Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Защита информации в платежных системах

Защита информации в платежных системах

Компания GlobalTrust реализует полный комплекс услуг по защите информации в платежных системах организаций, являющихся участниками национальной платежной системы РФ, включая оценку соответствия платежной системы требованиям действующего законодательства и нормативной базы, анализ защищенности платежной системы, оценку и обработку рисков информационной безопасности платежной системы, разработку комплекса организационно-распорядительных документов по обеспечению информационной безопасности платежной системы, разработку и внедрение технических решений по защите информации в платежной системе и аттестацию платежной системы по требованиям безопасности информации.

Защита в платежных системах27 июня 2011 года был принят Федеральный закон № 161-ФЗ «О национальной платежной системе», устанавливающий правовые и организационные основы НПС, а также требования к ее организации и функционированию. В начале июня 2012 года был опубликован целый ряд нормативных документов, включая Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» и Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», а также Указание ЦБ от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», определяющих в рамках 161-ФЗ требования по обеспечению защиты информации в национальной платежной системе.

Согласно 161-ФЗ ст. 27 участники НПС (операторы по переводу денежных средств, банковские платежные агенты, операторы платежных систем, операторы услуг платежной инфраструктуры) должны обеспечить:

  • защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством РФ;
  • защиту информации при осуществлении переводов денежных средств в соответствии с установленными Банком России требованиями.

Согласно ПП-584 должны быть реализованы правовые, организационные и технические меры, направленные:

  • на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;
  • на соблюдение конфиденциальности информации;
  • на реализацию права на доступ к информации в соответствии с законодательством РФ.

Согласно 382-П участниками НПС должны быть реализованы требования из следующих областей контроля:

  • назначение и распределение ролей и ответственности за защиту информации в платежной системе;
  • защита информации на всех стадиях жизненного цикла объектов ИТ-инфраструктуры;
  • управление доступом к объектам ИТ-инфраструктуры;
  • защита информации от воздействия вредоносного кода;
  • защита информации при использовании сети Интернет;
  • использование средств криптографической защиты информации;
  • использование технологических мер защиты информации;
  • организация и функционирование службы информационной безопасности;
  • повышение осведомленности в области обеспечения защиты информации;
  • выявление и реагирование на инциденты;
  • определение и реализация порядка обеспечения защиты информации;
  • оценка выполнения требований к обеспечению защиты информации;
  • информирование об обеспечении в платежной системе защиты информации;
  • совершенствование системы защиты информации.

 

Комплекс услуг GlobalTrust по обеспечению информационной безопасности платежных систем в соответствии с требованиями 161-ФЗ и принятыми на его основе нормативными документами по защите информации включает в себя следующее:

1. Оценка соответствия платежной системы требованиям по безопасности информации и разработка плана мероприятий по обеспечению соответствия:

  • сбор и анализ свидетельств аудита;
  • анализ документации организации и бизнес-процессов, в части функционирования платежной системы;
  • интервьюирование представителей организации;
  • анализ полноты и эффективности реализуемых мер по защите информации;
  • оценка выполнения требований по категориям, устанавливаемым 382-П;
  • вычисление обобщающих показателей соответствия и итогового показателя соответствия;
  • документирование результатов оценки соответствия;
  • разработка плана организационно-технических мероприятий по обеспечению соответствия платежной системы требованиям по безопасности информации.

2. Анализ защищенности платежной системы

  • идентификация и анализ организационных уязвимостей ИБ платежной системы;
  • идентификация и анализ технических уявзвимостей ИБ платежной системы для внешнего периметра корпоративной сети и внутренний ИТ-инфраструктуры;
  • анализ защищенности программных модулей и сервисов платежной системы;
  • оценка уровня защищенности платежной системы;
  • разработка рекомендаций по повышению уровня защищенности платежной системы и совершенствованию механизмов защиты.

3. Оценка и обработка рисков информационной безопасности платежной системы

  • инвентаризация активов платежной системы;
  • разработка моделей угроз и нарушителей информационной безопасности платежной системы;
  • оценка информационных активов, угроз, уязвимостей и механизмов контроля ИБ платежной системы;
  • формирование реестра информационных рисков платежной системы;
  • определение допустимого уровня остаточных рисков;
  • подготовка и согласование решений по обработки рисков платежной системы;
  • разработка и согласование плана обработки рисков платежной системы.

4. Разработка комплекса организационно-распорядительных документов для обеспечения соответствия платежной системы организации требованиям по безопасности информации

  • определение требований к процессам обеспечения информационной безопасности в платежной системе;
  • определение ролей и ответственности персонала;
  • определение порядка взаимодействия между подразделениями для реализации мер по защите информации в платежной системе;
  • разработка и согласование проектов организационно-распорядительных документов по обеспечению информационной безопасности платежной системы.

5. Разработка и внедрение технических решений по комплексу программно-технических средств защиты информации в платежной системе

  • проектирование архитектуры обеспечения ИБ платежной системы;
  • выбор основных технических решений по защите информации в платежной системе;
  • определение состава сертифицированных СЗИ по каждой подсистеме защиты и анализ их технической совместимости;
  • разработка проектной документации, описание процессов и механизмов функционирования СЗИ;
  • поставка и внедрение СЗИ;
  • проведение приемо-сдаточных испытаний подсистемы информационной безопасности платежной системы;
  • проведение аттестационных испытаний платежной системы по требованиям безопасности информации (опционально).

При выполнении работ по защите платежных систем используется опыт GlobalTrust в области создания систем управления информационной безопасностью в соответствии с ISO 27001, а также реализации требований по защите информации, определяемых комплексом стандартов Банка России СТО БР ИББС и стандартами международных платежных систем VISA/MasterCard PCI DSS.

Для получения более подробной информации обращайтесь к нам: