Прочитал я проект Положения, который будет вводиться ЦБ во исполнение Закона о НПС. Привожу отдельные цитаты:
Операторы… могут привлекать на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации.
Требования к обеспечению защиты информации…применяются для обеспечения защиты…персональных данных.
Оператор…обеспечивает реализацию запрета…следующих ролей…:
- связанных с созданием… и эксплуатацией;
- связанных с эксплуатацией в части использования…и эксплуатацией в части технического обслуживания и ремонта.
Оператор…обеспечивает участие службы информационной безопасности, в разработке и согласовании технических заданий на создание (модернизацию) объектов информационной инфраструктуры.
Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства.
Регистрация доступа к банкоматам, в том числе с использованием систем видеонаблюдения.
Оператор…обеспечивают контроль отсутствия размещения на платежных терминалах и банкоматах специализированных средств, предназначенных для несанкционированного съема информации.
Оператор…обеспечивают использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах.
Применение…технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации путем использования уязвимостей программного обеспечения.
Оператор… применяют СКЗИ, которые имеют сертификаты полномоченных государственных органов.
Службы информационной безопасности и информатизации (автоматизации) не должны иметь общего куратора.
Оператор… обеспечивает определение служб информационной безопасности в… филиалах, определяет для них необходимые полномочия и выделяет необходимые ресурсы.
Оператор… обеспечивает проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.
Настоящее Положение подлежит официальному опубликованию в «Вестнике Банка России» и вступает в силу с 1 июля 2012 года.
Далее следует методика самооценки и опросник.
"Всего" в опроснике 127 показателей, которые делятся на две группы. По каждой группе находятся средние значения (пока без учета "каких-то" коэффициентов) и наименьшее из них будет являться показателем защищенности. Показатель защищенности может принимать следующие значения: хорошая, удовлетворительная, сомнительная, неудовлетворительная.
