Оценка соответствия требованиям Положения ЦБ РФ № 382-П

Для выполнения Федерального закона «О национальной платежной системе» 161-ФЗ в части защиты информации при осуществлении переводов денежных средств Центральным Банком было разработано Положение № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Федеральный закон "О национальной платежной системе" ФЗ-161

Требования данного положения являются обязательными к выполнению для следующих субъектов, предоставляющих платежные услуги:

  • операторов по переводу денежных средств (например, банки);
  • банковских платежных агентов/субагентов (компании, за исключением кредитных организаций, осуществляющие прием платежей физических лиц);
  • операторов платежных систем (например, Visa, MasterCard, Unistream, Western Union, УЭК и т.д.);
  • операторов услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр).

Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации:

  • об остатках денежных средств на счетах;
  • об остатках электронных денежных средств;
  • о совершенных переводах денежных средств;
  • о платежных клиринговых позициях;
  • данных о держателях платежных карт;
  • ключевой информации СКЗИ;
  • параметров и конфигураций автоматизированных систем, программного обеспечения, средств вычислительной техники, используемой для обработки защищаемой информации;
  • персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.

Положение № 382-П задает требования к следующим основным направлениям обеспечения информационной безопасности при осуществлении переводов денежных средств:

  • назначение и распределение ролей;
  • управление жизненным циклом объектов ИТ-инфраструктуры;
  • управление доступом к объектам ИТ-инфраструктуры;
  • защита от вредоносного программного обеспечения;
  • защита информации при использовании сети Интернет;
  • криптографическая защита информации;
  • использование технологических и организационных мер защиты информации;
  • организация и функционирование службы информационной безопасности;
  • повышение осведомленности работников в области ИБ;
  • управление инцидентами ИБ;
  • определение и реализация порядка обеспечения защиты информации;
  • оценка выполнения требований к обеспечению защиты информации;
  • информирование оператора платежной системы о системе защиты информации, применяемой для защиты платежной системы;
  • совершенствование обеспечения информационной безопасности.

Оценка соответствия требованиям Положения № 382-П проводится сертифицированными специалистами Digital Security, аккредитованными ABISS для проведения аудита информационной безопасности организаций банковской системы РФ, и включает следующие этапы:

  • проведение анализа степени соответствия принятых мер и процессов обеспечения ИБ требованиям Положения № 382-П;
  • оценка соответствия требованиям Положения ЦБ РФ № 382-П;
  • подготовка подробного отчета о проведенной оценке уровня информационной безопасности с комментариями по каждому выявленному несоответствию и расчетом необходимых количественных оценок, в соответствии с методикой, приведенной в Положении № 382-П;
  • разработка рекомендаций по приведению системы обеспечения информационной безопасности организации в соответствие требованиям ЦБ РФ;
  • разработка этапов достижения соответствия требованиям ЦБ РФ.

Оставить заявку

Оставить заявку