//
+7 (495) 777-13-10
vk facebook twitter insta youtube odn

Оценка соответствия требованиям Положения Банка России № 382-П

Федеральный закон N 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе. Требования по информационной безопасности в национальной платежной системе устанавливаются:

  • Правительством Российской Федерации (постановление Правительства Российской Федерации от 13.06.2012 г. № 584),
  • Банком России (Положение Банка России от 09.06.2012 г. № 382-П).

Постановление Правительства определяет требования к информационной безопасности и защите данных для всех субъектов национальной платежной системы, Положение Банка – к защите информации в зависимости от роли субъектов. Требования установлены как к организационным, так и к техническим мерам, которые необходимо реализовывать в финансовой организации-участнице национальной платежной системы.

Банк России требует от финансовых организаций-участников национальной платежной системы обязательной периодической (не реже 1 раза в 2 года) оценки соответствия защиты информации. Несоблюдение требований может повлечь за собой судебные разбирательства и выплату компенсаций клиентам, а также санкции со стороны Банка России.

НТЦ «Вулкан» готов в интересах заказчика выполнить полный комплекс работ по оценке соответствия защиты информации при осуществлении переводов денежных средств требованиям Федерального закона «О национальной платежной системе».

Состав работ

  • Сбор и анализ внутренней нормативной документации организации и проверки ее соответствия требованиям нормативных актов.
  • Определение роли финансовой организации в национальной платежной системе.
  • Анализ существующих в финансовой организации процессов денежных переводов.
  • Обследование информационных систем, задействованных в переводе денежных средств.
  • Опрос персонала для изучения процессов обеспечения информационной безопасности.
  • Оценка уровня осведомленности сотрудников в вопросах защиты информации и соблюдения требований внутренних нормативных документов.
  • Анализ существующих в финансовой организации мер по обеспечению информационной безопасности информационных систем, участвующих в переводе денежных средств.
  • Выработка рекомендаций по улучшению процессов обеспечения информационной безопасности и совершенствованию системы защиты информации информационных систем, участвующих в переводе денежных средств.

Работы производятся на основе методики, приведенной в Положении Банка России № 382-П. В ходе выполнения работ:

  • Определяется перечень требований, согласно роли финансовой организации в национальной платежной системе:
    • анализируются требования платежных систем, участником которых является финансовая организация;
    • проверяется выполнение данных требований в финансовой организации.
  • Анализируется особенности бизнес-процессов, существующих в финансовой организации.
  • Анализируются информационные системы финансовой организации и используемые организационные и технические меры обеспечения безопасности информации, в том числе:
    • назначение и распределение ролей в платежных системах;
    • требования защиты информации на стадиях жизненного цикла информационных систем;
    • управление доступом к информационным ресурсам и защита от несанкционированного доступа;
    • защита от вредоносного кода;
    • требования к использованию сети Интернет;
    • криптографическая защита информации;
    • технологические меры защиты информации;
    • организация и функционирование службы обеспечения безопасности информации;
    • повышение осведомленности персонала и клиентов в области безопасности информации;
    • выявление инцидентов безопасности информации и реагирование на них;
    • порядок обеспечения защиты информации в ОРД финансовой организации и степень его реализации;
    • информирование оператора платежной системы об обеспечении защиты информации;
    • совершенствование защиты информации.
  • Проводится предварительная оценка соответствия финансовой организации требованиям Положения Банка России № 382-П.
  • Разрабатывается план работ («дорожная карта») по приведению финансовой организации в соответствие с требованиями Федерального закона «О национальной платежной системе», включающий в себя мероприятия:
    • по изменению существующего процесса осуществления денежных переводов;
    • по изменению правил взаимодействия с третьими лицами;
    • по разработке нормативных документов в области осуществления денежных переводов и ИБ;
    • по внесению изменений в технологические процессы;
    • по исполнению законодательства Российской Федерации в области защиты персональных данных;
    • по внедрению средств защиты информации.
  • Проводится разработка нормативных актов в соответствии с Федеральным законом «О национальной платежной системе» по следующим направлениям:
    • защита информации при проведении платежей;
    • нормативно-методические документы, регламентирующие обработку персональных данных;
    • построение делопроизводства для выполнения требований по защите информации;
    • методика классификации рисков и проведение классификации активов с принятием допустимого уровня риска;
    • рекомендации по стандартизации договорно-правовой работы с партнерами и клиентами.

Оценка соответствия осуществляется на основе:

  • информации, содержащей подтверждения выполнения порядка применения организационных мер защиты информации и использования технических средств защиты информации;
  • анализа соответствия порядка применения организационных мер защиты информации и технических средств защиты информации требованиям Положения № 382-П;
  • результатов мониторинга (наблюдения) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств.

Оценка соответствия проводится в соответствии с рекомендациями Банка России, изложенными в документе «Порядок проведения оценки соответствия и документирования ее результатов».

Преимущества

Подход НТЦ «Вулкан» к выполнению работ по оценке позволяет объективно оценить состояние защищенности информационной инфраструктуры финансовой организации. Результаты оценки позволяют определить оптимальные направления работ по повышению уровня соответствия установленным требованиям.

Задать вопрос

Вам может быть интересно

Аудит на соответствие требованиям ГОСТ Р 57580
Данный веб-сайт использует сервисы обработки персональных данных его посетителей, в т.ч. cookies-файлов.
Продолжая использовать данный веб-ресурс, вы автоматически соглашаетесь с условиями обработки этих данных.
закрыть