9 апреля на сайте АРБ был опубликован проект постановления правительства РФ «об утверждении Положения о защитеинформации в национальной платежной системе» .
Документ интересный. Все фразысоставлены очень гибко, в расчете на то что в дальнейшем требования будут ещё детализироваться операторами ПС. Но общая картина требований вырисовывается и сейчас:
· Оператор ПС разрабатываетмодель угроз
· Субъекты ПС информируют Оператора если выявляют дополнительные угрозы
· Конкретные требования по обеспечению защитыинформации (ОЗИ) для каждой платежнойсистемы определяются Оператором.
· Как минимум требования должны включать:
o Выделение подразделения /ответственного зазащиту информации
o Анализ угроз
o Управление рисками
o Распределение ролей
o Управление инцидентами
o ОЗИ при работе с сетью Интернет
o ОЗИ при доступе к инфраструктуре платежной системы
o ОЗИ при создании, модернизации систем
o контроль и оценку соответствия
o применение СЗИ, в том числе прошедших оценкусоответствия
§ СЗИот НСД
§ Антивирусы
§ Межсетевыеэкраны
§ Средстваобнаружения вторжений
§ Средстваанализа защищенности
· Субъекты сообщают Оператору об инцидентах ИБ
· При использовании сети Интернет для передачиплатежной информации Субъекты должны заранее определять и фиксировать цели её использования
· Аутентифицировать клиента можно по ЭП, паролюи т.п.
· Самооценка или аудит ИБ – не реже 2х раз в год
Не совсем понятно, как трактоватьфразу:
“Требования к защите информации, включаемые в правила платежнойсистемы, …. должны включать:
Требования к применению средств защитыинформации (…), в том числе прошедших в установленном порядке процедуру оценкисоответствия”
Означает ли это что оценка соответствиябудет требоваться обязательно?
В общем – пока это проект и выложендля общественного рассмотрения. Есть возможность внести предложения, критиковать и т.п.