В рамках данной услуги проводится оценка соответствия Банка требованиям Федерального Закона №161-ФЗ “О национальной платежной системе”.

Основным документом, регламентирующим порядок обеспечения информационной безопасности (далее – ИБ), является Положение Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 9 июня 2012 года. Данный документ предъявляет существенные требования как к организационным, так и техническим мерам, которые необходимо использовать в Банке. Несоблюдение требований может повлечь за собой судебные разбирательства и выплату компенсаций клиентам, а также санкции со стороны Центрального Банка Российской Федерации.

Заказать услугу

Этапы работы

  1. Обследование платежных процессов Банка. Анализ существующих процессов денежных переводов. В рамках данного этапа проводится сбор сведений для детального описания бизнес-процессов Банка, которые попадают в область действия законодательства Российской Федерации.
  1. Определение перечня требований, согласно роли Банка в Платежной Системе РФ, на основании существующих платежных процессов в Банке. В рамках данного этапа анализируются требования платежных систем, участником которых является Банк, а также проверяется выполнение данных требований.
  1. Анализ существующих в Банке мер по обеспечению безопасности информационных систем, средствами которых осуществляются переводы денежных средств. Предоставление рекомендаций по их улучшению. В рамках данного этапа выявляются особенности бизнес-процессов Банка, которые попадают в область действия законодательства Российской Федерации. Анализируются информационные системы в Банке, используемые организационные и технические меры обеспечения ИБ. Рассматриваются следующие аспекты:
  • назначение и распределение ролей в платежных системах;
  • требования ИБ на стадиях жизненного цикла объектов инфраструктуры;
  • управление доступом к информационным ресурсам и защита от несанкционированного доступа;
  • защита от вредоносного кода;
  • требования ИБ к использованию сети Интернет;
  • криптографическая защита информации;
  • технологические меры защиты информации;
  • организация и функционирование службы ИБ;
  • повышение осведомленности в области ИБ;
  • выявление инцидентов ИБ и реагирование на них;
  • определение порядка обеспечения защиты информации в нормативных документах Банка и степень его реализации;
  • информирование оператора платежной системы об обеспечении защиты информации;
  • совершенствование защиты информации.
  1. Проведение предварительной оценки соответствия Банка требованиям Федерального закона «О национальной платежной системе». Результаты предварительной оценки предоставляются Заказчику согласно Форме 1 Приложения 1 к Положению Банка России № 382-П от 09 июня 2012 года.
  1. Разработка Плана работ по приведению Банка в соответствие с требованиями Федерального закона «О национальной платежной системе». На данном этапе разрабатывается План работ по приведению Банка в соответствие с требованиями Федерального закона «О национальной платежной системе», включающий в себя, по необходимости, следующие мероприятия:
  • по изменению существующего процесса осуществления денежных переводов;
  • по изменению правил взаимодействия с третьими лицами;
  • по разработке организационно-распорядительной документации в области осуществления денежных переводов и ИБ;
  • по внесению изменений в технологические процессы;
  • по исполнению законодательства в области защиты персональных данных;
  • по внедрению средств защиты информации.
  1. Разработка организационно-распорядительной документации в соответствии с Федеральным законом «О национальной платежной системе». В рамках приведения локальной нормативной базы в соответствие требованиям закона разрабатываются, по необходимости, документы по следующим направлениям:
  • защита информации при проведении платежей;
  • нормативно-методические документы, регламентирующие обработку персональных данных;
  • построение делопроизводства для выполнения требований по защите информации;
  • методика классификации рисков и проведение классификации активов с принятием допустимого уровня риска;
  • рекомендации по стандартизации договорно-правовой работы с партнерами и клиентами с выполнением требований законодательства, в том числе, включение в договоры обязательных пунктов по использованию мер защиты, включая правовые, технические и организационно-технические.
  1. Закупка и ввод в эксплуатацию технических мер защиты. На данном этапе предлагается поставка, тестирование и внедрение средств защиты информации, предусмотренных Положением Банка России от 09 июня 2012 года № 382-П, а также в соответствии с Постановлением Правительства от 13 июня 2012 года №584 «Об утверждении Положения о защите информации в платежной системе»:
  • шифровальные (криптографические) средства;
  • средства защиты информации от несанкционированного доступа;
  • средства антивирусной защиты;
  • средства межсетевого экранирования;
  • системы обнаружения вторжений;
  • средства контроля (анализа) защищенности.
  1. Разработка отчета. Отчет содержит:
  • перечень и детальное описание платежных процессов Банка;
  • перечень требований платежных систем, участником которых является Банк, а также степень выполнения данных требований;
  • описание действующих в Банке мер по обеспечению безопасности платежных систем;
  • оценку соответствия, оформленную согласно Форме 1 Приложения 1 к Положению Банка России № 382-П.

Результаты работы

  1. Предварительная оценка соответствия Банка требованиям закона №161-ФЗ «О национальной платежной системе» в части защиты информации согласно Форме 1 Приложения 1 к Положению Банка России № 382-П.
  2. План работ по приведению Банка в соответствие с требованиями Федерального закона «О национальной платежной системе».
  3. Полный перечень необходимых организационно-распорядительных документов для Банка в соответствии с разработанным планом работ по приведению Банка в соответствие с требованиями Федерального закона «О национальной платежной системе» и требованиями Заказчика.
  4. Спецификация по рекомендуемым техническим средствам защиты информации.
  5. Внедрение технических средств защиты информации.
  6. Отчет по Проекту.
Перейти к тестированию

Какие требования информационной безопасности необходимо выполнить Вашей организации?

3 из 4 компаний не знают законодательство РФ по защите информации!
Ответьте на несколько простых вопросов и получите рекомендации бесплатно.
Перейти к тестированию