Обеспечение безопасности в соответствии с...

Защита информации в национальной платежной системе

+7 (495) 921 1410 / www.leta.ruСентябрь 2013

Ольга СадовниковаРуководитель группы консалтинга по информационной безопасностиЗАО «ЛЕТА»

2

ПРОГРАММА ВЕБИНАРА

Обзор законодательства РФ о национальной платежной системе (НПС).

Требования по защите информации в НПС: краткий обзор Положения ЦБ РФ № 382-П, обзор последних изменений в связи с выходом Указания ЦБ РФ от 5 июня 2013 г. N 3007-У.

Предоставление отчетности по обеспечению защиты информации при осуществлении переводов денежных средств: установленные сроки, периодичность и ответственность.

Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС: порядок проведения оценки, методика, документирование результатов.

Рекомендации по реализации требований нормативных документов по защите информации в НПС.

3

ОБЗОР ЗАКОНОДАТЕЛЬСТВА РФ О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ (НПС)

4

ЧТО ТАКОЕ НПС

Федеральный закон от 27.06.2011 № 161-ФЗ

«О национальной платежной системе»

Национальная платежная система – это совокупность:

операторов платежных систем; операторов услуг платежной инфраструктуры (операционный центр,

платежный клиринговый центр и расчетный центр); операторов по переводу денежных средств

(включая операторов электронных денежных средств); банковских платежных агентов (субагентов); платежных агентов; организаций федеральной почтовой связи при оказании ими платежных

услуг в соответствии с законодательством РФ.

5

ЧТО ТАКОЕ НПС

операторы по переводу денежных средств

(операторы электронных денежных средств)

банковские платежные агенты банковские

платежные субагенты

операторы платежных систем

операторы услуг платежной

инфраструктурыплатежные субагенты

организации федеральной почтовой

связи

СУБЪЕКТЫ НПС

Определены требования к их деятельности и, в частности, к обеспечению ИБ

Федеральный закон от 17.07.1999 № 176-ФЗ «О почтовой связи»

Федеральный закон от 03.06.2009 №103-ФЗ «О деятельности по приему

платежей физических лиц, осуществляемой платежными агентами»

6

ПЛАТЕЖНАЯ СИСТЕМА

Платежная система – совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая:

оператора платежной системы, операторов услуг платежной инфраструктуры участников платежной системы, из которых как минимум три организации

являются операторами по переводу денежных средств.

Участники платежной системы - организации, присоединившиеся к правилам платежной системы в целях оказания услуг по переводу денежных средств

7

ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ

Оператор платежной системы – организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные 161-ФЗ.

Оператором платежной системы может являться:

кредитная организация организация, не являющаяся кредитной организацией; Банк России; Внешэкономбанк.

Организация, намеревающаяся стать оператором платежной системы, должна направить в Банк России регистрационное заявление по форме и в порядке, которые установлены Банком России.

Положение Банка России от 02.05.2012 № 378-П «О порядке направления в Банк России заявления о

регистрации оператора платежной системы»

8

РЕЕСТР ОПЕРАТОРОВ ПЛАТЕЖНОЙ СИСТЕМ

9

РЕЕСТР ОПЕРАТОРОВ ПЛАТЕЖНОЙ СИСТЕМ

На данный момент в рамках НПС официально присутствуют 27 зарегистрированных в Реестре операторов платежных систем и Банк России – оператор платежной системы Банка России

Банк России –Платежная система Банка России

АКБ «РУССЛАВБАНК» (ЗАО) – Платежная система CONTACT

161-ФЗ (ст. 15);Положение ЦБ 378-П «О порядке направления в Банк России заявление о регистрации ОПС»

161-ФЗ (ст. 15);Положение ЦБ РФ № 384-П «О платежной системе Банка России»

ЗАО «Национальные кредитные карточки» –Платежная система NCC (NATIONAL CREDIT CARDS) (РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК»)

ОАО КБ «ЮНИСТРИМ» –Система денежных переводов «ЮНИСТРИМ»

ООО «НКО «Вестерн Юнион ДП Восток» –Платежная Система Вестерн Юнион(РЦ – ОАО Банк ВТБ и НКО «ОРС» (ОАО))

ЗАО «Процессинговая компания «Юнион Кард» –Платежная система «Юнион Кард» (UNION CARD)(РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК«)

. . .

10

ОПЕРАТОРЫ УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ

Операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями.

Платежный клиринговый центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств и выполнение иных действий, предусмотренных Федеральным законом № 161-ФЗ.

Расчетный центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы.

11

ОПЕРАТОРЫ ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ

Все банки являются Операторами по переводу денежных средств, так как, как минимум, они являются участниками платежной системы Банка России.

Оператор по переводу денежных средств – организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств.

Операторами по переводу денежных средств являются:

Банк России; кредитные организации, имеющие право на осуществление перевода

денежных средств; Внешэкономбанк.

12

БАНКОВСКИЕ ПЛАТЕЖНЫЕ АГЕНТЫ (СУБАГЕНТЫ)

Банковский платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления деятельности, предусмотренной Федеральным законом № 161-ФЗ:

для принятия от физического лица наличных денежных средств и (или) выдачи физическому лицу наличных денежных средств, в том числе с применением платежных терминалов и банкоматов;

для предоставления клиентам электронных средств платежа и обеспечения возможности использования указанных электронных средств платежа в соответствии с условиями, установленными оператором по переводу денежных средств;

для проведения идентификации клиента - физического лица, его представителя и (или) выгодоприобретателя в целях осуществления перевода денежных средств без открытия банковского счета.

Банковский платежный субагент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления деятельности, предусмотренной Федеральным законом № 161-ФЗ.

13

ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС

Федеральный закон от 27.06.2011 № 161-ФЗ«О национальной платежной системе»

Постановления Правительства РФ

Положения Банка России

Указания Банка России

№ 584 «Об утверждении Положения о защите информации в платежной системе»

№ 378-П

№ 379-П

№380-П

№381-П

№ 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

№383-П

№384-П

№ 2693-У

№ 2694-У

№ 2695-У

№ 2814-У

№ 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»

№ 2836-У

14




Статья 27. Обеспечение защиты информации в платежной системе

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством РФ.

Правительство РФ устанавливает требования к защите указанной информации. Операторы по переводу денежных средств, банковские платежные агенты

(субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с ФСТЭК и ФСБ России.

15

НАДЗОРНЫЕ ОРГАНЫ

Надзор за соблюдениями требования закона обеспечивают:

Банк РоссииФСТЭК России ФСБ России



Осуществляют контроль и надзор за выполнением требований, установленных Правительством РФ без права ознакомления с защищаемой информацией

Осуществляет контроль за соблюдением требований, установленных Банком

России, в рамках надзора в НПС в установленном порядке

16




Постановление Правительства РФ от 13.06.2012 № 584

«Об утверждении Положения о защите информации в платежной

системе»

17

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №584

Устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.

Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных: на обеспечение защиты информации от неправомерных доступа, уничтожения,

модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;

на соблюдение конфиденциальности информации; на реализацию права на доступ к информации в соответствии с

законодательством Российской Федерации.

18


Требования к составу правил платежной системы: создание службы ИБ или назначение должностного лица, ответственного за

организацию защиты информации; включение в должностные обязанности работников, участвующих в обработке

информации, обязанности по выполнению требований к защите информации; определение угроз безопасности информации и анализ уязвимости ИС; анализ и управление рисками нарушения требований к защите информации; разработка и реализация систем защиты информации в ИС; применение средств защиты информации; выявление и реагирование на инциденты ИБ; обеспечение защиты информации при использовании информационно-

телекоммуникационных сетей общего пользования; определение порядка доступа к объектам инфраструктуры ПС,

обрабатывающим информацию; организация и проведение контроля и оценки соответствия на собственных

объектах инфраструктуры не реже 1 раза в 2 года.

19


Требования к составу применяемых средств защиты информации: шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности

Для проведения работ по защите информации могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.

Контроль (оценка) соблюдения требований к защите информации осуществляется самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

20




«Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления

Банком России контроля за соблюдением требований к обеспечению защиты

информации при осуществлении переводов денежных средств»

(утв. Банком России 09.06.2012 № 382-П)

21

ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС: КРАТКИЙ ОБЗОР ПОЛОЖЕНИЯ ЦБ РФ № 382-П,

ОБЗОР ПОСЛЕДНИХ ИЗМЕНЕНИЙ В СВЯЗИ С ВЫХОДОМ УКАЗАНИЯ ЦБ РФ ОТ 05.06.2013 Г. N 3007-У

22

ПОЛОЖЕНИЕ БАНКА РОССИИ №382-П

Устанавливает конкретные требования к защите информации при осуществлении переводов денежных средств, обязательные для выполнения: операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, банковскими платежными агентами (субагентами);

Устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в НПС.

23

Сокращения: ОПС – оператор платежной системы;ОПДС – оператор по переводу денежных средств;ОУПИ – оператор услуг платежной инфраструктуры; БПА (БПСА) – банковские платежные агенты (субагенты) юридические лица / индивидуальные предприниматели

Для каждого типа субъектов НПС свой набор требований:


24


25


Указание Банка России от 05.06.2013 № 3007-У«О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О

требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за

соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных клиентами данного оператора по переводу денежных средств, а также выявленных банковскими платежными агентами (субагентами).

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры определяют во внутренних документах порядок регистрации и хранения сведений об инцидентах

26


К инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения требований к обеспечению (или требований к осуществлению перевода денежных средств, связанных с обеспечением) защиты информации при осуществлении переводов денежных средств, которые установлены оператором по переводу денежных средств и доведены им до клиента, и которые:

привели к несвоевременности осуществления переводов денежных средств; привели или могут привести к осуществлению переводов денежных средств по

распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;

привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.

27


2.9.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ, которые имеют сертификаты уполномоченных государственных органов либо разрешение Федеральной службы безопасности Российской Федерации

2.9.2. В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа

28

Оператор по переводу денежных средств, Оператор платежной системы, Оператор услуг платежной инфраструктуры обеспечивают проведение оценки выполнения требований к обеспечению защиты информации при осуществлении перевода денежных средств (оценка соответствия).

Оценка соответствия проводится не реже одного раза в два года, а также по требованию Банка России.

Оценка соответствия осуществляется операторами самостоятельно или с привлечением сторонних организаций.

Порядок проведения оценки соответствия и документирования ее результатов определен в Приложении 1 к 382-П.

Перечень требований, выполнение которых проверяется при проведении оценки соответствия определен в Приложении 2 к 382-П.


29

ПРЕДОСТАВЛЕНИЕ ОТЧЕТНОСТИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ

ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ: УСТАНОВЛЕННЫЕ СРОКИ, ПЕРИОДИЧНОСТЬ И

ОТВЕТСТВЕННОСТЬ

30




«Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления

Банком России контроля за соблюдением требований к обеспечению защиты

информации при осуществлении переводов денежных средств»

(утв. Банком России 09.06.2012 № 382-П)

Указание Банка России от 09.06.2012 № 2831-У

«Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных

систем, операторов услуг платежной инфраструктуры, операторов по переводу

денежных средств»

31

УКАЗАНИЕ БАНКА РОССИИ № 2831-У

ОТЧЕТНОСТЬ ПО ФОРМЕ 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств»

предоставляется не позднее тридцати рабочих дней со дня завершения проведения оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка № 382-П

ОТЧЕТНОСТЬ ПО ФОРМЕ 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

предоставляется ежемесячно не позднее десятого рабочего дня месяца, следующего за отчетным;

предоставляется по требованию Банка

32

СРОКИ ПРЕДОСТАВЛЕНИЯ ОТЧЕТНОСТИ 0403202

Указание Банка России от 05.06.2013 № 3007-У«О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О

требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за

соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.

Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания

Начало действия документа (за исключением отдельных положений) - 10.07.2013.

33

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ПО ПРЕДОСТАВЛЕНИЮ ОТЧЕТНОСТИ

«1.25. Меры воздействия, применяемые к кредитной организации за нарушение требований по представлению и/или опубликованию отчетности в открытой печати в случаях, установленных федеральными законами, а также представлению аудиторских заключений» 1.25.2. Если кредитной организацией нарушены сроки представления отчетности и/или ее опубликования в открытой печати в случаях, установленных федеральными законами, представления аудиторского заключения, копий издания, в котором опубликован отчет, но указанные документы представлены в течение 5 дней с установленной Банком России даты, надзорный орган вправе взыскать штраф. 1.25.4. Штраф в размере до 0,05 процента от размера минимального уставного капитала может быть взыскан при однократном нарушении кредитной организацией в течение последних двенадцати месяцев сроков представления отчетности и в размере от 0,05 до 0,1 процента при 2-кратном нарушении.

В настоящий момент размер минимального уставного капитала установлен на уровне 180 млн. руб. Таким образом, штраф составит от 90 тыс. руб. до 180 тыс. руб. Кроме того, банк обяжут подать отчетность (выпишут предписание).

Инструкция Банка России от 31.03.1997 № 59 «О применении к кредитным организациям мер воздействия за нарушения пруденциальных норм деятельности»

34

1.25.6. В случае невыполнения кредитной организацией установленных предписанием требований о соблюдении сроков представления отчетности более двух раз в течение последних двенадцати месяцев, опубликования отчетности в открытой печати, представления аудиторского заключения, копий издания, в котором опубликован отчет, с нее может взыскиваться штраф в размере 1 процента от величины оплаченного уставного капитала, но не более 1 процента от минимального размера уставного капитала, либо могут быть применены другие меры воздействия, предусмотренные ст. 75 Федерального закона "О Центральном банке Российской Федерации (Банке России)" и настоящей Инструкцией.

Таким образом штраф составит уже 1 млн. 800 тыс. руб., а также могут последовать и другие меры воздействия (вплоть до отзыва лицензии).

Инструкция Банка России от 31.03.1997 № 59 «О применении к кредитным организациям мер воздействия за нарушения пруденциальных норм деятельности»

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ПО ПРЕДОСТАВЛЕНИЮ ОТЧЕТНОСТИ

35

ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ ОЦЕНКИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ

ЗАЩИТЫ ИНФОРМАЦИИ В НПС: ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ, МЕТОДИКА,

ДОКУМЕНТИРОВАНИЕ РЕЗУЛЬТАТОВ

36

ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ

ТРЕБОВАНИЯ КАТЕГОРИИ ПРОВЕРКИ 1 оценка выполнения требований к обеспечению защиты информации при

осуществлении переводов денежных средств, реализуемых применением организационных мер защиты информации или использованием технических средств защиты информации;

используемая шкала: 0 … 0,25 … 0,5 … 0,75 … 1


осуществлении переводов денежных средств, устанавливающих необходимость обеспечения наличия определенного Положением № 382-П документа;

используемая шкала: 0 … 1


осуществлении переводов денежных средств, устанавливающих необходимость выполнения определенной Положением № 382-П деятельности;

используемая шкала: 0 … 0,5 … 1

37


EV1ПС

EV2ПС

РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ:

38


EV1ПС

EV2ПС

РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ:

RПС = MIN(EV1ПС, EV2ПС))

среднее арифметическое оценок выполнения требований, определенных в пунктах 2.4 - 2.10 Положения №382-П, умноженное на корректирующий коэффициент

среднее арифметическое оценок выполнения требований, определенных в пунктах 2.11 - 2.17 Положения №382-П, умноженное на корректирующий коэффициент

k1

k2

39

РЕЗУЛЬТАТЫ ОЦЕНКИ СООТВЕТСТВИЯ

RПС >= 0.85 работа по обеспечению защиты информации на необходимом уровне

обеспечивает выполнение установленных требований; значение качественной оценки выполнения требований – «хорошая»;

0,7 <= RПС < 0,85 работа по обеспечению защиты информации в целом обеспечивает выполнение

установленных требований; значение качественной оценки выполнения требований – «удовлетворительная»;

0,5 <= RПС < 0,7

работа по обеспечению защиты информации не в полной мере обеспечивает выполнение установленных требований;

значение качественной оценки выполнения требований – «сомнительная»;

RПС < 0,5

работа по обеспечению защиты информации не обеспечивает выполнение установленных требований

значение качественной оценки выполнения требований «неудовлетворительная»

40

ФОРМА 1. Документирование результатов оценки соответствия

ФОРМА 2. Документирование результатов вычислений обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств

ФОРМЫ ДОКУМЕНТИРОВАНИЯ РЕЗУЛЬТАТОВ ОЦЕНКИ СООТВЕТСТВИЯ

41

РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ НОРМАТИВНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ

ИНФОРМАЦИИ В НПС

42

РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ПОЛОЖЕНИЯ 382-П

Выполнение требований к обеспечению защиты информации при осуществлении переводов денежных средств обеспечивается путем:

применения организационных мер защиты информации; определения во внутренних документах порядка применения

организационных мер защиты информации; использования технических средств защиты информации; определения во внутренних документах порядка использования технических

средств защиты информации, включающего информацию о конфигурации, определяющую параметры работы технических средств защиты информации;

определения лиц, ответственных за применение организационных мер защиты информации и за использование технических средств защиты информации;

реализации контроля применения организационных мер защиты информации и использования технических средств защиты информации.

43

РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ПОЛОЖЕНИЯ 382-ПДокументирование процедур:

Политика ИБ Частные политики ИБ (документы, детализирующие положения политики ИБ

применительно к одной или нескольким областям, в частности: обеспечение ИБ при назначении и распределении ролей, на стадиях жизненного цикла системы защиты информации, управление доступом, обеспечение антивирусной защиты, обеспечению ИБ при использовании ресурсов сети Интернет, применение СКЗИ, обеспечение ИБ платежных технологических процессов, управление инцидентами при выполнении операций по переводу денежных средств и др.);

Регламенты/Положения/Порядки (документы, определяющие порядок выполнения отдельных процедур, в частности: управления доступом к информационным ресурсам, регистрации и анализа действий и операций, использования сети Интернет, обеспечения антивирусной защиты, применения СКЗИ, обучения и повышения осведомленности в области ИБ, управления инцидентами, организации и проведения аудитов и самооценок и др.);

Инструкции пользователей; Памятки/рекомендации для клиентов.

Свидетельства выполнения требований: Приказы, журналы регистрации и др.

44

Применение технических мер: Средства защиты информации от НСД; Системы управления доступом (IDM); Средства антивирусной защиты; Средства межсетевого экранирования (FW); Системы обнаружения и предотвращения вторжений (IDS, IPS); Системы веб-фильтрации; Средства построения VPN сетей; Средства анализа защищенности; Средства криптографической защиты информации; Средства сбора и анализа событий (SIEM); Средства резервного копирования


45


- -- СЗИ от НСД, IDM системы- -- Backup- -- СЗИ от НСД, IDM системы- -- антивирусные средства--- IPS, МЭ, Proxy, веб-фильтрация- -- СКЗИ, УЦ, VPN--- СКЗИ

--- IPS, SIEM, сканеры безопасности

46

Предварительная оценка соответствия требованиям Положения Банка России от 09.06.2012 № 382-П (осуществляется предварительная оценка выполнения требований, необходимых для реализации работ, детальные описание свидетельств оценки соответствия не производится)

2-3 недели

Разработка рекомендации по приведению ИБ организации в соответствие требованиям 382-П 2-3 недели

Разработка пакета организационно-распорядительной документации, покрывающего требования по обеспечению информационной безопасности в НПС

3-4 недели

Оценка соответствия требования 382-П (с подготовкой Заключения о степени выполнения требований и предоставлением документированных свидетельств оценки соответствия)

1-2 недели

Техническое проектирование системы информационной безопасности в соответствии с требованиями нормативных документов по защите информации в НПС 161-ФЗ

3-4 недели

Внедрение технических средств защиты информации От 2-х месяцев

УСЛУГИ КОМПАНИИ LETA ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС

47

ВОПРОСЫ

Компания LETA109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410www.leta.ru

Обеспечение безопасности в соответствии с...

Documents