Защита информации в платежных системах
27 июня 2011 года был принят Федеральный закон № 161-ФЗ «О национальной платежной системе», устанавливающий правовые и организационные основы НПС, а также требования к ее организации и функционированию. В начале июня 2012 года был опубликован целый ряд нормативных документов, включая Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» и Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», а также Указание ЦБ от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», определяющих в рамках 161-ФЗ требования по обеспечению защиты информации в национальной платежной системе.
Согласно 161-ФЗ ст. 27 участники НПС (операторы по переводу денежных средств, банковские платежные агенты, операторы платежных систем, операторы услуг платежной инфраструктуры) должны обеспечить:
- защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством РФ;
- защиту информации при осуществлении переводов денежных средств в соответствии с установленными Банком России требованиями.
Согласно ПП-584 должны быть реализованы правовые, организационные и технические меры, направленные:
- на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;
- на соблюдение конфиденциальности информации;
- на реализацию права на доступ к информации в соответствии с законодательством РФ.
Согласно 382-П участниками НПС должны быть реализованы требования из следующих областей контроля:
- назначение и распределение ролей и ответственности за защиту информации в платежной системе;
- защита информации на всех стадиях жизненного цикла объектов ИТ-инфраструктуры;
- управление доступом к объектам ИТ-инфраструктуры;
- защита информации от воздействия вредоносного кода;
- защита информации при использовании сети Интернет;
- использование средств криптографической защиты информации;
- использование технологических мер защиты информации;
- организация и функционирование службы информационной безопасности;
- повышение осведомленности в области обеспечения защиты информации;
- выявление и реагирование на инциденты;
- определение и реализация порядка обеспечения защиты информации;
- оценка выполнения требований к обеспечению защиты информации;
- информирование об обеспечении в платежной системе защиты информации;
- совершенствование системы защиты информации.
Комплекс услуг GlobalTrust по обеспечению информационной безопасности платежных систем в соответствии с требованиями 161-ФЗ и принятыми на его основе нормативными документами по защите информации включает в себя следующее:
1. Оценка соответствия платежной системы требованиям по безопасности информации и разработка плана мероприятий по обеспечению соответствия:
- сбор и анализ свидетельств аудита;
- анализ документации организации и бизнес-процессов, в части функционирования платежной системы;
- интервьюирование представителей организации;
- анализ полноты и эффективности реализуемых мер по защите информации;
- оценка выполнения требований по категориям, устанавливаемым 382-П;
- вычисление обобщающих показателей соответствия и итогового показателя соответствия;
- документирование результатов оценки соответствия;
- разработка плана организационно-технических мероприятий по обеспечению соответствия платежной системы требованиям по безопасности информации.
2. Анализ защищенности платежной системы
- идентификация и анализ организационных уязвимостей ИБ платежной системы;
- идентификация и анализ технических уявзвимостей ИБ платежной системы для внешнего периметра корпоративной сети и внутренний ИТ-инфраструктуры;
- анализ защищенности программных модулей и сервисов платежной системы;
- оценка уровня защищенности платежной системы;
- разработка рекомендаций по повышению уровня защищенности платежной системы и совершенствованию механизмов защиты.
3. Оценка и обработка рисков информационной безопасности платежной системы
- инвентаризация активов платежной системы;
- разработка моделей угроз и нарушителей информационной безопасности платежной системы;
- оценка информационных активов, угроз, уязвимостей и механизмов контроля ИБ платежной системы;
- формирование реестра информационных рисков платежной системы;
- определение допустимого уровня остаточных рисков;
- подготовка и согласование решений по обработки рисков платежной системы;
- разработка и согласование плана обработки рисков платежной системы.
4. Разработка комплекса организационно-распорядительных документов для обеспечения соответствия платежной системы организации требованиям по безопасности информации
- определение требований к процессам обеспечения информационной безопасности в платежной системе;
- определение ролей и ответственности персонала;
- определение порядка взаимодействия между подразделениями для реализации мер по защите информации в платежной системе;
- разработка и согласование проектов организационно-распорядительных документов по обеспечению информационной безопасности платежной системы.
5. Разработка и внедрение технических решений по комплексу программно-технических средств защиты информации в платежной системе
- проектирование архитектуры обеспечения ИБ платежной системы;
- выбор основных технических решений по защите информации в платежной системе;
- определение состава сертифицированных СЗИ по каждой подсистеме защиты и анализ их технической совместимости;
- разработка проектной документации, описание процессов и механизмов функционирования СЗИ;
- поставка и внедрение СЗИ;
- проведение приемо-сдаточных испытаний подсистемы информационной безопасности платежной системы;
- проведение аттестационных испытаний платежной системы по требованиям безопасности информации (опционально).
При выполнении работ по защите платежных систем используется опыт GlobalTrust в области создания систем управления информационной безопасностью в соответствии с ISO 27001, а также реализации требований по защите информации, определяемых комплексом стандартов Банка России СТО БР ИББС и стандартами международных платежных систем VISA/MasterCard PCI DSS.
Для получения более подробной информации обращайтесь к нам:
- по телефону: +7 (925) 203-95-11
- по e-mail: info@globaltrust.ru
- через web-форму