Положение №552: новые требования Банка России к безопасности платежных систем

Положение №552: новые требования Банка России к безопасности платежных систем
Банк России с 20 декабря 2016 года ввел в действие новое положение 552-П «О требованиях к защите информации в платежной системе Банка России» . Все участники БС РФ будут обязаны выполнить указанные в документе требования к защите информации до середины года, а именно  30 июня 2017 года.

Кроме того, положением определены требования: к организационному и документационному обеспечению защиты информации; защите информации при физическом доступе; к контролю программного обеспечения, и др. Указано, что все участники БС РФ  будут обязаны документально фиксировать всю информацию об инцидентах, результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации последствий инцидентов, не менее трех лет с момента возникновения инцидента.


Документов определено, что участники  платежной системы, являющиеся клиентами Банка России, обеспечивают защиту информации следующий информации:
  • о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников;
  • об остатках денежных средств на счетах, открытых у участников и связанных с осуществлением перевода денежных средств в платежной системе Банка России;
  • об объектах информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;
  • необходимой для удостоверения участниками права распоряжения денежными средствами;
  • ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
  • ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой при осуществлении переводов денежных средств.
Кроме того, положением определены требования:
  • к организационному и документационному обеспечению защиты информации в системе;
  • к защите информации при физическом доступе к участку системы;
  • к контролю программного обеспечения, установленного или используемого на компьютерах участка системы, и др.
По задумке все банки должны будут сообщать о несанкционированных переводах денежных средств через платежную систему, подозрениях о возникновении или о возможности возникновения инцидентов в сегментах сети, где расположено рабочее место доступа к платежной системе. Информирование должно будет осуществляться в произвольной форме в FinCERT с применением мер и средств защиты информации не позднее трех часов после выявления инцидента. Указано, что все участники частники системы будут обязаны документально фиксировать всю информацию об инцидентах, результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации последствий инцидентов, и иную информацию. Срок хранения информации — не менее трех лет с момента возникновения инцидента.
Банк Россия положение защита безопасность FinCERT 552 регулятор требования ИБ банки платеж система
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события