1. Программа курса «Защита информации в Национальной платежной системе»
1. Изменение акцента в регулировании - в прицеле НПС
2. Регулирование отрасли переводов денежных средств
2.1. ФЗ-152, ISO 27xxx, СТО БР ИББС, PCI DSS и НПС
3. Парафраз об СТО
3.1. Структура СТО
3.2. Развитие СТО и регулирования ИБ банков
3.2.1. Планы Банка России
3.2.2. Планы ТК122
3.3. Место ABISS в старом и новом регулировании
3.4. Почему СТО не хватает (мобильные платежи, NFC, сервис-бюро и т.д.)?
3.5. Место и прогнозы развития СТО БР ИББС в контексте НПС
4. Что такое Национальная платежная система
4.1. Предыстория появления
4.2. Основные определения
4.3. Виды безналичных форм переводов денежных средств
4.4. Участники НПС
4.4.1. Кто есть кто на самом деле?
4.4.2. Можно ли иметь несколько ролей одновременно?
4.4.3. Рассмотрение типичных ситуаций
4.4.4. Реестры операторов платежных систем и операторов электронных
денежных средств
4.5. Кто подпадает под требования НПС?
4.6. Платежные системы в России - краткий обзор
4.7. Платежная инфраструктура
4.8. Электронные денежные средства
4.8.1. Позиция Банка России по электронным средствами платежа
4.9. Будущее НПС
4.10.
Кто отвечает за регулирование безопасности в НПС со стороны Банка
России?
5. ФЗ-161 и его влияние на информационную безопасность
5.1. Новые риски мошенничества по ФЗ-161
5.2. Информирование клиента о платежах
5.3. Письмо Банка России №172-Т о рекомендациях по вопросам применения
статьи 9 ФЗ-161
5.4. Рекомендации НП НПС по снижению рисков 9-й статьи ФЗ-161
5.5. Как сделать правильно и незатратно
6. Иерархия требований по информационной безопасности
6.1. Постановление Правительства № 584 «О защите информации в платежной
системе»
6.2. Положение Банка России 382-П
6.3. Указание Банка России 2831-У
6.4. Положение Банка России 381-П
6.5. Положение Банка России 380-П
6.6. Иные нормативные документы Банка России по информационной
безопасности
6.6.1. Письмо Банка России 146-Т от 05.08.2013
6.7. Русскоязычный перевод PCI DSS и его место в НПС
2. 6.8. Требования по информационной безопасности к финансовым
приложениям и АБС
6.9. Федеральный закон 251-ФЗ в контексте информационной безопасности
7. ПП-584
7.1. Обязательные требования
7.2. Лицензирование деятельности по ТЗКИ
7.3. Оценка соответствия средств защиты
7.4. Контроль и надзор со стороны ФСТЭК и ФСБ
7.5. Необходимо ли получать лицензии на деятельность по защите
информации и по шифрованию? При каких условиях?
7.5.1. Правоприменительная практика ФСТЭК, ФСБ, прокуратуры и судов
по вопросам лицензирования деятельности по защите информации
8. Триада «риски - бесперебойность функционирования – безопасность»
8.1. Прогнозы будущего регулирования НПС в контексте триады
8.2. 379-П и другие нормативы Банка России по бесперебойности
функционирования НПС
8.3. Указание от 25.06.2012 №2840-У по операционным рискам
9. 382-П
9.1. Что защищаем?
9.2. Детальный анализ требований 382-П
9.3. Отличия 382-П от СТО БР ИББС
9.4. Отличия 382-П от ПП-584
9.5. Применение СКЗИ в контексте 382-П
9.6. Необходимо ли использовать сертифицированные средства защиты?
9.6.1. Легитимность применения СКЗИ иностранного производства
9.6.2. Незаконность встраивания сертифицированных криптопровайдеров в
западные VPN-решения с точки зрения ФСБ
9.6.3. Письмо Банка России о сертифицированных средствах защиты
9.7. Указание Банка России 3007-У
10. Требования по информационной безопасности для различных видов
переводов денежных средств
10.1.
Денежные переводы на основе корреспондентских отношений
10.2.
Перевод электронных денежных средств
10.3.
Платежные карты
10.3.1.
Письмо Банка России №120-Т по безопасному использованию
платежных карт
10.3.2.
Письмо Банка России №154-Т по раскрытию информации об
основных условиях использования банковской карты и о порядке
урегулирования конфликтных ситуаций, связанных с ее
использованием
10.4.
Банкоматы и кассовые терминалы
10.4.1.
Проект стандарта Банка России по безопасности банкоматов и
платежных терминалов
10.4.2.
Стандарт безопасности банкоматов и платежных терминалов
(ЦБ, ГУУР и ГУВО МВД, АРБ)
10.4.3.
Письмо №34-Т по безопасности банкоматов
10.5.
Системы ДБО
10.5.1.
10 нормативных актов с требованиями по безопасности ДБО
10.5.2.
Требования ДИС Банка России по защите информации в
системах ДБО
11. Реагирование на инциденты с ДБО
11.1.
Анализ статистики Банка России по инцидентам ИБ
3. 11.2.
Методические рекомендации по реагированию на инциденты от
Group-IB
11.3.
Методические рекомендации по реагированию на инциденты НП
«Национальный платежный совет» и АРБ
11.4.
Почему следователи отказывают в возбуждении уголовных дел по
ст.159
11.5.
Создание Национального операционного клирингового центра
11.6.
Создание Национальной системы фрод-мониторинга
11.7.
Инициатива по созданию банковского CERTа
12. Оценка соответствия по вопросам ИБ в рамках НПС
12.1.
Методика оценки соответствия
12.2.
Указание Банка России 2831-У
12.3.
Формы отчетности: как, когда и в каком формате? Что писать в
отчетах?
12.4.
Краткие результаты по собранной 203-й отчетности
12.5.
Особенности оформления отчетности 0403203 и 0403202.
Практические примеры
12.6.
Форма отчетности 0409258 «Сведения о несанкционированных
операциях, совершенных с использованием платежных карт» и порядок
составления и представления отчетности по форме 0409258
12.7.
Указания Банка России 3024-У и 3006-У
13. Персональные данные при переводе денежных средств: как защищать?
14. Наказание за неисполнение ФЗ-161 и подзаконных актов
15. Контроль и надзор в области защиты информации в НПС
15.1.
Права и обязанности ФСТЭК
15.2.
Права и обязанности ФСБ
15.3.
Права и обязанности Банка России