01.07.2013 в Минюсте зарегистрировано Указание Банка России от 05.06.2013 N 3007-У "О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
Часть изменений, уточняющих перечень информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, подлежащий регистрации, а так же вытекающие обязанности банковских платежных агентов (субагентов) и операторов по переводу денежных средств, вступит в силу по истечении 180 дней после дня официального опубликования Указания в "Вестнике Банка России".
В утвержденных Указаниях уточнено понятие «инцидента, связанного с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Дополнен перечень требований к выявлению и регистрации инцидентов, связанных с нарушениями обеспечения защиты информации при осуществлении переводов денежных средств и связанные с ними обязанности субъектов платежной системы.
Введены новые требования к проведению первой оценки соответствия в течение 6 месяцев после получения соответствующего статуса оператора по переводу денежных средств, оператора платежной системы, оператора услуг платежной инфраструктуры, а так же требования к отчету по результатам оценки соответствия.
Провести оценку соответствия в течение 6 месяцев со дня вступления Указания в силу обязаны и организации, являющиеся на текущий момент операторами по переводу денежных средств, операторами платежной системы, операторами услуг платежной инфраструктуры.
Соответствующие изменения внесены и в требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполнение которых проверяется при проведении оценки соответствия. В частности уточнено требование по применению сертифицированных СКЗИ только российских производителей, для остальных сертификат не требуется.
В целом внесенные изменения, лишь уточнили некоторые требования к обеспечению защиты информации при осуществлении переводов денежных средств и обязали субъектов платежной системы провести оценку соответствия в ближайшие пол года.
Обеспечение защиты информации при осуществлении переводов денежных средств должно осуществляться по следующим основным направлениям:
Распределение ролей и ответственность
Обеспечение информационной безопасности на жизненном цикле автоматизированных систем
Управление и контроль доступа.
Антивирусная защита
Контроль использования сети Интернет
Использование средств криптографической защиты информации
Обеспечение информационной безопасности при осуществлении переводов денежных средств
Организация и функционирования подразделения (работников), ответственного за обеспечение информационной безопасности
Повышение осведомленности работников и клиентов по вопросам обеспечения информационной безопасности
Управление инцидентами информационной безопасности
Определение и реализация порядка и правил обеспечения информационной безопасности
Оценка выполнения требований по защите информации
Доведение до заинтересованных сторон информации об обеспечении информационной безопасности
Совершенствование оператором платежной системы, оператором по переводу денежных средства
ЗАО «ДиалогНаука», системный интегратор в области информационной безопасности, обладая большим опытом реализации консалтинговых проектов по оценке соответствия требованиями Комплекса документов Банка России по информационной безопасности и Федерального закона «О персональных данных», аудиту систем управления информационной безопасностью, а также построению комплексных систем обеспечения информационной безопасности, оказывает услуги по приведению субъектов платежных систем в соответствие требованиям Федерального закона «О национальной платежной системе» и Положения Банка России 382-П.
- Стоимость медиауслуг (открыть PDF) -
