Поделиться
Медведев утвердил требования к безопасности национальной платежной системы
Новое «Положение о защите информации в платежной системе», подписанное премьер-министром, сократилось в объеме в три с лишним раза по сравнению со своим проектом. Оно вступит в силу 1 июля 2012 г.На сайте российского правительства опубликовано новое «Положение о защите информации в платежной системе», подписанное премьер-министром Дмитрием Медведевым 13 июня 2012 г. Документ должен вступить в силу 1 июля 2012 г.
Новое положение - это окончательный вариант документа, впервые опубликованного ФСТЭК в начале 2012 г. Интересно, что в ходе доработок из названия требований к защите информации в Национальной платежной системе было исключено слово «национальный».
Вторым заметным изменением стало принципиальное сокращение документа: его объем сократился в 3,5 раза, а число пунктов уменьшилось с 19 до 17.
Сокращение текста достигнуто за счет исключения из текста множества законодательных тавтологий, то есть требований к защите информации, которые уже присутствуют либо в Законе «О национальной платежной системе», либо в Законах «Об электронной подписи» и «О персональных данных».
В целом, положение предъявляет к операторам (кредитным организациям) и агентам (непосредственно принимающим платежи) Национальной платежной системы вполне ожидаемые требования.
Так, документ требует от оператора и агента платежной системы во-первых, создать структурное подразделение либо назначить сотрудника, ответственного за информационную безопасность, включить требования по защите информации в должностные инструкции сотрудников, работающих с платежной системой.
Кроме того, оператор должен спроектировать систему технической защиты информации с учетом возможности перехвата информации в интернете; обязан установить правила доступа к средствам обработки информации, разработать пакет внутренних документов о защите информации и организовать мониторинг выполнения установленных правил, выявление инцидентов и систему реагирования.
Интересно, что, как заметил в своем блоге эксперт по безопасности Михаил Емельянников из компании «Емельянников, Попова и партнеры», в документе нет упоминаний об оценке соответствия средств защиты информации, то есть об их обязательной сертификации в ФСБ и ФСТЭК. Тем не менее, документ содержит полный перечень средств защиты, упоминая криптографические, антивирусные, межсетевые экраны, средства защиты от несанкционированного доступа, системы обнаружения вторжений и средства контроля защищенности.
Возможно, отсутствие упоминаний об обязательной оценке соответствия - это упущение составителей положения. В то же время, не исключено, что это следствие борьбы авторов текста с законодательными тавтологиями за сокращение объема документа.
Поделиться
Короткая ссылка
