криптографической защиты информации"
-------------------T---------------------------------------------T----------------T------------------------------------------T----------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T------T-------T------T-----T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.1 ¦ Проводится ли применение СКЗИ в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0857 ¦ ¦
¦ ¦ организации в соответствии с моделью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ угроз ИБ и моделью нарушителя ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ принятыми организацией? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Имеют ли СКЗИ, применяемые для защиты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ персональных данных, класс не ниже ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ КС2? Проводятся ли работы по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению безопасности информации с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ помощью СКЗИ в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действующими в настоящее время ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нормативными документами, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующими вопросы эксплуатации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ, технической документацией на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ и лицензионными требованиями ФСБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.2 ¦ Утверждена ли частная политика, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦ касающаяся применения СКЗИ в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.3 ¦ Допускают ли СКЗИ возможность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦ встраивания в технологические процессы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обработки электронных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.4 ¦ Обеспечивают ли СКЗИ взаимодействие с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦ прикладным программным обеспечением на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ уровне обработки запросов на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ криптографические преобразования и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выдачи результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.5 ¦ Поставляются ли СКЗИ разработчиками с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0842 ¦ ¦
¦ ¦ полным комплектом эксплуатационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документации, включающей описание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ключевой системы, правила работы с ней ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и обоснование необходимого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организационно-штатного обеспечения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.6 ¦ Сертифицированы ли СКЗИ уполномоченным ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0857 ¦ ¦
¦ ¦ государственным органом или имеют ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ разрешение ФСБ России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.7 ¦ Осуществляются ли установка и ввод в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0845 ¦ ¦
¦ ¦ эксплуатацию, а также эксплуатация ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ в соответствии с эксплуатационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и технической документацией к этим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средствам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.8 ¦ Поддерживается ли непрерывность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦ процессов протоколирования работы СКЗИ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ при применении СКЗИ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.9 ¦ Поддерживается ли непрерывность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦ процессов обеспечения целостности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программного обеспечения для среды ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционирования СКЗИ, представляющей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ собой совокупность технических и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программных средств, совместно с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ которыми происходит штатное ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционирование СКЗИ и которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ способны повлиять на выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предъявляемых к СКЗИ требований? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.10 ¦ Обеспечивается ли ИБ процессов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0776 ¦ ¦
¦ ¦ изготовления криптографических ключей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ комплексом технологических, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организационных, технических и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программных мер и средств защиты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.11 ¦ Реализованы ли процедуры мониторинга, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦ регистрирующие все значимые события, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ состоявшиеся в процессе обмена ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ криптографически защищенными данными, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ и все инциденты ИБ? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.12 ¦ Определен ли руководством на основании ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0671 ¦ ¦
¦ ¦ указанных в разделе 7.7 СТО БР ИББС- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ 1.0 документов порядок применения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СКЗИ, включающий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок ввода в действие, включая ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедуры встраивания СКЗИ в АБС; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок эксплуатации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок восстановления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работоспособности в аварийных случаях; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок внесения изменений; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок снятия с эксплуатации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок управления ключевой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ системой; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок обращения с носителями ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ключевой информации, включая действия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ при смене и компрометации ключей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.13 ¦ Самостоятельно ли изготавливаются в ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0607 ¦ ¦
¦ ¦ организации и (или) клиентом ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ организации ключи СКЗИ? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ M6.14 ¦ Регулируются ли заключаемыми ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0708 ¦ ¦
¦ ¦ договорами отношения, возникающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ между организациями и их клиентами? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+------+-------+------+-----+-------+----------------+---------------+
¦ Итоговая оценка группового показателя M6 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
Групповой показатель M7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
-------------------T----------------------------------------------T----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T-------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.1 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0405 ¦ ¦
¦ ¦ банковский платежный технологический ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процесс? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.2 ¦ Определены ли документально перечни ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0365 ¦ ¦
¦ ¦ программного обеспечения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ устанавливаемого и (или) используемого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в ЭВМ и АБС и необходимого для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения конкретных банковских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежных технологических процессов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.3 ¦ Соответствует ли состав установленного ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0389 ¦ ¦
¦ ¦ и используемого в ЭВМ и АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программного обеспечения определенному ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ перечню? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.4 ¦ Контролируется ли выполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦
¦ ¦ требований, оцениваемых в частных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ показателях M7.2, M7.3, с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документированием результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.5 ¦ Зафиксирован ли порядок обмена ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0451 ¦ ¦
¦ ¦ платежной информацией в договорах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ между участниками данного обмена? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.6 ¦ Отсутствуют ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0448 ¦ ¦
¦ ¦ работники, обладающие полномочиями для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ бесконтрольного создания, авторизации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ уничтожения и изменения платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации, а также проведение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ несанкционированных операций по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменению состояния банковских счетов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.7 ¦ Контролируются (проверяются) ли и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0458 ¦ ¦
¦ ¦ удостоверяются ли результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологических операций по обработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежной информации лицами/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ автоматизированными процессами? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.8 ¦ Осуществляется ли обработка платежной ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0442 ¦ ¦
¦ ¦ информации и контроль (проверка) ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ результатов обработки разными ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ работниками/автоматизированными ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ процессами? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.9 ¦ Возложены ли обязанности по ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0365 ¦ ¦
¦ ¦ администрированию средств защиты ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ платежной информации приказами или ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ распоряжениями по организации на ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ администраторов ИБ с отражением этих ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ обязанностей в должностных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ инструкциях? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.10 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса защиту ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежной информации от искажения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ фальсификации, переадресации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ несанкционированного уничтожения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ложной авторизации электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.11 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0384 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса доступ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работника организации только к тем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ресурсам банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса, которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимы ему для исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ должностных обязанностей или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации прав, предусмотренных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологией обработки платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.12 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0389 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса контроль ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (мониторинг) исполнения установленной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологии подготовки, обработки, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ передачи и хранения платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.13 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0412 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аутентификацию входящих электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.14 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0412 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса двустороннюю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аутентификацию автоматизированных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рабочих мест (рабочих станций и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ серверов), участников обмена ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ электронными платежными сообщениями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.15 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса возможность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ввода платежной информации в АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ только для авторизованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пользователей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.16 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса контроль, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ направленный на исключение возможности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершения злоумышленных действий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (двойной ввод, сверку, установление ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ограничений в зависимости от суммы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершения операций и т.д.)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.17 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановление платежной информации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ случае ее умышленного (случайного) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разрушения (искажения) или выхода из ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ строя средств вычислительной техники? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.18 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществлении межбанковских расчетов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сверку выходных электронных платежных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сообщений с соответствующими входными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и обработанными электронными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежными сообщениями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.19 ¦ Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ ¦ обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологического процесса доставку ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ электронных платежных сообщений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ участникам обмена? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.20 ¦ Организован ли в организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0364 ¦ ¦
¦ ¦ авторизованный ввод платежной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информации в АБС двумя работниками с ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ последующей программной сверкой ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ результатов ввода на совпадение ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ (принцип "двойного управления")? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.21 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0337 ¦ ¦
¦ ¦ и выполняются ли при проектировании, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разработке, эксплуатации систем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания процедуры, реализующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ механизмы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - снижения вероятности выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непреднамеренных или случайных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ операций или транзакций ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ авторизованными клиентами; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - доведения информации о возможных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисках, связанных с выполнением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ операций или транзакций до клиентов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.22 ¦ Обеспечены ли клиенты систем ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ ¦ дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания детальными инструкциями, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ описывающими процедуры выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ операций или транзакций? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.23 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦ и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обслуживания средств вычислительной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ техники, используемых в банковском ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежном технологическом процессе, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ включая замену их программных и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аппаратных частей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.24 ¦ Определена ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦ организации, согласована ли со службой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедура периодического контроля всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средствами функций (требований) по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ платежной информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ M7.25 ¦ Определена ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦ организации, согласована ли со службой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедура восстановления всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средствами функций по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ платежной информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+-------+------+--------------+--------------+
¦ Итоговая оценка группового показателя M7 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M8 "Обеспечение
информационной безопасности банковских информационных
технологических процессов"
-------------------T----------------------------------------------T----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.1 ¦ Проведена ли в организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0852 ¦ ¦
¦ ¦ классификация неплатежной информации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.2 ¦ Проводится ли классификация ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0779 ¦ ¦
¦ ¦ неплатежной информации в соответствии ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ со степенью тяжести последствий потери ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ ее свойств ИБ, в частности, свойств ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ доступности, целостности и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ конфиденциальности? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.3 ¦ Определен ли документально набор ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0970 ¦ ¦
¦ ¦ требований по защите каждого из типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ неплатежных информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (типов неплатежной информации), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ полученных в результате классификации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.4 ¦ Возложены ли обязанности по ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0814 ¦ ¦
¦ ¦ администрированию средств защиты ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ неплатежной информации приказами или ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ распоряжениями по организации на ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ администраторов ИБ с отражением этих ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ обязанностей в должностных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ инструкциях? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.5 ¦ Определен ли документально порядок ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0777 ¦ ¦
¦ ¦ контроля функционирования со стороны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ лиц, отвечающих за ИБ, для каждой АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.6 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0740 ¦ ¦
¦ ¦ банковские информационные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ технологические процессы, согласованы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ли эти документы со службой ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.7 ¦ Реализованы ли банковские ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0639 ¦ ¦
¦ ¦ информационные технологические ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процессы в рамках созданных для этих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ целей АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.8 ¦ Изолированы ли серверы, офисные ЭВМ и ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0758 ¦ ¦
¦ ¦ другое оборудование, не входящее в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ состав АБС, реализующих банковские ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информационные технологические ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ процессы, от указанных АБС на уровне ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ локальных вычислительных сетей ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ способом, согласованным со службой ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ либо лицом, отвечающим в организации ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ за ИБ? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.9 ¦ Определены ли документально перечни ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦ программного обеспечения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ устанавливаемого и (или) используемого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в ЭВМ и АБС и необходимого для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения конкретных банковских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных технологических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процессов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.10 ¦ Соответствует ли состав установленного ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦ и используемого в ЭВМ и АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программного обеспечения определенному ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ перечню? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.11 ¦ Контролируется ли выполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0676 ¦ ¦
¦ ¦ требований частных показателей M8.9, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ M8.10 с документированием результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.12 ¦ Регламентирована ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0889 ¦ ¦
¦ ¦ организации, согласована ли со службой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ либо лицом, отвечающим за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедура периодического контроля всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средствами и организационными мерами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функций (требований) по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ неплатежной информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M8.13 ¦ Регламентирована ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0814 ¦ ¦
¦ ¦ организации, согласована ли со службой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ либо лицом, отвечающим за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедура восстановления всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средствами и организационными мерами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функций по обеспечению ИБ неплатежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+----------------------------------------------+----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M8 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M9 "Общие требования по обработке
персональных данных в организации БС РФ"
--------------------T---------------------------------------------T----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ <**> ¦
¦ ¦ ¦ ¦ ¦ ИБ <*> ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T-----T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.1 ¦ Определены ли в организации, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксированы ли документально и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ утверждены ли руководством организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ цели обработки персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.2 ¦ Определена ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ необходимость уведомления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Уполномоченного органа по защите прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ субъектов персональных данных об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработке персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.3 ¦ Определены ли в организации для каждой ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ цели обработки персональных данных, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксированы ли документально и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ утверждены ли руководством ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - объем и содержание персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - сроки обработки, в том числе сроки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ хранения персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - необходимость получения согласия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ субъектов персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.4 ¦ Проводится ли в организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ классификация персональных данных в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ соответствии со степенью тяжести ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ последствий потери свойств ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ безопасности персональных данных для ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ субъекта персональных данных? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.5 ¦ Выделяются ли при проведении ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ классификации персональных данных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ следующие категории: ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - персональные данные, отнесенные в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ соответствии с Федеральным законом "О ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных" к специальным ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ категориям персональных данных; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - персональные данные, отнесенные в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ соответствии с Федеральным законом "О ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных" к биометрическим ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональным данным; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - персональные данные, которые не ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ могут быть отнесены к специальным ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ категориям персональных данных, к ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ биометрическим персональным данным, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ к общедоступным или обезличенным ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональным данным; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - персональные данные, отнесенные в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ соответствии с Федеральным законом ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ "О персональных данных" к ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ общедоступным или обезличенным ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональным данным? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.6 ¦ Осуществляется ли организацией ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ передача персональных данных третьему ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ лицу с согласия субъекта персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ В том случае, если организация ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ поручает обработку персональных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ третьему лицу на основании договора - ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ включается ли в такой договор ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обязанность обеспечения третьим лицом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ конфиденциальности персональных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ и безопасности персональных данных при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ их обработке? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.7 ¦ Прекращается ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработка персональных данных и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ уничтожаются ли собранные персональные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данные в следующих случаях и в сроки, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ установленные законодательством РФ: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - по достижении целей обработки или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ при утрате необходимости в их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ достижении; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - по требованию субъекта персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных или Уполномоченного органа по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ защите прав субъектов персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных - если персональные данные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ являются неполными, устаревшими, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ недостоверными, незаконно полученными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ или не являются необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ заявленной цели обработки; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - при отзыве субъектом персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных согласия на обработку своих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных, если такое ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ согласие требуется в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ законодательством РФ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - при невозможности устранения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ оператором допущенных нарушений при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработке персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Примечание: если иное установлено ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ законодательством РФ, показателю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ присваивается оценка "н/о". ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.8 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ уничтожения персональных данных (в том ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ числе и материальных носителей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.9 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработки обращений субъектов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных (или их законных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ представителей) по вопросам обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ их персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.10 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ действий в случае запросов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Уполномоченного органа по защите прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ субъектов персональных данных или иных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ надзорных органов, осуществляющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ контроль и надзор в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.11 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально подход к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ отнесению АБС к информационным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ системам персональных данных (ИСПДн)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.12 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально перечень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ИСПДн, в который включены как минимум ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ АБС, целью создания и использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ которых является обработка ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных и не включены АБС, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ реализующие банковские платежные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ технологические процессы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.13 ¦ Определены ли для каждой ИСПДн ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации и зафиксированы ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ документально: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - цель обработки персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - объем и содержание обрабатываемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - перечень действий с персональными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данными и способы их обработки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.14 ¦ Соответствуют ли целям обработки объем ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ и содержание персональных данных в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ИСПДн, а также перечень действий и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ способы обработки персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.15 ¦ Документированы ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ банковские информационные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ технологические процессы, в рамках ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ которых обрабатываются персональные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данные в ИСПДн? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.16 ¦ Исключена ли при обработке ПДн в ИСПДн ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
|