Положение №552: новые требования Банка России к безопасности платежных систем

Положение №552: новые требования Банка России к безопасности платежных систем
Банк России с 20 декабря 2016 года ввел в действие новое положение 552-П «О требованиях к защите информации в платежной системе Банка России» . Все участники БС РФ будут обязаны выполнить указанные в документе требования к защите информации до середины года, а именно  30 июня 2017 года.

Кроме того, положением определены требования: к организационному и документационному обеспечению защиты информации; защите информации при физическом доступе; к контролю программного обеспечения, и др. Указано, что все участники БС РФ  будут обязаны документально фиксировать всю информацию об инцидентах, результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации последствий инцидентов, не менее трех лет с момента возникновения инцидента.


Документов определено, что участники  платежной системы, являющиеся клиентами Банка России, обеспечивают защиту информации следующий информации:
  • о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников;
  • об остатках денежных средств на счетах, открытых у участников и связанных с осуществлением перевода денежных средств в платежной системе Банка России;
  • об объектах информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;
  • необходимой для удостоверения участниками права распоряжения денежными средствами;
  • ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
  • ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой при осуществлении переводов денежных средств.
Кроме того, положением определены требования:
  • к организационному и документационному обеспечению защиты информации в системе;
  • к защите информации при физическом доступе к участку системы;
  • к контролю программного обеспечения, установленного или используемого на компьютерах участка системы, и др.
По задумке все банки должны будут сообщать о несанкционированных переводах денежных средств через платежную систему, подозрениях о возникновении или о возможности возникновения инцидентов в сегментах сети, где расположено рабочее место доступа к платежной системе. Информирование должно будет осуществляться в произвольной форме в FinCERT с применением мер и средств защиты информации не позднее трех часов после выявления инцидента. Указано, что все участники частники системы будут обязаны документально фиксировать всю информацию об инцидентах, результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации последствий инцидентов, и иную информацию. Срок хранения информации — не менее трех лет с момента возникновения инцидента.
Банк Россия положение защита безопасность FinCERT 552 регулятор требования ИБ банки платеж система
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события