18.6.12

Утверждено новое ПП-584 о защите НПС

Премьер-министр Медведев подписал 13-го июня постановление №584 "Об утверждении Положения о защите информации в платежной системе", которое вступает в силу с 1-го июля. По сравнению с проектом и его оценкой в Минэкономиразвития текст поменялся.

Во-первых, поменялось название - слово "национальной" исчезло. Пока сложно сказать, что стало причиной такого удаления, но я пока не вижу никаких проблем.Во-вторых, уменьшилось число пунктов - с 17-ти до 9-ти. Что-то понятно, что-то нет. В частности, из принятого документа исчез такой пассаж: "Требования по обеспечению защиты информации при осуществлении переводов денежных средств устанавливаются Центральным банком Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю (далее – требования по защите информации, установленные Банком России)". Фактически это ни на что не влияет - по ФЗ-161 Банк России и так устанавливает требования по защите, согласуемые с ФСТЭК и ФСБ. Но все-таки для того, чтобы переход к проектам ЦБ с требованиями по защите НПС были более логичным, правильнее было бы упомянутый пассаж оставить. Убрали упоминания лицензий ФСБ у контрагентов, приглашаемых для помощи в защите платежной системы, - теперь речь идет только о лицензиатах ФСТЭК.

Также в пункте, перечисляющим обязательные к применению типы средств защиты, убрали фрагмент "в том числе прошедших в установленном порядке процедуру оценки соответствия". Это позитивно. Детально требования к оценке соответствия будут прописаны уже в документах Банка России. Также убрали все требования к субъектам платежной системы, по сути все опять переложив на плечи агентов и операторов НПС.

Еще убрали все ссылки на Банк России, ФЗ "Об электронной подписи" и ФЗ "О персональных данных". Ну и вообще текст очень сильно подчистили и сократили. Если в проекте было 1760 слов, то в принятом варианте всего 482 - почти 4-хкратное уменьшение объема текста.

Ну и наконец, в проекте был такой фрагмент "Контроль и надзор за выполнением требований, установленных настоящим Положением, осуществляется Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их полномочий и без права ознакомления с защищаемой информацией в соответствии с законодательством Российской Федерации о государственном контроле (надзоре). Контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств осуществляется Центральным банком Российской Федерации в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю." В итоговом документе осталось только "Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации". Скорее всего причина таже, что и во втором абзаце - это уже и так прописано в ФЗ "О национальной платежной системе".

Из интересного:
  • У оператора или агента платежной системы должно быть либо структурное подразделение, либо ответственный за ИБ сотрудник.
  • Включение в должностные инструкции сотрудников, имеющих доступ к платежной системе, обязательных требований по защите.
  • Моделирование угроз и анализ уязвимостей теперь обязательные не только для персданных, но и для защиты платежных систем.
  • Обязательное проведение анализа рисков и внедрение системы управления инцидентами.
  • Перечень типов СрЗИ достаточно традиционен - СКЗИ, СЗИ от НСД, антивирусы, МСЭ, IDS и сканеры безопасности.
  • Вызывал у меня вопросы пункт "обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования"; особенно применительно к ДБО и мобильным платежам. Очень уж много там непростых моментов.

2 коммент.:

Artem Ageev комментирует...

анализ уязвимости это что-то новое..

раньше была оценка эффективности и анализ защищенности...

Алексей Лукацкий комментирует...

Ни что не стоит на месте