Про проект Постановления Правительства "Об утверждении Положения о защите информации в национальной платежной системе" я уже писал. И вот вчера Минэкономразвития опубликовал результаты оценки этого проекта. Как это часто бывает специалистов по ИБ среди экспертов, оценивающих проекты нормативных актов, нет или их очень мало. Поэтому сами требования по защите информации не сильно оценивались, а все основные претензии сосредоточились вокруг 14-го пункта по контролю (оценке) соответствия требованиям по защите. Проект Постановления повторяет в данном вопросе СТО, говорящий, что организация вправе оценить свое соответствие самостоятельно или привлечь внешнюю организацию. Правда в проекте эта внешняя организация, предсказуемо, должна иметь лицензию ФСТЭК на ТЗКИ.
Вторым большим вопросом, вызвавшем вопросы, стала оценка соответствия в ходе аудита субъекта платежной системы, проводимого в соответствии с законодательством Российской Федерации об аудиторской деятельности. Как сюда попали аудиторы? Как и на каком основании они будут проверять соответствия требованиям по защите информации участников НПС?
Больше никаких серьезных замечаний на этот проект в Минэкономразвития не поступало.
Вторым большим вопросом, вызвавшем вопросы, стала оценка соответствия в ходе аудита субъекта платежной системы, проводимого в соответствии с законодательством Российской Федерации об аудиторской деятельности. Как сюда попали аудиторы? Как и на каком основании они будут проверять соответствия требованиям по защите информации участников НПС?
Больше никаких серьезных замечаний на этот проект в Минэкономразвития не поступало.
