Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
-------------------T----------------------------------------------T----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T-------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.1 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0405 ¦ ¦
¦ ¦ банковский платежный технологический ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процесс? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.2 ¦ Определены ли документально перечни ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0365 ¦ ¦
¦ ¦ программного обеспечения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ устанавливаемого и (или) используемого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в ЭВМ и АБС и необходимого для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения конкретных банковских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежных технологических процессов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.3 ¦ Соответствует ли состав установленного ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0389 ¦ ¦
¦ ¦ и используемого в ЭВМ и АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программного обеспечения определенному ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ перечню? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.4 ¦ Контролируется ли выполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦
¦ ¦ требований, оцениваемых в частных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ показателях M7.2, M7.3, с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документированием результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.5 ¦ Зафиксирован ли порядок обмена ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0451 ¦ ¦
¦ ¦ платежной информацией в договорах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ между участниками данного обмена? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.6 ¦ Отсутствуют ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0448 ¦ ¦
¦ ¦ работники, обладающие полномочиями для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ бесконтрольного создания, авторизации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ уничтожения и изменения платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации, а также проведение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ несанкционированных операций по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменению состояния банковских счетов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.7 ¦ Контролируются (проверяются) ли и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0458 ¦ ¦
¦ ¦ удостоверяются ли результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологических операций по обработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежной информации лицами/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ автоматизированными процессами? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.8 ¦ Осуществляется ли обработка платежной ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0442 ¦ ¦
¦ ¦ информации и контроль (проверка) ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ результатов обработки разными ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ работниками/автоматизированными ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ процессами? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.9 ¦ Возложены ли обязанности по ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0365 ¦ ¦
¦ ¦ администрированию средств защиты ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ платежной информации приказами или ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ распоряжениями по организации на ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ администраторов ИБ с отражением этих ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ обязанностей в должностных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ инструкциях? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.10 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса защиту ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежной информации от искажения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ фальсификации, переадресации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ несанкционированного уничтожения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ложной авторизации электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.11 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0384 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса доступ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работника организации только к тем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ресурсам банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса, которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимы ему для исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ должностных обязанностей или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации прав, предусмотренных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологией обработки платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.12 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0389 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса контроль ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (мониторинг) исполнения установленной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологии подготовки, обработки, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ передачи и хранения платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.13 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0412 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аутентификацию входящих электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.14 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0412 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса двустороннюю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аутентификацию автоматизированных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рабочих мест (рабочих станций и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ серверов), участников обмена ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ электронными платежными сообщениями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.15 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса возможность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ввода платежной информации в АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ только для авторизованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пользователей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.16 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса контроль, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ направленный на исключение возможности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершения злоумышленных действий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (двойной ввод, сверку, установление ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ограничений в зависимости от суммы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершения операций и т.д.)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.17 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановление платежной информации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ случае ее умышленного (случайного) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разрушения (искажения) или выхода из ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ строя средств вычислительной техники? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.18 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществлении межбанковских расчетов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сверку выходных электронных платежных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сообщений с соответствующими входными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и обработанными электронными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежными сообщениями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.19 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса доставку ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ электронных платежных сообщений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ участникам обмена? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.20 ¦ Организован ли в организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0364 ¦ ¦
¦ ¦ авторизованный ввод платежной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информации в АБС двумя работниками с ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ последующей программной сверкой ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ результатов ввода на совпадение ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ (принцип "двойного управления")? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.21 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0337 ¦ ¦
¦ ¦ и выполняются ли при проектировании, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разработке, эксплуатации систем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания процедуры, реализующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ механизмы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - снижения вероятности выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непреднамеренных или случайных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ операций или транзакций ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ авторизованными клиентами; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - доведения информации о возможных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисках, связанных с выполнением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ операций или транзакций до клиентов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.22 ¦ Обеспечены ли клиенты систем ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания детальными инструкциями, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ описывающими процедуры выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ операций или транзакций? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.23 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦ и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания средств вычислительной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ техники, используемых в банковском ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежном технологическом процессе, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ включая замену их программных и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аппаратных частей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.24 ¦ Определена ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦ организации, согласована ли со службой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедура периодического контроля всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средствами функций (требований) по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ платежной информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.25 ¦ Определена ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦ организации, согласована ли со службой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедура восстановления всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средствами функций по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежной информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ Итоговая оценка группового показателя M7 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".