10 Декабря, 2012

Короткий обзор проектов поправок в 382-П и 2831-У

Евгений Царев
Правки в 382-П
Итак, в 2.6.3 речь идет о [о действиях клиентов, выполняемых с использованием программного обеспечения и автоматизированных системk, в частном случае это [действия клиента в ДБОk.
Так вот, пункт предлагается дополнить требованиями:
  • регистрация действий, связанных с назначением и распределением прав клиентов, при наличии технической возможности

  • регистрация действий клиентов, при наличии технической возможности

  • хранение данных о действиях клиентов не менее 3 лет, а именно:
    • время совершения действия до секунды;

    • идентификатор (идентификаторы) клиента;

    • идентификатор (код) осуществляемого действия клиента;

    • идентификатор устройства клиента, с использованием которого клиент осуществляет доступ (н-р: IP-адрес, МАС-адрес, номер sim-карты, номер телефона).
Также от оператора по переводу денежных средств (банки) требуется определить в своей внутренней документации:
  • параметры работы программного обеспечения и (или) автоматизированной системы, связанные с установками даты и времени;

  • порядок формирования идентификатора клиента;

  • перечень идентификаторов (кодов) действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием программного обеспечения и автоматизированных систем;

  • решение о выборе идентификатора устройства;

  • порядок хранения указанных выше сведений о действиях клиентов.
В 2.15.1 вписали требования к внешней организации, проводящей самооценку. Такая организация должна:
  • быть самостоятельным юридическим лицом и осуществлять свою деятельность в соответствии с законодательством Российской Федерации;

  • обладать подтвержденным опытом проведения работ, связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности;

  • иметь в штате не менее трех работников, имеющих:

  • высшее образование в области информационных технологий, защиты информации и (или) информационной безопасности,

  • опыт работы в области информационных технологий, защиты информации и (или) информационной безопасности не мене трех лет,

  • опыт проведения работ связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности;

  • подтверждение прохождения обучения (повышения квалификации) по вопросам проверки, оценки и (или) контроля требований к обеспечению защиты информации.
Указанные выше положения находят отражения в Приложении 2 к 382-П . Также в Приложение 2 предлагается внести следующие [косметическиеk правки:

Очень понравилась формулировка п.59. Сравните со старой:
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ, которые имеют сертификаты уполномоченных государственных органов либо разрешение Федеральной службы безопасности Российской Федерации
В старой версии говорилось об СКЗИ в принципе, в новой только о российском производстве.
Правки в 2831-У
Существующая методика составления отчетности по 2831-У выполнена таким образом, что анализировать полученные от операторов ПС данные крайне сложно, если не сказать [невозможноk. Соответственно эту проблему (в основном) и должен решить новый вариант Приложения 2 2831-У.
Вместо одной отчетной таблицы по инцидентам теперь есть две: за текущий отчетный период и за прошлые отчетные периоды.

Предлагаемая методика выполнена таким образом, что из колонок исчезли формулировки в письменном формате, даже колонки [Описание инцидентаk заполняется кодами. Все соответствующие коды есть в методике.
Получаемые в результате, таблицы вполне пригодны для анализа в больших объемах. Правда, заполнять их вручную не очень удобно. Нужна автоматизация, либо каким-то программным продуктом, либо заранее разработанной табличкой в exel’е (по 382-П такая быстро появилась в сети).
Итого
В целом доработки носят “эволюционный” характер и не вызовут особых проблем со стороны участников ПС.
или введите имя

CAPTCHA