Построение системы обеспечения информационной безопасности в соответствии с требованиями Положения Банка России №382-П

В соответствии с положениями Статьи 27 федерального закона «О национальной платежной системе» от 27 июня 2011 года N 161-ФЗ операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения ИБ, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, а так же при осуществлении переводов денежных средств. Оператор платежной системы – юридическое лицо, определяющее порядок функционирования платежной системы и выполняющее другие обязанности, предусмотренные Федеральным законом.

Банком России в целях регулирования отношений в национальной платежной системе выпущено Положение Банка России № 382-П от 9 июня 2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» устанавливающее ряд требований к обеспечению защиты информации участниками платежных систем (далее – Субъектами).

В соответствии с Положением 382-П требования по обеспечению ИБ при осуществлении переводов денежных средств должны выполняться с 1 июля 2012 года. Действие положения распространяется на субъекты национальной платежной системы.

При проведении работ по построению системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями Положения 382-П решаются следующие задачи:

1. Предварительная оценка уровня ИБ субъекта платежной системы и выявление несоответствий требованиям Положения 382-П.
2. Формирование, согласование с Субъектом и утверждение Перечня мер по устранению выявленных несоответствий:
2.1. Перечень подлежащих доработке имеющихся документов СОИБ.
2.2. Перечень подлежащих разработке новых (недостающих) документов СОИБ.
2.3. Определение достаточности имеющихся средств защиты информации (СЗИ), при необходимости формирование данных о потребности в дополнительных средствах и формирование требований к Комплексу СЗИ, состоящему из имеющихся и дополнительных СЗИ.
2.4. При необходимости может выполняться разработка, согласование и утверждение технического задания на проектирование и внедрение Комплекса СЗИ.
3. Доработка (разработка) необходимых документов СОИБ Субъекта согласно ранее сформированным перечням.
4. Проектирование и внедрение Комплекса СЗИ (при необходимости).
5. Заключительная оценка соответствия СОИБ Субъекта требованиям Положения 382-П.

Разработка/доработка документов Субъекта, касающихся обеспечения информационной безопасности при осуществлении переводов денежных средств, осуществляется на основе требований документов Банка России с учетом лучших мировых практик, применяемых для обеспечения информационной безопасности Субъекта, и содержат требования для следующих областей:

• обеспечение защиты информации (ЗИ) при назначении и распределении функциональных прав и обязанностей (ролей) лицам, связанным с осуществлением переводов денежных средств;
• обеспечение ЗИ на стадиях жизненного цикла объектов информационной инфраструктуры Субъекта;
• обеспечение ЗИ при осуществлении доступа к объектам информационной инфраструктуры Субъекта, включая требования по ЗИ от несанкционированного доступа при осуществлении переводов денежных средств;
• обеспечение ЗИ от воздействия программных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники;
• обеспечение ЗИ при использовании информационно-телекоммуникационной сети Интернет при осуществлении переводов денежных средств;
• обеспечение ЗИ при использовании средств криптографической защиты информации;
• обеспечение ЗИ при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер по ЗИ и технических средств ЗИ, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств (технологические меры ЗИ);
• организация и функционирование подразделения (работников), ответственного (ответственных) за организацию и контроль обеспечения ЗИ (служба информационной безопасности);
• повышение осведомленности работников и клиентов Субъекта в области обеспечения ЗИ;
• выявление инцидентов, связанных с нарушениями требований по обеспечению ЗИ при осуществлении переводов денежных средств, и оценка реагирования на инциденты;
• определение и реализация порядка и правил обеспечения ЗИ при осуществлении переводов денежных средств;
• оценка выполнения Субъектом требований по обеспечению ЗИ при осуществлении переводов денежных средств;
• доведение Субъектом до заинтересованных сторон информации об обеспечении в платежной системе ЗИ при осуществлении переводов денежных средств;
• совершенствование Банком ЗИ при осуществлении переводов денежных средств

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».