РЕШЕНИЯ И УСЛУГИ

382-П

382-П

 

Риск, конечно, дело благородное, но только если это не относится к рискам в сфере платежей. Несанкционированные проникновения в платежную систему, получение данных о денежных переводах, остатках на счетах – всё это приводит к финансовым и репутационным потерям.

Для снижения рисков кредитно-финансовым организациям следует внимательно соблюдать все требования законодательства.

В федеральном законе № 161 "О национальной платежной системе" от 27 июня 2011 г указано, что все субъекты национальной платёжной системы "обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России". Такими требованиями является Положение Банка России № 382-П от 9 июня 2012 года "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" и Постановление Правительства № 584 от 13.06.2012 "Об утверждении Положения о защите информации в платежной системе".

Под защитой должны быть сведения об остатках денежных средств (в том числе и электронных) на банковских счетах, о совершенных переводах денежных средств, о платежных клиринговых позициях, о средствах криптографической защиты информации (СКЗИ), о конфигурации автоматизированных систем и программного обеспечения.

Протекция распространяется и на информацию ограниченного доступа, в том числе на персональные данные. К защищаемым данным также относится информация, необходимая для удостоверения клиентами права распоряжения денежными средствами, данные ограниченного доступа, в том числе данные держателей платежных карт.

В Постановлении № 382-П предусматривается 129 требований по защите информации, которые объединены в 14 блоков:

  1. Назначение и распределение прав и обязанностей.
  2. Этапы жизненного цикла объектов информационной инфраструктуры.
  3. Доступ к объектам инфраструктуры и защита от несанкционированного доступа.
  4. Защита от вредоносного кода.
  5. Защита при использовании Интернет.
  6. Применение СКЗИ.
  7. Использование технологических мер защиты информации.
  8. Организация и функционирование подразделения ИБ.
  9. Повышение осведомленности работников.
  10. Выявление инцидентов и реагирование на них.
  11. Реализация порядка обеспечения защиты информации.
  12. Оценка выполнения требований.
  13. Информирование оператора платежной системы ее участниками об обеспечении защиты информации.
  14. Совершенствование инфраструктуры защиты.

Выполнение данных требований обеспечивается путем выбора организационных мер и технических средств защиты информации. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем и операторы услуг платежной инфраструктуры должны производить контроль и оценку выполнения требований Постановления № 382-П на собственных объектах инфраструктуры не реже 1 раза в 2 года в форме аудита или самооценки. При этом в связи с вступлением в силу указания Банка России от 05.06.2013 № 3007-У все субъекты платёжной системы должны были провести оценку соответствия до 10 января 2014 года.

Банк России проводит проверки операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств.

Контроль выполнения требований по защите информации при обеспечении денежных переводов банковскими платежными агентами (субагентами) возложен на операторов по переводу денежных средств.

По итогам проверки предусмотрены меры, которые зависят от вида нарушения. ЦБР может просто направить рекомендации по устранению нарушений. В более серьезных случаях предусмотрены предписания по устранению нарушений до указанного срока, может быть ограничение оказания операционных и клиринговых услуг. Может дойти и до денежных штрафов. Очевидно, что незнание закона не освобождает от ответственности.

Помимо отчётности по соблюдению требований 382-П операторы платёжной инфраструктуры и операторы по переводу денежных средств обязаны ежемесячно уведомлять Банк России обо всех инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств в соответствии с формой, представленной в Указании Банка России от 9 июня 2012 г. № 2831-У.

4х4 предлагает решения, основываясь на большом опыте оказания услуг в области информационной безопасности. Мы обеспечим работу Вашей системы информационной безопасности в соответствии с требованиями федерального законодательства, а также требованиями документов Банка России.

Наша компания проведет аудит – оценит, как выполняются требования к обеспечению защиты информации при осуществлении переводов денежных средств. Мы составим рекомендации для улучшения системы обеспечения информационной безопасности, чтобы все соответствовало требованиям нормативных документов по защите информации в НПС. Подготовим как соответствующую документацию, так и технический проект системы информационной безопасности. Наши профессионалы внедрят техническое решение, подходящее Вашей компании: криптографические средства, системы обнаружения вторжений, средства защиты информации от несанкционированного доступа, антивирусы, межсетевые экраны, средства контроля (анализа) защищенности и др. 4х4 имеет большой опыт и профессиональные квалификации в области защиты информации при осуществлении переводов денежных средств. Наша компетентность подтверждена наличием «Лицензии на деятельность по технической защите конфиденциальной информации (ТЗКИ)» и «Лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации».

Александр
Митрохин

Тема: 382-П

Задайте мне Ваш вопрос