четверг, 24 мая 2012 г.

СОИБ. Проекты нормативных документов ЦБ по ЗИ


(Проект Положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" и
Проект Указания Банка России "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств")

Экспертные заключения можно отправлять по 31 мая 2012 года по адресу: E-mail: tsa4@cbr.ru.

Данные документы ЦБ разрабатывает как оператор платежной системы в соответствии с постановление правительства РФ, окотором я писал ранее.

Требования ЦБ разделены на 14 областей:
·         при осуществлении переводов денежных средств
o   при назначении и распределении функциональных обязанностей и прав (далее - ролей) лиц, связанных с осуществлением переводов денежных средств
o   на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры
o   при осуществлении доступа к объектам информационной инфраструктуры
o   защиты информации от воздействия вредоносных кодов
o   при использовании сети Интернет при осуществлении переводов денежных средств
o   при использовании СКЗИ
o   технологические меры защиты информации
·         организация и функционирование службы информационной безопасности
·         повышению осведомленности
·         к выявлению инцидентов и реагированию на них
·         определению и реализации порядка обеспечения защиты информации при осуществлении переводов денежных
·         по информированию оператора ПС информации о состоянии системы ЗИ
·         по совершенствованию инфраструктуры ЗИ

Вводятся как организационные так и технические требования.

В данной заметке хочу подробнее остановится на технических требованиях, как в перспективе наиболее затратных:
·         реализацию запрета несанкционированного копирования защищаемой информации;
·         защиту резервных копий защищаемой информации;
·         уничтожение защищаемой информации в случаях, когда указанная информация больше не используется
·         уничтожение защищаемой информации, в том числе содержащейся в архивах, способом, обеспечивающим невозможность ее восстановления
·         применение некриптографических средств защиты информации от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства.
·         идентификацию, аутентификацию, авторизацию
o   своих работников при осуществлении доступа к защищаемой информации;
o   участников платежной системы при осуществлении переводов денежных средств;
o   лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;
o   лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;
·         регистрацию действий и операций
o   своих работников;
o   клиентов
·         регистрацию действий и операций, связанных с назначением и распределением прав доступа к защищаемой информации
·         регистрацию действий и операций с информацией о банковских счетах, включая операции открытия, изменения состояния и закрытия банковских счетов
·         возможность приостановления (блокирования) клиентом приема к исполнению распоряжений об осуществлении переводов денежных средств от имени указанного клиента
·         использование антивирусов
·         фильтрацию сетевых пакетов при обмене информацией между вычислительными сетями, в которых располагаются объекты информационной инфраструктуры, и сетью Интернет
·         применяют СКЗИ, которые имеют сертификаты уполномоченных государственных органов, либо разрешение Федеральной службы безопасности Российской Федерации

Есть ещё ряд требований, которые могут реализовываться на выбор как организационными так и техническими мерами.
В целом большинство технических мер применяется или не применяется по решению руководства организации.

Большое внимание в требованиях посвящено оценке соответствия. Оценка соответствия не реже раза в 2 года или по требованию ЦБ.
Есть приложение 1 – порядок проведения оценки соответствия (схожий с СТО БР ИББС 1.2).
Есть приложение 2 – перечень требований проверяемых при оценке соответствия. Прогресс по сравнению с ТО БР ИББС 1.2 – для каждого требования определена шкала оценки, нет явно выделенных необязательных требований.

За наводку спасибо Александру Бондаренко.
Заметка по этой же теме у Алексея Лукацкого.

Комментариев нет: