Оценка соответствия защиты информации при осуществлении переводов денежных средств требованиям 161-ФЗ

Федеральный закон N 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе. Требования по информационной безопасности в национальной платежной системе устанавливаются:

  • Правительством Российской Федерации (постановление Правительства Российской Федерации от 13.06.2012 г. № 584),
  • Банком России (Положение Банка России от 09.06.2012 г. № 382-П).

Постановление Правительства определяет требования к информационной безопасности и защите данных для всех субъектов национальной платежной системы, Положение Банка – к защите информации в зависимости от роли субъектов. Требования установлены как к организационным, так и к техническим мерам, которые необходимо реализовывать в финансовой организации-участнице национальной платежной системы.

Банк России требует от финансовых организаций-участников национальной платежной системы обязательной периодической (не реже 1 раза в 2 года) оценки соответствия защиты информации. Несоблюдение требований может повлечь за собой судебные разбирательства и выплату компенсаций клиентам, а также санкции со стороны Банка России.

НТЦ «Вулкан» готов в интересах заказчика выполнить полный комплекс работ по оценке соответствия защиты информации при осуществлении переводов денежных средств требованиям Федерального закона «О национальной платежной системе».

Состав работ

  • Сбор и анализ внутренней нормативной документации организации и проверки ее соответствия требованиям нормативных актов.
  • Определение роли финансовой организации в национальной платежной системе.
  • Анализ существующих в финансовой организации процессов денежных переводов.
  • Обследование информационных систем, задействованных в переводе денежных средств.
  • Опрос персонала для изучения процессов обеспечения информационной безопасности.
  • Оценка уровня осведомленности сотрудников в вопросах защиты информации и соблюдения требований внутренних нормативных документов.
  • Анализ существующих в финансовой организации мер по обеспечению информационной безопасности информационных систем, участвующих в переводе денежных средств.
  • Выработка рекомендаций по улучшению процессов обеспечения информационной безопасности и совершенствованию системы защиты информации информационных систем, участвующих в переводе денежных средств.

Работы производятся на основе методики, приведенной в Положении Банка России № 382-П. В ходе выполнения работ:

  • Определяется перечень требований, согласно роли финансовой организации в национальной платежной системе:
    • анализируются требования платежных систем, участником которых является финансовая организация;
    • проверяется выполнение данных требований в финансовой организации.
  • Анализируется особенности бизнес-процессов, существующих в финансовой организации.
  • Анализируются информационные системы финансовой организации и используемые организационные и технические меры обеспечения безопасности информации, в том числе:
    • назначение и распределение ролей в платежных системах;
    • требования защиты информации на стадиях жизненного цикла информационных систем;
    • управление доступом к информационным ресурсам и защита от несанкционированного доступа;
    • защита от вредоносного кода;
    • требования к использованию сети Интернет;
    • криптографическая защита информации;
    • технологические меры защиты информации;
    • организация и функционирование службы обеспечения безопасности информации;
    • повышение осведомленности персонала и клиентов в области безопасности информации;
    • выявление инцидентов безопасности информации и реагирование на них;
    • порядок обеспечения защиты информации в ОРД финансовой организации и степень его реализации;
    • информирование оператора платежной системы об обеспечении защиты информации;
    • совершенствование защиты информации.
  • Проводится предварительная оценка соответствия финансовой организации требованиям Положения Банка России № 382-П.
  • Разрабатывается план работ («дорожная карта») по приведению финансовой организации в соответствие с требованиями Федерального закона «О национальной платежной системе», включающий в себя мероприятия:
    • по изменению существующего процесса осуществления денежных переводов;
    • по изменению правил взаимодействия с третьими лицами;
    • по разработке нормативных документов в области осуществления денежных переводов и ИБ;
    • по внесению изменений в технологические процессы;
    • по исполнению законодательства Российской Федерации в области защиты персональных данных;
    • по внедрению средств защиты информации.
  • Проводится разработка нормативных актов в соответствии с Федеральным законом «О национальной платежной системе» по следующим направлениям:
    • защита информации при проведении платежей;
    • нормативно-методические документы, регламентирующие обработку персональных данных;
    • построение делопроизводства для выполнения требований по защите информации;
    • методика классификации рисков и проведение классификации активов с принятием допустимого уровня риска;
    • рекомендации по стандартизации договорно-правовой работы с партнерами и клиентами.

Оценка соответствия осуществляется на основе:

  • информации, содержащей подтверждения выполнения порядка применения организационных мер защиты информации и использования технических средств защиты информации;
  • анализа соответствия порядка применения организационных мер защиты информации и технических средств защиты информации требованиям Положения № 382-П;
  • результатов мониторинга (наблюдения) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств.

Оценка соответствия проводится в соответствии с рекомендациями Банка России, изложенными в документе «Порядок проведения оценки соответствия и документирования ее результатов».

Преимущества

Подход НТЦ «Вулкан» к выполнению работ по оценке позволяет объективно оценить состояние защищенности информационной инфраструктуры финансовой организации. Результаты оценки позволяют определить оптимальные направления работ по повышению уровня соответствия установленным требованиям.