Изменения в 382-П по защите информации согласованы и направлены в МинЮст
Изменения в 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» согласованы, подписаны и направлены на регистрацию в Министерство юстиции РФ. Об этом сообщил замначальника главного управления безопасности и защиты информации Банка России Артем Сычев.
Отметим, что изменения 382-П должны быть введены уже с 1-го июля 2018-го года, а в части сертификации на НДВ или ОУД4 и разделения контуров - с 1-го июля 2019 года.
Напомним, новая редакция вносит следующие изменения в действующий нормативный акт Банка России:
1. Уточняется понятие инцидента ИБ, к которому теперь относятся «события, которые возникли вследствие нарушения или попыток нарушения целостности, конфиденциальности и (или) доступности защищаемой информации, в состав которых включаются инциденты из перечня, размещаемого Банком России на официальном сайте Банка России в информационно- телекоммуникационной сети "Интернет".
2. Прикладное ПО, используемое для осуществления переводов денежных средств, должно быть сертифицировано на отсутствие уязвимостей или в отношении которого проведен анализ уязвимостей.
3. Уточняется порядок работ по применению СКЗИ для защиты персональных данных. Если принимается решение, что защита ПДн будет обеспечиваться с помощью СКЗИ, то их применение должно соответствовать 378-му приказу ФСБ.
4. Вводится обязательное разделение контуров подготовки и подтверждения платежных поручений, в том числе и в ДБО. Компенсирующей мерой для разделения контуров является введение ограничение на параметры операций, что является актуальным именно для физлиц, которые не захотят применять два компьютера или две виртуальных машины для проведения обычных платежей, например, с помощью мобильных устройств.
5. Вводится обязанность по информированию Банка России об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации о инцидентах.
6. Исключается оценка соответствия в форме самооценки.
7. Оператор национально значимой платежной системы обязан информировать ФСБ о применяемых СКЗИ.
.gif)