│/////│/////│ │ │ │ │
│ │должностных инструкциях? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.10 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0436 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса защиту платежной │ │ │ │ │ │ │ │ │ │
│ │информации от искажения, │ │ │ │ │ │ │ │ │ │
│ │фальсификации, переадресации, │ │ │ │ │ │ │ │ │ │
│ │несанкционированного уничтожения, │ │ │ │ │ │ │ │ │ │
│ │ложной авторизации электронных │ │ │ │ │ │ │ │ │ │
│ │платежных сообщений? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.11 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0384 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса доступ работника │ │ │ │ │ │ │ │ │ │
│ │организации только к тем ресурсам │ │ │ │ │ │ │ │ │ │
│ │банковского платежного │ │ │ │ │ │ │ │ │ │
│ │технологического процесса, │ │ │ │ │ │ │ │ │ │
│ │которые необходимы ему для │ │ │ │ │ │ │ │ │ │
│ │исполнения должностных │ │ │ │ │ │ │ │ │ │
│ │обязанностей или реализации прав, │ │ │ │ │ │ │ │ │ │
│ │предусмотренных технологией │ │ │ │ │ │ │ │ │ │
│ │обработки платежной информации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.12 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0389 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса контроль (мониторинг) │ │ │ │ │ │ │ │ │ │
│ │исполнения установленной │ │ │ │ │ │ │ │ │ │
│ │технологии подготовки, обработки, │ │ │ │ │ │ │ │ │ │
│ │передачи и хранения платежной │ │ │ │ │ │ │ │ │ │
│ │информации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.13 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0412 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса аутентификацию входящих │ │ │ │ │ │ │ │ │ │
│ │электронных платежных сообщений? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.14 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0412 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса двустороннюю │ │ │ │ │ │ │ │ │ │
│ │аутентификацию автоматизированных │ │ │ │ │ │ │ │ │ │
│ │рабочих мест (рабочих станций и │ │ │ │ │ │ │ │ │ │
│ │серверов), участников обмена │ │ │ │ │ │ │ │ │ │
│ │электронными платежными │ │ │ │ │ │ │ │ │ │
│ │сообщениями? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.15 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0436 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса возможность ввода │ │ │ │ │ │ │ │ │ │
│ │платежной информации в АБС только │ │ │ │ │ │ │ │ │ │
│ │для авторизованных пользователей? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.16 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0436 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса контроль, направленный │ │ │ │ │ │ │ │ │ │
│ │на исключение возможности │ │ │ │ │ │ │ │ │ │
│ │совершения злоумышленных действий │ │ │ │ │ │ │ │ │ │
│ │(двойной ввод, сверка, │ │ │ │ │ │ │ │ │ │
│ │установление ограничений в │ │ │ │ │ │ │ │ │ │
│ │зависимости от суммы совершения │ │ │ │ │ │ │ │ │ │
│ │операций и т.д.)? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.17 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0392 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса восстановление платежной │ │ │ │ │ │ │ │ │ │
│ │информации в случае ее │ │ │ │ │ │ │ │ │ │
│ │умышленного (случайного) │ │ │ │ │ │ │ │ │ │
│ │разрушения (искажения) или выхода │ │ │ │ │ │ │ │ │ │
│ │из строя средств вычислительной │ │ │ │ │ │ │ │ │ │
│ │техники? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.18 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0436 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса при осуществлении │ │ │ │ │ │ │ │ │ │
│ │межбанковских расчетов сверку │ │ │ │ │ │ │ │ │ │
│ │выходных электронных платежных │ │ │ │ │ │ │ │ │ │
│ │сообщений с соответствующими │ │ │ │ │ │ │ │ │ │
│ │входными и обработанными │ │ │ │ │ │ │ │ │ │
│ │электронными платежными │ │ │ │ │ │ │ │ │ │
│ │сообщениями? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.19 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0408 │ │
│ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │
│ │платежного технологического │ │ │ │ │ │ │ │ │ │
│ │процесса доставку электронных │ │ │ │ │ │ │ │ │ │
│ │платежных сообщений участникам │ │ │ │ │ │ │ │ │ │
│ │обмена? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.20 │Организован ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0364 │ │
│ │авторизованный ввод платежной │ │////│/////│/////│/////│ │ │ │ │
│ │информации в АБС двумя │ │////│/////│/////│/////│ │ │ │ │
│ │работниками с последующей │ │////│/////│/////│/////│ │ │ │ │
│ │программной сверкой результатов │ │////│/////│/////│/////│ │ │ │ │
│ │ввода на совпадение (принцип │ │////│/////│/////│/////│ │ │ │ │
│ │"двойного управления")? │ │////│/////│/////│/////│ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.21 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0337 │ │
│ │организации и выполняются ли при │ │ │ │ │ │ │ │ │ │
│ │проектировании, разработке, │ │ │ │ │ │ │ │ │ │
│ │эксплуатации систем │ │ │ │ │ │ │ │ │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания процедуры, │ │ │ │ │ │ │ │ │ │
│ │реализующие механизмы: │ │ │ │ │ │ │ │ │ │
│ │- снижения вероятности выполнения │ │ │ │ │ │ │ │ │ │
│ │непреднамеренных или случайных │ │ │ │ │ │ │ │ │ │
│ │операций или транзакций │ │ │ │ │ │ │ │ │ │
│ │авторизованными клиентами; │ │ │ │ │ │ │ │ │ │
│ │- доведения информации о возможных│ │ │ │ │ │ │ │ │ │
│ │рисках, связанных с выполнением │ │ │ │ │ │ │ │ │ │
│ │операций или транзакций до │ │ │ │ │ │ │ │ │ │
│ │клиентов? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.22 │Обеспечены ли клиенты систем │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ │дистанционного банковского │ │ │ │ │ │ │ │ │ │
│ │обслуживания детальными │ │ │ │ │ │ │ │ │ │
│ │инструкциями, описывающими │ │ │ │ │ │ │ │ │ │
│ │процедуры выполнения операций или │ │ │ │ │ │ │ │ │ │
│ │транзакций? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.23 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0368 │ │
│ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │
│ │процедуры обслуживания средств │ │ │ │ │ │ │ │ │ │
│ │вычислительной техники, │ │ │ │ │ │ │ │ │ │
│ │используемых в банковском │ │ │ │ │ │ │ │ │ │
│ │платежном технологическом │ │ │ │ │ │ │ │ │ │
│ │процессе, включая замену их │ │ │ │ │ │ │ │ │ │
│ │программных и (или) аппаратных │ │ │ │ │ │ │ │ │ │
│ │частей? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.24 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0392 │ │
│ │организации, согласована ли со │ │ │ │ │ │ │ │ │ │
│ │службой либо лицом, отвечающим в │ │ │ │ │ │ │ │ │ │
│ │организации за обеспечение ИБ, и │ │ │ │ │ │ │ │ │ │
│ │выполняется ли процедура │ │ │ │ │ │ │ │ │ │
│ │периодического контроля всех │ │ │ │ │ │ │ │ │ │
│ │реализованных программно- │ │ │ │ │ │ │ │ │ │
│ │техническими средствами функций │ │ │ │ │ │ │ │ │ │
│ │(требований) по обеспечению ИБ │ │ │ │ │ │ │ │ │ │
│ │платежной информации? │ │ │ │ │ │ │ │ │ │
├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤
│ М7.25 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0392 │ │
│ │организации, согласована ли со │ │ │ │ │ │ │ │ │ │
│ │службой либо лицом, отвечающим в │ │ │ │ │ │ │ │ │ │
│ │организации за обеспечение ИБ, и │ │ │ │ │ │ │ │ │ │
│ │выполняется ли процедура │ │ │ │ │ │ │ │ │ │
│ │восстановления всех реализованных │ │ │ │ │ │ │ │ │ │
│ │программно-техническими │ │ │ │ │ │ │ │ │ │
│ │средствами функций по обеспечению │ │ │ │ │ │ │ │ │ │
│ │ИБ платежной информации? │ │ │ │ │ │ │ │ │ │
├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤
│Итоговая оценка группового показателя М7 │ │
└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей