СОИБ. Защита информации в НПС

СОИБ. Защита информации в НПС

df
Документ интересный. Все фразысоставлены очень гибко, в расчете на то что в дальнейшем требования будут ещё детализироваться операторами ПС. Но общая картина требований вырисовывается и сейчас:
·       Оператор ПС разрабатываетмодель угроз
·       Субъекты ПС информируют Оператора если выявляют дополнительные угрозы
·       Конкретные требования по обеспечению защитыинформации (ОЗИ)  для каждой платежнойсистемы определяются Оператором.
·       Как минимум требования должны включать:
o  Выделение подразделения /ответственного зазащиту информации
o  Анализ угроз
o  Управление рисками
o  Распределение ролей
o  Управление инцидентами
o  ОЗИ при работе с сетью Интернет
o  ОЗИ при доступе к инфраструктуре платежной системы
o  ОЗИ при создании, модернизации систем
o  контроль и оценку соответствия
o  применение СЗИ, в том числе прошедших оценкусоответствия
§  СЗИот НСД
§  Антивирусы
§  Межсетевыеэкраны
§  Средстваобнаружения вторжений
§  Средстваанализа защищенности
·       Субъекты сообщают Оператору об инцидентах ИБ
·       При использовании сети Интернет для передачиплатежной информации Субъекты должны заранее определять и фиксировать цели её использования
·      Аутентифицировать клиента можно по ЭП, паролюи т.п.
·      Самооценка или аудит ИБ – не реже 2х раз в год

Не совсем понятно, как трактоватьфразу:
“Требования к защите информации, включаемые в правила платежнойсистемы,  …. должны включать:
Требования к применению средств защитыинформации (…), в том числе прошедших в установленном порядке процедуру оценкисоответствия”

Означает ли это что оценка соответствиябудет требоваться обязательно?
В общем – пока это проект и выложендля общественного рассмотрения. Есть возможность внести предложения, критиковать и т.п.
СОИБ НПС Банк России
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале