Рубрикатор |
Все новости | Новости отрасли |
Утверждены требования к безопасности национальной платежной системы
21 июня 2012 |
Новое «Положение о защите информации в платежной системе», подписанное премьер-министром, сократилось в объеме в три с лишним раза по сравнению со своим проектом. Оно вступит в силу 1 июля 2012 г.
Новое положение - это окончательный вариант документа, впервые опубликованного ФСТЭК в начале 2012 г. Интересно, что в ходе доработок из названия требований к защите информации в Национальной платежной системе было исключено слово «национальный».Вторым заметным изменением стало принципиальное сокращение документа: его объем сократился в 3,5 раза, а число пунктов уменьшилось с 19 до 17.
Сокращение текста достигнуто за счет исключения из текста множества законодательных тавтологий, то есть требований к защите информации, которые уже присутствуют либо в Законе «О национальной платежной системе», либо в Законах «Об электронной подписи» и «О персональных данных».
В целом, положение предъявляет к операторам (кредитным организациям) и агентам (непосредственно принимающим платежи) Национальной платежной системы вполне ожидаемые требования.
Так, документ требует от оператора и агента платежной системы во-первых, создать структурное подразделение либо назначить сотрудника, ответственного за информационную безопасность, включить требования по защите информации в должностные инструкции сотрудников, работающих с платежной системой.
Кроме того, оператор должен спроектировать систему технической защиты информации с учетом возможности перехвата информации в интернете; обязан установить правила доступа к средствам обработки информации, разработать пакет внутренних документов о защите информации и организовать мониторинг выполнения установленных правил, выявление инцидентов и систему реагирования.
Интересно, что, как заметил в своем блоге эксперт по безопасности Михаил Емельянников из компании «Емельянников, Попова и партнеры», в документе нет упоминаний об оценке соответствия средств защиты информации, то есть об их обязательной сертификации в ФСБ и ФСТЭК. Тем не менее, документ содержит полный перечень средств защиты, упоминая криптографические, антивирусные, межсетевые экраны, средства защиты от несанкционированного доступа, системы обнаружения вторжений и средства контроля защищенности.
Возможно, отсутствие упоминаний об обязательной оценке соответствия - это упущение составителей положения. В то же время, не исключено, что это следствие борьбы авторов текста с законодательными тавтологиями за сокращение объема документа.
Источник: CNews
Читайте также:
85% топ-менеджеров не готовы полностью автоматизировать процессы экономической безопасности
Объем «слитых» персональных данных в РФ вырос на 60%
44% операторов персональных данных поддерживают введение оборотных штрафов за утечки
Принят законопроект об усилении ответственности за утечку персональных данных
Три региональные площадки CloudMTS прошли аттестацию для размещения персональных данных
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.