Федеральный закон N 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе. Требования по информационной безопасности в национальной платежной системе устанавливаются:
- Правительством Российской Федерации (постановление Правительства Российской Федерации от 13.06.2012 г. № 584),
- Банком России (Положение Банка России от 09.06.2012 г. № 382-П).
Постановление Правительства определяет требования к информационной безопасности и защите данных для всех субъектов национальной платежной системы, Положение Банка – к защите информации в зависимости от роли субъектов. Требования установлены как к организационным, так и к техническим мерам, которые необходимо реализовывать в финансовой организации-участнице национальной платежной системы.
Банк России требует от финансовых организаций-участников национальной платежной системы обязательной периодической (не реже 1 раза в 2 года) оценки соответствия защиты информации. Несоблюдение требований может повлечь за собой судебные разбирательства и выплату компенсаций клиентам, а также санкции со стороны Банка России.
НТЦ «Вулкан» готов в интересах заказчика выполнить полный комплекс работ по оценке соответствия защиты информации при осуществлении переводов денежных средств требованиям Федерального закона «О национальной платежной системе».
Состав работ
- Сбор и анализ внутренней нормативной документации организации и проверки ее соответствия требованиям нормативных актов.
- Определение роли финансовой организации в национальной платежной системе.
- Анализ существующих в финансовой организации процессов денежных переводов.
- Обследование информационных систем, задействованных в переводе денежных средств.
- Опрос персонала для изучения процессов обеспечения информационной безопасности.
- Оценка уровня осведомленности сотрудников в вопросах защиты информации и соблюдения требований внутренних нормативных документов.
- Анализ существующих в финансовой организации мер по обеспечению информационной безопасности информационных систем, участвующих в переводе денежных средств.
- Выработка рекомендаций по улучшению процессов обеспечения информационной безопасности и совершенствованию системы защиты информации информационных систем, участвующих в переводе денежных средств.
Работы производятся на основе методики, приведенной в Положении Банка России № 382-П. В ходе выполнения работ:
- Определяется перечень требований, согласно роли финансовой организации в национальной платежной системе:
- анализируются требования платежных систем, участником которых является финансовая организация;
- проверяется выполнение данных требований в финансовой организации.
- Анализируется особенности бизнес-процессов, существующих в финансовой организации.
- Анализируются информационные системы финансовой организации и используемые организационные и технические меры обеспечения безопасности информации, в том числе:
- назначение и распределение ролей в платежных системах;
- требования защиты информации на стадиях жизненного цикла информационных систем;
- управление доступом к информационным ресурсам и защита от несанкционированного доступа;
- защита от вредоносного кода;
- требования к использованию сети Интернет;
- криптографическая защита информации;
- технологические меры защиты информации;
- организация и функционирование службы обеспечения безопасности информации;
- повышение осведомленности персонала и клиентов в области безопасности информации;
- выявление инцидентов безопасности информации и реагирование на них;
- порядок обеспечения защиты информации в ОРД финансовой организации и степень его реализации;
- информирование оператора платежной системы об обеспечении защиты информации;
- совершенствование защиты информации.
- Проводится предварительная оценка соответствия финансовой организации требованиям Положения Банка России № 382-П.
- Разрабатывается план работ («дорожная карта») по приведению финансовой организации в соответствие с требованиями Федерального закона «О национальной платежной системе», включающий в себя мероприятия:
- по изменению существующего процесса осуществления денежных переводов;
- по изменению правил взаимодействия с третьими лицами;
- по разработке нормативных документов в области осуществления денежных переводов и ИБ;
- по внесению изменений в технологические процессы;
- по исполнению законодательства Российской Федерации в области защиты персональных данных;
- по внедрению средств защиты информации.
- Проводится разработка нормативных актов в соответствии с Федеральным законом «О национальной платежной системе» по следующим направлениям:
- защита информации при проведении платежей;
- нормативно-методические документы, регламентирующие обработку персональных данных;
- построение делопроизводства для выполнения требований по защите информации;
- методика классификации рисков и проведение классификации активов с принятием допустимого уровня риска;
- рекомендации по стандартизации договорно-правовой работы с партнерами и клиентами.
Оценка соответствия осуществляется на основе:
- информации, содержащей подтверждения выполнения порядка применения организационных мер защиты информации и использования технических средств защиты информации;
- анализа соответствия порядка применения организационных мер защиты информации и технических средств защиты информации требованиям Положения № 382-П;
- результатов мониторинга (наблюдения) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств.
Оценка соответствия проводится в соответствии с рекомендациями Банка России, изложенными в документе «Порядок проведения оценки соответствия и документирования ее результатов».
Преимущества
Подход НТЦ «Вулкан» к выполнению работ по оценке позволяет объективно оценить состояние защищенности информационной инфраструктуры финансовой организации. Результаты оценки позволяют определить оптимальные направления работ по повышению уровня соответствия установленным требованиям.