| № п/п |
Вопросы
проверки |
Состояние |
Формулировка
мотивированного суждения |
| да |
нет |
| 1 |
2 |
3 |
4 |
5 |
| I. Организация
и управление |
| 1. |
Имеется ли
программа информационного обеспечения
банковского обслуживания клиентов с
использованием банкоматов и если да, то:
- утверждена ли она руководителем
кредитной организации,
- включает ли мероприятия, предусматривающие
поддержание непрерывности функционирования
информационного обеспечения и его безопасности
|
. |
. |
. |
| 2. |
Разработана ли схема,
отражающая структуру, информационное
взаимодействие филиалов, внутренних структурных
и иных подразделений кредитной организации,
задействованных в банковском обслуживании
клиентов с использованием банкоматов |
. |
. |
. |
| 3. |
Отражает ли организационная
структура четкое разделение функций между
подразделениями кредитной организации.
Выполняются ли эти функции в полном объеме при
получении информации, ее проверке и обработке в
рамках банковского обслуживания клиентов с
использованием банкоматов различными
работниками ( * ) |
. |
. |
. |
| 4. |
Имеются ли регламенты,
устанавливающие:
- на случай непредвиденных обстоятельств:
порядок подготовки запросов,
проверки, передачи и согласования информации;
- обеспечения:
безопасности данных,
физической безопасности банкоматов,
вычислительной техники и иного оборудования
при осуществлении банковского
обслуживания клиентов с использованием
банкоматов |
. |
. |
. |
| 5. |
Обязан ли
исполнительный орган кредитной организации
регулярно анализировать информацию,
характеризующую:
- банковское обслуживание
клиентов с использованием банкоматов, в том
числе:
объем операций с использованием
банковских карт;
клиентскую базу;
- состояние организационного,
кадрового, информационного и технического
обеспечения
|
. |
. |
. |
II.
Материально-техническое и
программно-информационное обеспечение.
Обеспечение безопасности |
| 6. |
Имеются ли положения об
информационных подразделениях кредитной
организации, занимающихся вопросами обеспечения
банковского обслуживания клиентов с
использованием банкоматов и информационной
безопасности в этой области |
. |
. |
. |
| 7. |
Имеются ли должностные
инструкции работников указанных в предыдущем
пункте информационных подразделений |
. |
. |
. |
| 8. |
Имеются ли правила и
распоряжения, определяющие порядок эксплуатации
работниками кредитной организации
вычислительной техники и автоматизированных
банковских систем (АБС), задействованных в
банковском обслуживании клиентов с
использованием банкоматов |
. |
. |
. |
| 9. |
Формализован ли порядок
действий информационных подразделений и
подразделений информационной безопасности в
случаях отказа вычислительной техники и/или сбоя
в работе АБС, задействованных в банковском
обслуживании клиентов с использованием
банкоматов |
. |
. |
. |
| 10. |
Разработаны ли правила
доступа работников информационных
подразделений к
информационным ресурсам вычислительной сети и
электронным базам данных кредитной организации,
связанным с банковским обслуживанием клиентов с
использованием банкоматов |
. |
. |
. |
| 11. |
Соблюдаются ли правила
доступа работников к указанным информационным
ресурсам ( * ) |
. |
. |
. |
| 12. |
Обеспечивается ли
конфиденциальность кодов и паролей, применяемых
при доступе работников к указанным
информационным ресурсам |
. |
. |
. |
| 13. |
Разработан ли порядок
архивирования и/или резервного копирования
электронной информации, относящейся к
банковскому обслуживанию клиентов с
использованием банкоматов |
. |
. |
. |
| 14. |
Ведется ли в электронном виде
или на бумажных носителях учет операций
архивирования и/или резервного копирования
электронной информации, относящейся к
банковскому обслуживанию клиентов с
использованием банкоматов |
. |
. |
. |
| 15. |
Имеются ли администраторы
информационной безопасности в информационных
подразделениях кредитной организации, связанных
с банковским обслуживанием клиентов с
использованием банкоматов |
. |
. |
. |
| 16. |
Разработан ли комплекс
мероприятий по защите средств обработки
информации и электронных баз данных от
несанкционированного доступа |
. |
. |
. |
| 17. |
Установлены ли на
автоматизированных рабочих местах работников,
задействованных в системе банковского
обслуживания клиентов с использованием
банкоматов, средства антивирусной защиты ( * ) |
. |
. |
. |
| 18. |
Поддерживается ли путем
обновления актуальное состояние средств
антивирусной защиты на автоматизированных
рабочих местах указанных работников ( * ) |
. |
. |
. |
| 19. |
Разработаны ли процедуры
ограничения доступа в служебные помещения,
предназначенные для обработки и хранения
электронной информации (в расчетный центр,
серверную), связанной с банковским обслуживанием
клиентов с использованием банкоматов ( * ) |
. |
. |
. |
| 20. |
Имеются ли в службе
информационной безопасности средства контроля
целостности программного обеспечения,
установленного на автоматизированных рабочих
местах указанных работников |
. |
. |
. |
| 21. |
Существуют ли порядок и
график проверки автомтизированных рабочих мест
указанных работников на предмет контроля за
состоянием программного обеспечения и
удовлетворения требованиям информационной
безопасности |
. |
. |
. |
| 22. |
Разработан ли порядок
проведения регламентных и внеплановых работ по:
- обслуживанию банкоматов, вычислительной
техники и иного оборудования,
- проверки и обновления программного обеспечения
|
. |
. |
. |
| 23. |
Формализована ли процедура
принятия решений о модернизации и замене
банкоматов, вычислительного и иного
оборудования, а также программных средств |
. |
. |
. |
| 24. |
Предусмотрено ли проведение
технических перерывов, связанных с:
- введением в эксплуатацию/заменой
банкоматов, вычислительной техники и иного
оборудования,
- обновления программного обеспечения
|
. |
. |
. |
| 25. |
Имеются ли в наличии договоры
с поставщиками и/или разработчиками банкоматов,
вычислительной техники и иного оборудования, а
также программных средств на их разработку,
поставку, наладку и обслуживание (сопровождение) |
. |
. |
. |
| 26. |
Разрабатываются ли
проектно-технические задания в процессе
модернизации и/или замены банкоматов,
вычислительной техники и иного оборудования |
. |
. |
. |
| 27. |
Имеются ли в наличии
сертификаты и/или лицензии, подтверждающие, что
используемые кредитной организацией банкоматы,
вычислительная техника и иное оборудование, а
также программные средства удовлетворяют
государственным и иным стандартам, в частности,
стандартам безопасности |
. |
. |
. |
| 28. |
Подтвердила ли выборочная
проверка на основании данных аналитического
учета наличие банкоматов, вычислительной
техники и иного оборудования, а также
программных средств обработки, хранения и защиты
информации, которые применяются для обеспечения
банковского обслуживания клиентов с
использованием банкоматов ( * ) |
. |
. |
. |
| 29. |
Находится ли проверенное
оборудование в работоспособном состоянии ( * ) |
. |
. |
. |
| 30. |
Удовлетворяют ли проверенные
банкоматы и вычислительная техника общим
требованиям информационной безопасности,
определенным внутренним документом кредитной
организации (имеется ли защита от
несанкционированного доступа, антивирусная
защита) ( * ) |
. |
. |
. |
| 31. |
Разрешен ли доступ в рабочую
область передачи и обработки электронной
информации только работникам кредитной
организации, имеющим на это право, и
осуществляется ли контроль за пребыванием этих
работников в установленный для них период
времени (например, на основе разрешений
руководителей) ( * ) |
. |
. |
. |
| 32. |
Запрещен ли доступ к
оформлению документов в процессе эксплуатации
банкоматов вычислительной техники и
программного обеспечения работникам иных подразделений кредитной организации |
. |
. |
. |
| 33. |
Имеются ли формализованные
процедуры, исключающие доступ работников
кредитной организации, не указанных в
регламентах и распоряжениях, к банкоматам,
вычислительной технике, программному
обеспечению, электронным базам данных и так
далее, а также к информации о паролях (кодах) ( * ) |
. |
. |
. |
| 34. |
Имеют ли банкоматы и
вычислительная техника средства защиты:
физические и/или программные замки для
исключения доступа работников, не имеющих на это
полномочий |
. |
. |
. |
| 35. |
Скрыты ли тексты паролей
(кодов) при их вводе ( * ) |
. |
. |
. |
| 36. |
Часто ли меняются пароли для
работников, обеспечивающих получение, ввод и обработку информации
(операторов), и, если это так, меняются ли они с
периодичностью, позволяющей обеспечить
информационную защиту от несанкционированного
доступа |
. |
. |
. |
| 37. |
Требуется ли специальное
разрешение для получения доступа к оборудованию
(терминалам) в нерабочее время ( *
) |
. |
. |
. |
| 38. |
Разграничены ли пароли на
разрешение доступа к различным видам операций
(таким, как ввод, пересылка, корректировка
информации и т.п.) и к различным файлам
электронной базы данных ( * ) |
. |
. |
. |
| 39. |
Какие виды соединений
банкоматов с расчетным центром использует
кредитная организация:
- выделенный канал связи (арендуемый, или
приобретенный),
- модемное соединение по коммутируемым
линиям,
- Интернет
( * )
|
. |
. |
. |
| 40. |
Имеется ли в наличии и
выполняется ли регламент сетевого обмена ( * ) |
. |
. |
. |
| 41. |
Имеется ли в наличии и
выполняется регламент межсетевого
взаимодействия ( * ) |
. |
. |
. |
| 42. |
Имеется ли возможность
сетевого доступа к ресурсам банкоматов
пользователей, не определенных технологическим
процессом, в том числе с правами
администрирования ( * ) |
. |
. |
. |
| 43. |
Осуществляются ли
взаимодействие программного обеспечения
банкоматов с автоматизированной банковской
системой (АБС) на «уровне приложений»
(семиуровневой модели OSI) и применяемые меры
защиты АБС ( * ) |
. |
. |
. |
| 44. |
Имеется ли в наличии и
выполняется ли регламент вывода из эксплуатации
средств вычислительной техники (дисков,
носителей резервной информации) (
* ) |
. |
. |
. |
| 45. |
Осуществляются ли защитные
меры, применяемые при использовании кредитной
организацией информационных услуг сторонних
организаций (по системе аутсорсинга) ( * ) |
. |
. |
. |
| 46. |
Поддерживает ли кредитная
организация запасные системы на случай таких
событий, как:
- неисправности вычислительной техники,
иного оборудования,
- сбои на линии связи
|
. |
. |
. |
| 47. |
Осуществляется ли проверка
указанных запасных систем работниками кредитной
организации |
. |
. |
. |
| 48. |
Требуется ли специальное
разрешение для использования запасных систем |
. |
. |
. |
| 49. |
Разработаны ли планы действий
на:
- случай полного отказа вычислительной
техники, иного оборудования и линий связи,
- на случай непредвиденных обстоятельств
и предусматривают ли они, как минимум,
восстановление нормального функционирование к
началу процесса обработки информации на
следующий день |
. |
. |
. |
| 50. |
Анализируются ли регулярно
планы действий на случай непредвиденных
обстоятельств и подвергаются ли они
периодической проверке ( * ) |
. |
. |
. |
| 51. |
Ознакомлены ли работники
филиалов и внутренних структурных подразделений
кредитной организации с указанными планами
действий на случай непредвиденных обстоятельств |
. |
. |
. |
| III. Оценка
организации внутреннего контроля и системы
управления рисками, направленная на выявление и
предотвращение потенциальных и существующих
угроз при информационном обеспечении
банковского обслуживании клиентов с
использованием банкоматов |
| 52. |
Имеются ли в кредитной
организации методики по выявлению, оценке и
мониторингу рисков в области информационных
технологий при осуществлении банковского
обслуживания клиентов с использованием
банкоматов |
. |
. |
. |
| 53. |
Имеются ли в планах работы СВК
мероприятия по оценке эффективности управления
рисками в области информационных технологий при
осуществлении банковского обслуживания
клиентов с использованием банкоматов |
. |
. |
. |
| 54. |
Выполняются ли планы работы
СВК в части оценки эффективности управления
рисками в области информационных технологий при
осуществлении банковского обслуживания
клиентов с использованием банкоматов, какова
частота проводимых проверок, имеются ли в
наличии отчеты СВК и какова их информативность |
. |
. |
. |
| 55. |
Имеют ли работники СВК
необходимую квалификацию для проверки
информационных технологий и оценки управления
рисками в этой области |
. |
. |
. |
| 56. |
Привлекает ли СВК работников
информационных подразделений к проверкам
банковского обслуживания клиентов с
использованием банкоматов |
. |
. |
. |
| 57. |
Оцениваются ли в ходе
проверок СВК все ли наиболее существенные
операционные риски в области информационных
технологий при осуществлении банковского
обслуживания клиентов с использованием
банкоматов |
. |
. |
. |
| 58. |
Имеет ли СВК доступ ко всем
документам, отчетам и иной информации по
вопросам банковского обслуживания клиентов с
использованием банкоматов |
. |
. |
. |
| 59. |
Хранится ли информация о
клиентах кредитной организации под двойным
техническим контролем или она защищена другим
способом |
. |
. |
. |
| 60. |
Используются ли технические
(программные) средства контроля за соблюдением
лимитов по снятию средств клиентами через
банкоматы |
. |
. |
. |
| 61. |
Использует ли кредитная
организация технические устройства, которые
записывают все запросы на проведение операций с
банковскими картами |
. |
. |
. |
| 62. |
Поддерживается ли в
подразделении обработки информации технический
контроль времени и последовательности номеров
для обрабатываемых запросов |
. |
. |
. |
| 63. |
Осуществляется ли
технический контроль, обеспечивающий запрет
списания средств с карточных счетов клиентов в
случае недостатка средств или превышения
установленных расчетных лимитов |
. |
. |
. |