Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.1 |Определен ли в документах | обязательный | | | | | | | 0,0405 | |
| |организации банковский платежный | | | | | | | | | |
| |технологический процесс? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.2 |Определены ли документально | обязательный | | | | | | | 0,0365 | |
| |перечни программного обеспечения, | | | | | | | | | |
| |устанавливаемого и(или) | | | | | | | | | |
| |используемого в ЭВМ и АБС и | | | | | | | | | |
| |необходимого для выполнения | | | | | | | | | |
| |конкретных банковских платежных | | | | | | | | | |
| |технологических процессов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.3 |Соответствует ли состав | обязательный | | | | | | | 0,0389 | |
| |установленного и используемого в | | | | | | | | | |
| |ЭВМ и АБС программного | | | | | | | | | |
| |обеспечения определенному | | | | | | | | | |
| |перечню? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.4 |Контролируется ли выполнение | обязательный | | | | | | | 0,0319 | |
| |требований, оцениваемых в частных | | | | | | | | | |
| |показателях М7.2, М7.3 с | | | | | | | | | |
| |документированием результатов | | | | | | | | | |
| |контроля? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.5 |Зафиксирован ли порядок обмена | обязательный | | | | | | | 0,0451 | |
| |платежной информацией в договорах | | | | | | | | | |
| |между участниками данного обмена? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.6 |Отсутствуют ли в организации | обязательный | | | | | | | 0,0448 | |
| |работники, обладающие | | | | | | | | | |
| |полномочиями для бесконтрольного | | | | | | | | | |
| |создания, авторизации, | | | | | | | | | |
| |уничтожения и изменения платежной | | | | | | | | | |
| |информации, а также проведения | | | | | | | | | |
| |несанкционированных операций по | | | | | | | | | |
| |изменению состояния банковских | | | | | | | | | |
| |счетов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.7 |Контролируются (проверяются) ли и | обязательный | | | | | | | 0,0458 | |
| |удостоверяются ли результаты | | | | | | | | | |
| |технологических операций по | | | | | | | | | |
| |обработке платежной информации | | | | | | | | | |
| |лицами/автоматизированными | | | | | | | | | |
| |процессами? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.8 |Осуществляются ли обработка | рекомендуемый |////|/////|/////|/////| | | 0,0442 | |
| |платежной информации и контроль | |////|/////|/////|/////| | | | |
| |(проверка) результатов обработки | |////|/////|/////|/////| | | | |
| |разными работниками / | |////|/////|/////|/////| | | | |
| |автоматизированными процессами? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.9 |Возложены ли обязанности по | рекомендуемый |////|/////|/////|/////| | | 0,0365 | |
| |администрированию средств защиты | |////|/////|/////|/////| | | | |
| |платежной информации приказами | |////|/////|/////|/////| | | | |
| |или распоряжениями по организации | |////|/////|/////|/////| | | | |
| |на администраторов ИБ с | |////|/////|/////|/////| | | | |
| |отражением этих обязанностей в | |////|/////|/////|/////| | | | |
| |должностных инструкциях? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.10 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0436 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса защиту платежной | | | | | | | | | |
| |информации от искажения, | | | | | | | | | |
| |фальсификации, переадресации, | | | | | | | | | |
| |несанкционированного уничтожения, | | | | | | | | | |
| |ложной авторизации электронных | | | | | | | | | |
| |платежных сообщений? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.11 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0384 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса доступ работника | | | | | | | | | |
| |организации только к тем ресурсам | | | | | | | | | |
| |банковского платежного | | | | | | | | | |
| |технологического процесса, | | | | | | | | | |
| |которые необходимы ему для | | | | | | | | | |
| |исполнения должностных | | | | | | | | | |
| |обязанностей или реализации прав, | | | | | | | | | |
| |предусмотренных технологией | | | | | | | | | |
| |обработки платежной информации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.12 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0389 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса контроль (мониторинг) | | | | | | | | | |
| |исполнения установленной | | | | | | | | | |
| |технологии подготовки, обработки, | | | | | | | | | |
| |передачи и хранения платежной | | | | | | | | | |
| |информации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.13 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0412 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса аутентификацию входящих | | | | | | | | | |
| |электронных платежных сообщений? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.14 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0412 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса двустороннюю | | | | | | | | | |
| |аутентификацию автоматизированных | | | | | | | | | |
| |рабочих мест (рабочих станций и | | | | | | | | | |
| |серверов), участников обмена | | | | | | | | | |
| |электронными платежными | | | | | | | | | |
| |сообщениями? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.15 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0436 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса возможность ввода | | | | | | | | | |
| |платежной информации в АБС только | | | | | | | | | |
| |для авторизованных пользователей? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.16 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0436 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса контроль, направленный | | | | | | | | | |
| |на исключение возможности | | | | | | | | | |
| |совершения злоумышленных действий | | | | | | | | | |
| |(двойной ввод, сверка, | | | | | | | | | |
| |установление ограничений в | | | | | | | | | |
| |зависимости от суммы совершения | | | | | | | | | |
| |операций и т.д.)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.17 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0392 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса восстановление платежной | | | | | | | | | |
| |информации в случае ее | | | | | | | | | |
| |умышленного (случайного) | | | | | | | | | |
| |разрушения (искажения) или выхода | | | | | | | | | |
| |из строя средств вычислительной | | | | | | | | | |
| |техники? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.18 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0436 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса при осуществлении | | | | | | | | | |
| |межбанковских расчетов сверку | | | | | | | | | |
| |выходных электронных платежных | | | | | | | | | |
| |сообщений с соответствующими | | | | | | | | | |
| |входными и обработанными | | | | | | | | | |
| |электронными платежными | | | | | | | | | |
| |сообщениями? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.19 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0408 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса доставку электронных | | | | | | | | | |
| |платежных сообщений участникам | | | | | | | | | |
| |обмена? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.20 |Организован ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0364 | |
| |авторизованный ввод платежной | |////|/////|/////|/////| | | | |
| |информации в АБС двумя | |////|/////|/////|/////| | | | |
| |работниками с последующей | |////|/////|/////|/////| | | | |
| |программной сверкой результатов | |////|/////|/////|/////| | | | |
| |ввода на совпадение (принцип | |////|/////|/////|/////| | | | |
| |"двойного управления")? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.21 |Определены ли в документах | обязательный | | | | | | | 0,0337 | |
| |организации и выполняются ли при | | | | | | | | | |
| |проектировании, разработке, | | | | | | | | | |
| |эксплуатации систем | | | | | | | | | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания процедуры, | | | | | | | | | |
| |реализующие механизмы: | | | | | | | | | |
| |- снижения вероятности выполнения | | | | | | | | | |
| |непреднамеренных или случайных | | | | | | | | | |
| |операций или транзакций | | | | | | | | | |
| |авторизованными клиентами; | | | | | | | | | |
| |- доведения информации о возможных| | | | | | | | | |
| |рисках, связанных с выполнением | | | | | | | | | |
| |операций или транзакций до | | | | | | | | | |
| |клиентов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.22 |Обеспечены ли клиенты систем | обязательный | | | | | | | 0,0364 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания детальными | | | | | | | | | |
| |инструкциями, описывающими | | | | | | | | | |
| |процедуры выполнения операций или | | | | | | | | | |
| |транзакций? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.23 |Определены ли в документах | обязательный | | | | | | | 0,0368 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры обслуживания средств | | | | | | | | | |
| |вычислительной техники, | | | | | | | | | |
| |используемых в банковском | | | | | | | | | |
| |платежном технологическом | | | | | | | | | |
| |процессе, включая замену их | | | | | | | | | |
| |программных и(или) аппаратных | | | | | | | | | |
| |частей? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.24 |Определена ли в документах | обязательный | | | | | | | 0,0392 | |
| |организации, согласована ли со | | | | | | | | | |
| |службой либо лицом, отвечающим в | | | | | | | | | |
| |организации за обеспечение ИБ, и | | | | | | | | | |
| |выполняется ли процедура | | | | | | | | | |
| |периодического контроля всех | | | | | | | | | |
| |реализованных программно- | | | | | | | | | |
| |техническими средствами функций | | | | | | | | | |
| |(требований) по обеспечению ИБ | | | | | | | | | |
| |платежной информации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.25 |Определена ли в документах | обязательный | | | | | | | 0,0392 | |
| |организации, согласована ли со | | | | | | | | | |
| |службой либо лицом, отвечающим в | | | | | | | | | |
| |организации за обеспечение ИБ, и | | | | | | | | | |
| |выполняется ли процедура | | | | | | | | | |
| |восстановления всех реализованных | | | | | | | | | |
| |программно-техническими | | | | | | | | | |
| |средствами функций по обеспечению | | | | | | | | | |
| |ИБ платежной информации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М7 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".