В рамках данной услуги проводится оценка соответствия Банка требованиям Федерального Закона №161-ФЗ “О национальной платежной системе”.
Основным документом, регламентирующим порядок обеспечения информационной безопасности (далее – ИБ), является Положение Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 9 июня 2012 года. Данный документ предъявляет существенные требования как к организационным, так и техническим мерам, которые необходимо использовать в Банке. Несоблюдение требований может повлечь за собой судебные разбирательства и выплату компенсаций клиентам, а также санкции со стороны Центрального Банка Российской Федерации.
Этапы работы
- Обследование платежных процессов Банка. Анализ существующих процессов денежных переводов. В рамках данного этапа проводится сбор сведений для детального описания бизнес-процессов Банка, которые попадают в область действия законодательства Российской Федерации.
- Определение перечня требований, согласно роли Банка в Платежной Системе РФ, на основании существующих платежных процессов в Банке. В рамках данного этапа анализируются требования платежных систем, участником которых является Банк, а также проверяется выполнение данных требований.
- Анализ существующих в Банке мер по обеспечению безопасности информационных систем, средствами которых осуществляются переводы денежных средств. Предоставление рекомендаций по их улучшению. В рамках данного этапа выявляются особенности бизнес-процессов Банка, которые попадают в область действия законодательства Российской Федерации. Анализируются информационные системы в Банке, используемые организационные и технические меры обеспечения ИБ. Рассматриваются следующие аспекты:
- назначение и распределение ролей в платежных системах;
- требования ИБ на стадиях жизненного цикла объектов инфраструктуры;
- управление доступом к информационным ресурсам и защита от несанкционированного доступа;
- защита от вредоносного кода;
- требования ИБ к использованию сети Интернет;
- криптографическая защита информации;
- технологические меры защиты информации;
- организация и функционирование службы ИБ;
- повышение осведомленности в области ИБ;
- выявление инцидентов ИБ и реагирование на них;
- определение порядка обеспечения защиты информации в нормативных документах Банка и степень его реализации;
- информирование оператора платежной системы об обеспечении защиты информации;
- совершенствование защиты информации.
- Проведение предварительной оценки соответствия Банка требованиям Федерального закона «О национальной платежной системе». Результаты предварительной оценки предоставляются Заказчику согласно Форме 1 Приложения 1 к Положению Банка России № 382-П от 09 июня 2012 года.
- Разработка Плана работ по приведению Банка в соответствие с требованиями Федерального закона «О национальной платежной системе». На данном этапе разрабатывается План работ по приведению Банка в соответствие с требованиями Федерального закона «О национальной платежной системе», включающий в себя, по необходимости, следующие мероприятия:
- по изменению существующего процесса осуществления денежных переводов;
- по изменению правил взаимодействия с третьими лицами;
- по разработке организационно-распорядительной документации в области осуществления денежных переводов и ИБ;
- по внесению изменений в технологические процессы;
- по исполнению законодательства в области защиты персональных данных;
- по внедрению средств защиты информации.
- Разработка организационно-распорядительной документации в соответствии с Федеральным законом «О национальной платежной системе». В рамках приведения локальной нормативной базы в соответствие требованиям закона разрабатываются, по необходимости, документы по следующим направлениям:
- защита информации при проведении платежей;
- нормативно-методические документы, регламентирующие обработку персональных данных;
- построение делопроизводства для выполнения требований по защите информации;
- методика классификации рисков и проведение классификации активов с принятием допустимого уровня риска;
- рекомендации по стандартизации договорно-правовой работы с партнерами и клиентами с выполнением требований законодательства, в том числе, включение в договоры обязательных пунктов по использованию мер защиты, включая правовые, технические и организационно-технические.
- Закупка и ввод в эксплуатацию технических мер защиты. На данном этапе предлагается поставка, тестирование и внедрение средств защиты информации, предусмотренных Положением Банка России от 09 июня 2012 года № 382-П, а также в соответствии с Постановлением Правительства от 13 июня 2012 года №584 «Об утверждении Положения о защите информации в платежной системе»:
- шифровальные (криптографические) средства;
- средства защиты информации от несанкционированного доступа;
- средства антивирусной защиты;
- средства межсетевого экранирования;
- системы обнаружения вторжений;
- средства контроля (анализа) защищенности.
- Разработка отчета. Отчет содержит:
- перечень и детальное описание платежных процессов Банка;
- перечень требований платежных систем, участником которых является Банк, а также степень выполнения данных требований;
- описание действующих в Банке мер по обеспечению безопасности платежных систем;
- оценку соответствия, оформленную согласно Форме 1 Приложения 1 к Положению Банка России № 382-П.
Результаты работы
- Предварительная оценка соответствия Банка требованиям закона №161-ФЗ «О национальной платежной системе» в части защиты информации согласно Форме 1 Приложения 1 к Положению Банка России № 382-П.
- План работ по приведению Банка в соответствие с требованиями Федерального закона «О национальной платежной системе».
- Полный перечень необходимых организационно-распорядительных документов для Банка в соответствии с разработанным планом работ по приведению Банка в соответствие с требованиями Федерального закона «О национальной платежной системе» и требованиями Заказчика.
- Спецификация по рекомендуемым техническим средствам защиты информации.
- Внедрение технических средств защиты информации.
- Отчет по Проекту.
Какие требования информационной безопасности необходимо выполнить Вашей организации?
Ответьте на несколько простых вопросов и получите рекомендации бесплатно.