Rambler's Top100
Все новости Новости отрасли

Утверждены требования к безопасности национальной платежной системы

21 июня 2012

Новое «Положение о защите информации в платежной системе», подписанное премьер-министром, сократилось в объеме в три с лишним раза по сравнению со своим проектом. Оно вступит в силу 1 июля 2012 г.

Новое положение - это окончательный вариант документа, впервые опубликованного ФСТЭК в начале 2012 г. Интересно, что в ходе доработок из названия требований к защите информации в Национальной платежной системе было исключено слово «национальный».

Вторым заметным изменением стало принципиальное сокращение документа: его объем сократился в 3,5 раза, а число пунктов уменьшилось с 19 до 17.

Сокращение текста достигнуто за счет исключения из текста множества законодательных тавтологий, то есть требований к защите информации, которые уже присутствуют либо в Законе «О национальной платежной системе», либо в Законах «Об электронной подписи» и «О персональных данных».

В целом, положение предъявляет к операторам (кредитным организациям) и агентам (непосредственно принимающим платежи) Национальной платежной системы вполне ожидаемые требования.

Так, документ требует от оператора и агента платежной системы во-первых, создать структурное подразделение либо назначить сотрудника, ответственного за информационную безопасность, включить требования по защите информации в должностные инструкции сотрудников, работающих с платежной системой.

Кроме того, оператор должен спроектировать систему технической защиты информации с учетом возможности перехвата информации в интернете; обязан установить правила доступа к средствам обработки информации, разработать пакет внутренних документов о защите информации и организовать мониторинг выполнения установленных правил, выявление инцидентов и систему реагирования.

Интересно, что, как заметил в своем блоге эксперт по безопасности Михаил Емельянников из компании «Емельянников, Попова и партнеры», в документе нет упоминаний об оценке соответствия средств защиты информации, то есть об их обязательной сертификации в ФСБ и ФСТЭК. Тем не менее, документ содержит полный перечень средств защиты, упоминая криптографические, антивирусные, межсетевые экраны, средства защиты от несанкционированного доступа, системы обнаружения вторжений и средства контроля защищенности.

Возможно, отсутствие упоминаний об обязательной оценке соответствия - это упущение составителей положения. В то же время, не исключено, что это следствие борьбы авторов текста с законодательными тавтологиями за сокращение объема документа.

Источник: CNews

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.