пятница, 20 апреля 2012 г.

СОИБ. Защита информации в НПС


9 апреля на сайте АРБ был опубликован проект постановления правительства РФ «об утверждении Положения о защитеинформации в национальной платежной системе». Есть вероятность что положение близко к утверждению.

Документ интересный. Все фразы составлены очень гибко, в расчете на то что в дальнейшем требования будут ещё детализироваться операторами ПС. Но общая картина требований вырисовывается и сейчас:
·        Оператор ПС разрабатывает модель угроз
·        Субъекты ПС информируют Оператора если выявляют дополнительные угрозы
·        Конкретные требования по обеспечению защиты информации (ОЗИ)  для каждой платежной системы определяются Оператором.
·        Как минимум требования должны включать:
o   Выделение подразделения /ответственного за защиту информации
o   Анализ угроз
o   Управление рисками
o   Распределение ролей
o   Управление инцидентами
o   ОЗИ при работе с сетью Интернет
o   ОЗИ при доступе к инфраструктуре платежной системы
o   ОЗИ при создании, модернизации систем
o   контроль и оценку соответствия
o   применение СЗИ, в том числе прошедших оценку соответствия
§  СЗИ от НСД
§  Антивирусы
§  Межсетевые экраны
§  Средства обнаружения вторжений
§  Средства анализа защищенности
·        Субъекты сообщают Оператору об инцидентах ИБ
·        При использовании сети Интернет для передачи платежной информации Субъекты должны заранее определять и фиксировать цели её использования
·      Аутентифицировать клиента можно по ЭП, паролю и т.п.
·      Самооценка или аудит ИБ – не реже раза в 2 года

Не совсем понятно, как трактовать фразу:
“Требования к защите информации, включаемые в правила платежной системы,  …. должны включать:
Требования к применению средств защиты информации (…), в том числе прошедших в установленном порядке процедуру оценки соответствия”

Означает ли это что оценка соответствия будет требоваться обязательно?

В общем – пока это проект и выложен для общественного рассмотрения. Есть возможность внести предложения, критиковать и т.п.
UPD: Александр Бондаренко в своем блоге пишет про анализ данного постановления Минэкономразвитием.

Комментариев нет: