SlideShare una empresa de Scribd logo
1 de 49
Descargar para leer sin conexión
Защита информации
в национальной платежной системе
Ольга Садовникова
Руководитель группы консалтинга
по информационной безопасности
ЗАО «ЛЕТА»

Декабрь 2013

+7 (495) 921 1410 / www.leta.ru
ПРОГРАММА ВЕБИНАРА
 Краткий обзор законодательства РФ о национальной платежной
системе (НПС);

 Требования по защите информации в НПС: краткий обзор
Положения Банка России № 382-П;

 Предоставление отчетности по обеспечению защиты информации
при осуществлении переводов денежных средств: установленные
сроки, периодичность и ответственность;

 Организация и проведение оценки выполнения требований к
обеспечению защиты информации в НПС: порядок проведения
оценки, методика, документирование результатов;

 Общие рекомендации по реализации требований нормативных
документов по защите информации в НПС;

 Презентация брошюры, подготовленной экспертами компании LETA,
о практическом подходе к внедрению в организациях банковской
системы РФ требований нормативных документов по защите
информации в НПС

2
КРАТКИЙ ОБЗОР ЗАКОНОДАТЕЛЬСТВА РФ
О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ (НПС)

3
ЧТО ТАКОЕ НПС
Федеральный закон
от 27.06.2011 № 161-ФЗ
«О национальной платежной системе»
Национальная платежная система – это совокупность:

 операторов платежных систем;
 операторов услуг платежной инфраструктуры (операционный центр,
платежный клиринговый центр и расчетный центр);

 операторов по переводу денежных средств
(включая операторов электронных денежных средств);

 банковских платежных агентов (субагентов);
 платежных агентов;
 организаций федеральной почтовой связи при оказании ими платежных
услуг в соответствии с законодательством РФ.

4
ЧТО ТАКОЕ НПС

СУБЪЕКТЫ НПС

операторы платежных
систем

операторы услуг
платежной
инфраструктуры

Определены требования к их деятельности
и, в частности, к обеспечению ИБ

операторы по переводу
денежных средств
(операторы электронных
денежных средств)

банковские платежные
агенты банковские
платежные субагенты

платежные субагенты

Федеральный закон от 03.06.2009
№103-ФЗ «О деятельности по приему
платежей физических лиц, осуществляемой
платежными агентами»

организации
федеральной почтовой
связи
Федеральный закон от 17.07.1999
№ 176-ФЗ «О почтовой связи»

5
ПЛАТЕЖНАЯ СИСТЕМА

Платежная система – совокупность организаций, взаимодействующих по
правилам платежной системы в целях осуществления перевода денежных
средств, включающая:

 оператора платежной системы,
 операторов услуг платежной инфраструктуры
 участников платежной системы, из которых как минимум три организации
являются операторами по переводу денежных средств.

Участники платежной системы - организации, присоединившиеся к правилам
платежной системы в целях оказания услуг по переводу денежных средств

6
ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ
Оператор платежной системы – организация, определяющая правила платежной
системы, а также выполняющая иные обязанности, предусмотренные 161-ФЗ.
Оператором платежной системы может являться:

 кредитная организация
 организация, не являющаяся кредитной организацией;
 Банк России;
 Внешэкономбанк.
Организация, намеревающаяся стать оператором платежной системы, должна
направить в Банк России регистрационное заявление по форме и в порядке, которые
установлены Банком России.

Положение Банка России от 02.05.2012 № 378-П
«О порядке направления в Банк России заявления о
регистрации оператора платежной системы»

7
РЕЕСТР ОПЕРАТОРОВ ПЛАТЕЖНОЙ СИСТЕМ

8
РЕЕСТР ОПЕРАТОРОВ ПЛАТЕЖНОЙ СИСТЕМ
На данный момент в рамках НПС официально присутствуют 29 зарегистрированных в Реестре
операторов платежных систем и Банк России – оператор платежной системы Банка России
Банк России –

161-ФЗ (ст. 15);
Положение ЦБ РФ № 384-П «О
платежной системе Банка
России»

Платежная система Банка России
АКБ «РУССЛАВБАНК» (ЗАО) –
Платежная система CONTACT

ОАО КБ «ЮНИСТРИМ» –
Система денежных переводов «ЮНИСТРИМ»

ООО «НКО «Вестерн Юнион ДП Восток» –
Платежная Система Вестерн Юнион
(РЦ – ОАО Банк ВТБ и НКО «ОРС» (ОАО))

161-ФЗ (ст. 15);
Положение ЦБ 378-П «О
порядке направления в Банк
России заявление о
регистрации ОПС»

ЗАО «Национальные кредитные карточки» –
Платежная система NCC (NATIONAL CREDIT CARDS)
(РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК»)

ЗАО «Процессинговая компания «Юнион Кард» –
Платежная система «Юнион Кард» (UNION CARD)
(РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК«)

...
9
ОПЕРАТОРЫ УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ

Операционный центр - организация, обеспечивающая в рамках платежной системы
для участников платежной системы и их клиентов доступ к услугам по переводу
денежных средств, в том числе с использованием электронных средств платежа, а
также обмен электронными сообщениями.

Платежный клиринговый центр - организация, созданная в соответствии с
законодательством Российской Федерации, обеспечивающая в рамках платежной
системы прием к исполнению распоряжений участников платежной системы об
осуществлении перевода денежных средств и выполнение иных действий,
предусмотренных Федеральным законом № 161-ФЗ.
Расчетный центр - организация, созданная в соответствии с законодательством
Российской Федерации, обеспечивающая в рамках платежной системы исполнение
распоряжений участников платежной системы посредством списания и зачисления
денежных средств по банковским счетам участников платежной системы, а также
направление подтверждений, касающихся исполнения распоряжений участников
платежной системы.

10
ОПЕРАТОРЫ ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ

Оператор по переводу денежных средств – организация, которая в соответствии с
законодательством РФ вправе осуществлять перевод денежных средств.
Операторами по переводу денежных средств являются:

 Банк России;
 кредитные организации, имеющие право на осуществление перевода
денежных средств;

 Внешэкономбанк.

Все банки являются Операторами по переводу денежных средств, так как,
как минимум, они являются участниками платежной системы Банка России.

11
БАНКОВСКИЕ ПЛАТЕЖНЫЕ АГЕНТЫ (СУБАГЕНТЫ)
Банковский платежный агент - юридическое лицо, за исключением кредитной
организации, или индивидуальный предприниматель, которые привлекаются
кредитной организацией в целях осуществления деятельности, предусмотренной
Федеральным законом № 161-ФЗ:

 для принятия от физического лица наличных денежных средств и (или) выдачи
физическому лицу наличных денежных средств, в том числе с применением
платежных терминалов и банкоматов;

 для предоставления клиентам электронных средств платежа и обеспечения
возможности использования указанных электронных средств платежа в
соответствии с условиями, установленными оператором по переводу денежных
средств;

 для проведения идентификации клиента - физического лица, его представителя
и (или) выгодоприобретателя в целях осуществления перевода денежных
средств без открытия банковского счета.

Банковский платежный субагент - юридическое лицо, за исключением кредитной
организации, или индивидуальный предприниматель, которые привлекаются
банковским платежным агентом в целях осуществления деятельности,
предусмотренной Федеральным законом № 161-ФЗ.

12
ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС
Федеральный закон от 27.06.2011 № 161-ФЗ
«О национальной платежной системе»

Постановления
Правительства РФ

 № 584 «Об утверждении
Положения о защите
информации в платежной
системе»

Положения
Банка России







№ 378-П
№ 379-П
№380-П
№381-П
№ 382-П «О требованиях к
обеспечению защиты
информации при осуществлении
переводов денежных средств и о
порядке осуществления Банком
России контроля за соблюдением
требований к обеспечению
защиты информации при
осуществлении переводов
денежных средств»

Указания
Банка России







№ 2693-У
№ 2694-У
№ 2695-У
№ 2814-У
№ 2831-У «Об отчетности по
обеспечению защиты
информации при осуществлении
переводов денежных средств
операторов платежных систем,
операторов услуг платежной
инфраструктуры, операторов по
переводу денежных средств»

 № 2836-У

 №383-П
 №384-П

13
ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС
Федеральный закон
от 27.06.2011 № 161-ФЗ
«О национальной платежной системе»
Статья 27. Обеспечение защиты информации в платежной системе

 Операторы по переводу денежных средств, банковские платежные агенты
(субагенты), операторы платежных систем, операторы услуг платежной
инфраструктуры обязаны обеспечивать защиту информации о средствах и
методах обеспечения информационной безопасности, персональных данных и
об иной информации, подлежащей обязательной защите в соответствии с
законодательством РФ.

 Правительство РФ устанавливает требования к защите указанной информации.
 Операторы по переводу денежных средств, банковские платежные агенты
(субагенты), операторы платежных систем, операторы услуг платежной
инфраструктуры
обязаны
обеспечивать
защиту
информации
при
осуществлении переводов денежных средств в соответствии с требованиями,
установленными Банком России, согласованными с ФСТЭК и ФСБ России.
14
НАДЗОРНЫЕ ОРГАНЫ
Федеральный закон
от 27.06.2011 № 161-ФЗ
«О национальной платежной системе»
Надзор за соблюдениями требования закона обеспечивают:

ФСТЭК России

ФСБ России

Осуществляют контроль и надзор за выполнением
требований, установленных Правительством РФ без
права ознакомления с защищаемой информацией

Банк России
Осуществляет контроль за соблюдением
требований, установленных Банком
России, в рамках надзора в НПС в
установленном порядке

15
ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС
Федеральный закон
от 27.06.2011 № 161-ФЗ
«О национальной платежной системе»

Постановление Правительства РФ
от 13.06.2012 № 584
«Об утверждении Положения о
защите информации в платежной
системе»

16
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №584
Устанавливает требования к защите информации о средствах и методах
обеспечения информационной безопасности, персональных данных и иной
информации, подлежащей обязательной защите в соответствии с
законодательством РФ, обрабатываемой операторами по переводу денежных
средств, банковскими платежными агентами (субагентами), операторами
платежных систем и операторами услуг платежной инфраструктуры в платежной
системе.

Защита информации обеспечивается путем реализации операторами и агентами
правовых, организационных и технических мер, направленных:

 на обеспечение защиты информации от неправомерных доступа, уничтожения,
модифицирования,
блокирования,
копирования,
предоставления
и
распространения, а также от иных неправомерных действий в отношении
информации;

 на соблюдение конфиденциальности информации;
 на реализацию права на доступ к информации в соответствии с
законодательством Российской Федерации.

17
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №584
Требования к составу правил платежной системы:

 создание службы ИБ или назначение должностного лица, ответственного за
организацию защиты информации;

 включение в должностные обязанности работников, участвующих в обработке
информации, обязанности по выполнению требований к защите информации;

 определение угроз безопасности информации и анализ уязвимости ИС;
 анализ и управление рисками нарушения требований к защите информации;
 разработка и реализация систем защиты информации в ИС;
 применение средств защиты информации;
 выявление и реагирование на инциденты ИБ;
 обеспечение защиты информации при использовании информационнотелекоммуникационных сетей общего пользования;

 определение

порядка доступа
обрабатывающим информацию;

к

объектам

инфраструктуры

ПС,

 организация и проведение контроля и оценки соответствия на собственных
объектах инфраструктуры не реже 1 раза в 2 года.

18
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №584
Требования к составу применяемых средств защиты информации:

 шифровальные (криптографические) средства,
 средства защиты информации от несанкционированного доступа,
 средства антивирусной защиты,
 средства межсетевого экранирования,
 системы обнаружения вторжений,
 средства контроля (анализа) защищенности
Для проведения работ по защите информации могут привлекаться на договорной
основе организации, имеющие лицензии на деятельность по технической защите
конфиденциальной информации и (или) на деятельность по разработке и производству
средств защиты конфиденциальной информации.
Контроль (оценка) соблюдения требований к защите информации осуществляется
самостоятельно или с привлечением на договорной основе организации, имеющей
лицензию на деятельность по технической защите конфиденциальной информации.

19
ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС
Федеральный закон
от 27.06.2011 № 161-ФЗ
«О национальной платежной системе»

«Положение о требованиях к
обеспечению защиты информации при
осуществлении переводов денежных
средств и о порядке осуществления
Банком России контроля за соблюдением
требований к обеспечению защиты
информации при осуществлении
переводов денежных средств»
(утв. Банком России 09.06.2012 № 382-П)

20
ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС:
КРАТКИЙ ОБЗОР ПОЛОЖЕНИЯ БАНКА РОССИИ № 382-П

21
ПОЛОЖЕНИЕ БАНКА РОССИИ №382-П

Устанавливает конкретные требования к защите информации при
осуществлении переводов денежных средств, обязательные для
выполнения:

 операторами по переводу денежных средств,
 операторами платежных систем,
 операторами услуг платежной инфраструктуры,
 банковскими платежными агентами (субагентами);
Устанавливает порядок осуществления Банком России контроля за
соблюдением требований к обеспечению защиты информации при
осуществлении переводов денежных средств в рамках осуществляемого
Банком России надзора в НПС.

22
ПОЛОЖЕНИЕ БАНКА РОССИИ №382-П

Для каждого типа субъектов НПС свой набор требований:

Сокращения:
ОПС – оператор платежной системы;
ОПДС – оператор по переводу денежных
средств;
ОУПИ
–
оператор
услуг
платежной
инфраструктуры;
БПА (БПСА) – банковские платежные агенты
(субагенты)
юридические
лица
/
индивидуальные предприниматели

23
ПОЛОЖЕНИЕ БАНКА РОССИИ №382-П

24
ПОЛОЖЕНИЕ БАНКА РОССИИ №382-П

 Оператор по переводу денежных средств, Оператор платежной системы,
Оператор услуг платежной инфраструктуры обеспечивают проведение
оценки выполнения требований к обеспечению защиты информации при
осуществлении перевода денежных средств (оценка соответствия).

 Оценка соответствия проводится не реже одного раза в два года, а также
по требованию Банка России.

 Оценка соответствия осуществляется операторами самостоятельно или с
привлечением сторонних организаций.

 Порядок проведения оценки соответствия и документирования ее
результатов определен в Приложении 1 к 382-П.

 Перечень требований, выполнение которых проверяется при проведении
оценки соответствия определен в Приложении 2 к 382-П.

25
ПРЕДОСТАВЛЕНИЕ ОТЧЕТНОСТИ ПО ОБЕСПЕЧЕНИЮ
ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ
ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ:
УСТАНОВЛЕННЫЕ СРОКИ, ПЕРИОДИЧНОСТЬ И
ОТВЕТСТВЕННОСТЬ

26
ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС
Федеральный закон
от 27.06.2011 № 161-ФЗ
«О национальной платежной системе»

«Положение о требованиях к
обеспечению защиты информации при
осуществлении переводов денежных
средств и о порядке осуществления
Банком России контроля за соблюдением
требований к обеспечению защиты
информации при осуществлении
переводов денежных средств»
(утв. Банком России 09.06.2012 № 382-П)

Указание Банка России
от 09.06.2012 № 2831-У
«Об отчетности по обеспечению защиты
информации при осуществлении переводов
денежных средств операторов платежных
систем, операторов услуг платежной
инфраструктуры, операторов по переводу
денежных средств»

27
УКАЗАНИЕ БАНКА РОССИИ № 2831-У
ОТЧЕТНОСТЬ ПО ФОРМЕ 0403202
«Сведения о выполнении операторами платежных систем, операторами услуг
платежной инфраструктуры, операторами по переводу денежных средств
требований к обеспечению защиты информации при осуществлении переводов
денежных средств»

 предоставляется не позднее тридцати рабочих дней со дня завершения
проведения оценки выполнения требований к обеспечению защиты
информации при осуществлении переводов денежных средств,
установленных Положением Банка № 382-П

ОТЧЕТНОСТЬ ПО ФОРМЕ 0403203
«Сведения о выявлении инцидентов, связанных с нарушением требований к
обеспечению защиты информации при осуществлении переводов денежных
средств»

 предоставляется ежемесячно не позднее десятого рабочего дня месяца,
следующего за отчетным;

 предоставляется по требованию Банка

28
СРОКИ ПРЕДОСТАВЛЕНИЯ ОТЧЕТНОСТИ 0403202
Указание Банка России от 05.06.2013 № 3007-У
«О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О
требованиях к обеспечению защиты информации при осуществлении переводов
денежных средств и о порядке осуществления Банком России контроля за
соблюдением требований к обеспечению защиты информации при осуществлении
переводов денежных средств»
Организация, ставшая оператором по переводу денежных средств,
оператором
платежной
системы,
оператором
услуг
платежной
инфраструктуры, должна провести первую оценку соответствия в течение
шести месяцев после получения соответствующего статуса.
Организация, являющаяся на день вступления в силу настоящего Указания
оператором по переводу денежных средств, оператором платежной
системы, оператором услуг платежной инфраструктуры, должна провести
оценку соответствия в течение шести месяцев со дня вступления в силу
настоящего Указания
Начало действия документа (за исключением отдельных положений) 10.07.2013.

29
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ
ПО ПРЕДОСТАВЛЕНИЮ ОТЧЕТНОСТИ
Инструкция Банка России от 31.03.1997 № 59 «О применении к кредитным
организациям мер воздействия за нарушения пруденциальных норм деятельности»
«1.25. Меры воздействия, применяемые к кредитной организации за нарушение требований по
представлению и/или опубликованию отчетности в открытой печати в случаях, установленных
федеральными законами, а также представлению аудиторских заключений»
1.25.2. Если кредитной организацией нарушены сроки представления отчетности и/или ее
опубликования в открытой печати в случаях, установленных федеральными законами,
представления аудиторского заключения, копий издания, в котором опубликован отчет, но
указанные документы представлены в течение 5 дней с установленной Банком России даты,
надзорный орган вправе взыскать штраф.
1.25.4. Штраф в размере до 0,05 процента от размера минимального уставного капитала может
быть взыскан при однократном нарушении кредитной организацией в течение последних
двенадцати месяцев сроков представления отчетности и в размере от 0,05 до 0,1 процента при 2кратном нарушении.

В настоящий момент размер минимального уставного капитала установлен
на уровне 180 млн. руб.
Таким образом, штраф составит от 90 тыс. руб. до 180 тыс. руб.
Кроме того, банк обяжут подать отчетность (выпишут предписание).

30
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ
ПО ПРЕДОСТАВЛЕНИЮ ОТЧЕТНОСТИ
Инструкция Банка России от 31.03.1997 № 59 «О применении к кредитным
организациям мер воздействия за нарушения пруденциальных норм деятельности»

1.25.6. В случае невыполнения кредитной организацией установленных предписанием
требований о соблюдении сроков представления отчетности более двух раз в течение последних
двенадцати месяцев, опубликования отчетности в открытой печати, представления аудиторского
заключения, копий издания, в котором опубликован отчет, с нее может взыскиваться штраф в
размере 1 процента от величины оплаченного уставного капитала, но не более 1 процента от
минимального размера уставного капитала, либо могут быть применены другие меры воздействия,
предусмотренные ст. 75 Федерального закона "О Центральном банке Российской Федерации (Банке
России)" и настоящей Инструкцией.

Таким образом штраф составит уже 1 млн. 800 тыс. руб., а также могут
последовать и другие меры воздействия (вплоть до отзыва лицензии).

31
ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ ОЦЕНКИ
ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ
ЗАЩИТЫ ИНФОРМАЦИИ В НПС:
ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ, МЕТОДИКА,
ДОКУМЕНТИРОВАНИЕ РЕЗУЛЬТАТОВ

32
ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ
ТРЕБОВАНИЯ КАТЕГОРИИ ПРОВЕРКИ 1

 оценка выполнения требований к обеспечению защиты информации при



осуществлении переводов денежных средств, реализуемых применением
организационных мер защиты информации или использованием технических
средств защиты информации;
используемая шкала: 0 … 0,25 … 0,5 … 0,75 … 1

ТРЕБОВАНИЯ КАТЕГОРИИ ПРОВЕРКИ 2

 оценка выполнения требований к обеспечению защиты информации при


осуществлении переводов денежных средств, устанавливающих необходимость
обеспечения наличия определенного Положением № 382-П документа;
используемая шкала: 0 … 1

ТРЕБОВАНИЯ КАТЕГОРИИ ПРОВЕРКИ 3

 оценка выполнения требований к обеспечению защиты информации при


осуществлении переводов денежных средств, устанавливающих необходимость
выполнения определенной Положением № 382-П деятельности;
используемая шкала: 0 … 0,5 … 1

33
ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ
РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ:

EV1ПС

EV2

ПС

34
ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ
РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ:

EV1ПС

среднее арифметическое оценок выполнения требований,
определенных в пунктах 2.4 - 2.10 Положения №382-П,
умноженное на корректирующий коэффициент k1

EV2

среднее арифметическое оценок выполнения требований,
определенных в пунктах 2.11 - 2.17 Положения №382-П,
умноженное на корректирующий коэффициент k2

ПС

R = MIN(EV1 , EV2 )
ПС

ПС

ПС)

35
РЕЗУЛЬТАТЫ ОЦЕНКИ СООТВЕТСТВИЯ

RПС >=



0.85
работа по обеспечению защиты информации на необходимом уровне
обеспечивает выполнение установленных требований;
значение качественной оценки выполнения требований – «хорошая»;

0,7 <= RПС < 0,85
 работа по обеспечению защиты информации в целом обеспечивает выполнение
установленных требований;
 значение качественной оценки выполнения требований – «удовлетворительная»;
0,5 <= RПС < 0,7

 работа по обеспечению защиты информации не в полной мере обеспечивает


выполнение установленных требований;
значение качественной оценки выполнения требований – «сомнительная»;

RПС < 0,5
 работа по обеспечению защиты информации не обеспечивает выполнение



установленных требований
значение качественной оценки выполнения требований «неудовлетворительная»

36
ФОРМЫ ДОКУМЕНТИРОВАНИЯ
РЕЗУЛЬТАТОВ ОЦЕНКИ СООТВЕТСТВИЯ
ФОРМА 1. Документирование результатов оценки соответствия

ФОРМА 2. Документирование результатов вычислений обобщающих показателей
выполнения требований к обеспечению защиты информации при осуществлении
переводов денежных средств

37
РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ
НОРМАТИВНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ
ИНФОРМАЦИИ В НПС

38
РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ
ПОЛОЖЕНИЯ 382-П

Выполнение требований к обеспечению защиты информации
осуществлении переводов денежных средств обеспечивается путем:

при

 применения организационных мер защиты информации;
 определения во внутренних документах порядка применения





организационных мер защиты информации;
использования технических средств защиты информации;
определения во внутренних документах порядка использования технических
средств защиты информации, включающего информацию о конфигурации,
определяющую параметры работы технических средств защиты информации;
определения лиц, ответственных за применение организационных мер защиты
информации и за использование технических средств защиты информации;
реализации контроля применения организационных мер защиты информации
и использования технических средств защиты информации.

39
РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ
ПОЛОЖЕНИЯ 382-П
Документирование процедур:

 Политика ИБ
 Частные политики ИБ (документы, детализирующие положения политики ИБ






применительно к одной или нескольким областям, в частности: обеспечение ИБ при
назначении и распределении ролей, на стадиях жизненного цикла системы защиты
информации, управление доступом, обеспечение антивирусной защиты,
обеспечению ИБ при использовании ресурсов сети Интернет, применение СКЗИ,
обеспечение ИБ платежных технологических процессов, управление инцидентами
при выполнении операций по переводу денежных средств и др.);
Регламенты/Положения/Порядки (документы, определяющие порядок выполнения
отдельных процедур, в частности: управления доступом к информационным
ресурсам, регистрации и анализа действий и операций, использования сети Интернет,
обеспечения антивирусной защиты, применения СКЗИ, обучения и повышения
осведомленности в области ИБ, управления инцидентами, организации и проведения
аудитов и самооценок и др.);
Инструкции пользователей;
Памятки/рекомендации для клиентов.

Свидетельства выполнения требований:

 Приказы, журналы регистрации и др.
40
РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ
ПОЛОЖЕНИЯ 382-П
Применение технических мер:

 Средства защиты информации от НСД;
 Системы управления доступом (IDM);
 Средства антивирусной защиты;
 Средства межсетевого экранирования (FW);
 Системы обнаружения и предотвращения вторжений (IDS, IPS);
 Системы веб-фильтрации;
 Средства построения VPN сетей;
 Средства анализа защищенности;
 Средства криптографической защиты информации;
 Средства сбора и анализа событий (SIEM);
 Средства резервного копирования

41
РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ
ПОЛОЖЕНИЯ 382-П

--- СЗИ от НСД, IDM системы
--- Backup
--- СЗИ от НСД, IDM системы
--- антивирусные средства
--- IPS, МЭ, Proxy, веб-фильтрация
--- СКЗИ, УЦ, VPN
--- СКЗИ

--- IPS, SIEM, сканеры безопасности

42
ПРЕЗЕНТАЦИЯ БРОШЮРЫ, ПОДГОТОВЛЕННОЙ
ЭКСПЕРТАМИ КОМПАНИИ LETA,
О ПРАКТИЧЕСКОМ ПОДХОДЕ К ВНЕДРЕНИЮ В
ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ РФ
ТРЕБОВАНИЙ НОРМАТИВНЫХ ДОКУМЕНТОВ ПО
ЗАЩИТЕ ИНФОРМАЦИИ В НПС

43
МЕТОДИЧЕСКИЕ МАТЕРИАЛЫ LETA

LETA выпустила практические
рекомендации по защите информации в
Национальной платежной системе
Издание содержит рекомендации экспертов
компании LETA по приведению
информационной безопасности
организаций, входящих в банковскую
систему РФ, в соответствие требованиям
нормативных документов по защите
информации в НПС.

44
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ
ИНФОРМАЦИИ В НПС

45
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ
ИНФОРМАЦИИ В НПС
Стратегия реализации требований нормативных документов по защите
информации в НПС:

 Разработана карта мероприятий, выполнение которых необходимо
для достижения заданной оценки уровня ИБ («сомнительная»,
«удовлетворительная», «хорошая»);
 Для каждого комплекса мероприятий по обеспечению ИБ
представлен подробный перечень рекомендуемых мероприятий;
 Для каждого мероприятия указывается № требования Положения
Банка России №382-П, обосновывающего необходимость выполнения
мероприятия, а также оценка уровня ИБ в группе мероприятий,
которую можно достигнуть при выполнении соответствующего
мероприятия;
 Представлены общие рекомендации (ограничения и возможные
послабления) по достижению заданной оценки уровня ИБ.

46
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ
ИНФОРМАЦИИ В НПС

Электронную версию брошюры можно скачать на
сайте Компании LETA:

Раздел «Библиотека»
--> Подраздел «Методические документы»

47
УСЛУГИ КОМПАНИИ LETA
ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС
Предварительная оценка соответствия требованиям Положения Банка России
от 09.06.2012 № 382-П (осуществляется предварительная оценка выполнения
требований, необходимых для реализации работ, детальные описание
свидетельств оценки соответствия не производится)

2-3 недели

Разработка рекомендации по приведению ИБ организации в соответствие
требованиям 382-П

2-3 недели

Разработка
пакета
организационно-распорядительной
документации,
покрывающего требования по обеспечению информационной безопасности в
НПС

3-4 недели

Оценка соответствия требования 382-П (с подготовкой Заключения о степени
выполнения требований и предоставлением документированных свидетельств
оценки соответствия)

1-2 недели

Техническое проектирование системы информационной безопасности в
соответствии с требованиями нормативных документов по защите
информации в НПС 161-ФЗ

3-4 недели

Внедрение технических средств защиты информации

От 2-х месяцев

48
ВОПРОСЫ

Компания LETA
109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2
Тел./факс: +7 (495) 921-1410
www.leta.ru

49

Más contenido relacionado

La actualidad más candente

проекты актов
проекты  актовпроекты  актов
проекты актовSro-lombard
 
Дорожная карта
Дорожная карта Дорожная карта
Дорожная карта Sro-lombard
 
Изменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардовИзменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардовSro-lombard
 
особенности осуществления валютных операций
особенности осуществления валютных операцийособенности осуществления валютных операций
особенности осуществления валютных операцийDaria Balitska
 
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...Victor Dostov
 
Презентация
Презентация Презентация
Презентация Sro-lombard
 
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Prostobank Consulting
 
Городская система удобных платежей (ИС РНиП)
Городская система удобных платежей (ИС РНиП)Городская система удобных платежей (ИС РНиП)
Городская система удобных платежей (ИС РНиП)Moscow IT Department
 
ИНСТРУМЕНТЫ РАЗВИТИЯ ЭКСПОРТНОЙ ДЕЯТЕЛЬНОСТИ ДЛЯ МСП. ГОСПОДДЕРЖКА, ПРОГРАММ...
ИНСТРУМЕНТЫ РАЗВИТИЯ  ЭКСПОРТНОЙ ДЕЯТЕЛЬНОСТИ ДЛЯ МСП. ГОСПОДДЕРЖКА, ПРОГРАММ...ИНСТРУМЕНТЫ РАЗВИТИЯ  ЭКСПОРТНОЙ ДЕЯТЕЛЬНОСТИ ДЛЯ МСП. ГОСПОДДЕРЖКА, ПРОГРАММ...
ИНСТРУМЕНТЫ РАЗВИТИЯ ЭКСПОРТНОЙ ДЕЯТЕЛЬНОСТИ ДЛЯ МСП. ГОСПОДДЕРЖКА, ПРОГРАММ...BDA
 
Внедрение ИС РНиП в учреждениях ДОгМ
Внедрение ИС РНиП в учреждениях ДОгМВнедрение ИС РНиП в учреждениях ДОгМ
Внедрение ИС РНиП в учреждениях ДОгМГБОУ «ТемоЦентр»
 
Безналичные платежи для ломбардов
Безналичные платежи для ломбардовБезналичные платежи для ломбардов
Безналичные платежи для ломбардовDmitry Plushevsky
 
Татфондбанк
ТатфондбанкТатфондбанк
Татфондбанкklinika32
 
Юридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииЮридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииTolkachev_and_Partners
 
Отчетность перед ЦБ РФ
Отчетность перед ЦБ РФОтчетность перед ЦБ РФ
Отчетность перед ЦБ РФSro-lombard
 
Безналичные платежи - взгляд потребителя, НАФИ
Безналичные платежи - взгляд потребителя, НАФИБезналичные платежи - взгляд потребителя, НАФИ
Безналичные платежи - взгляд потребителя, НАФИAleksandrs Baranovs
 
Strategy psys
Strategy psysStrategy psys
Strategy psysBankir_Ru
 
Ахметшина Ирина о защите прав потребителей в фин.сфере
Ахметшина Ирина  о защите прав потребителей в фин.сфереАхметшина Ирина  о защите прав потребителей в фин.сфере
Ахметшина Ирина о защите прав потребителей в фин.сфереБанковское обозрение
 
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)E-Money News
 

La actualidad más candente (20)

проекты актов
проекты  актовпроекты  актов
проекты актов
 
CB_3-4_2014_(web)-022-031
CB_3-4_2014_(web)-022-031CB_3-4_2014_(web)-022-031
CB_3-4_2014_(web)-022-031
 
Дорожная карта
Дорожная карта Дорожная карта
Дорожная карта
 
Изменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардовИзменения в нормативном регулировании деятельности ломбардов
Изменения в нормативном регулировании деятельности ломбардов
 
особенности осуществления валютных операций
особенности осуществления валютных операцийособенности осуществления валютных операций
особенности осуществления валютных операций
 
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
02 Штевнина Наталья - ЕРИП - история успеха национального стартапа
 
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
 
Презентация
Презентация Презентация
Презентация
 
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
Отчет об условиях IT сервисов и услуг для частных клиентов, август 2014
 
Городская система удобных платежей (ИС РНиП)
Городская система удобных платежей (ИС РНиП)Городская система удобных платежей (ИС РНиП)
Городская система удобных платежей (ИС РНиП)
 
ИНСТРУМЕНТЫ РАЗВИТИЯ ЭКСПОРТНОЙ ДЕЯТЕЛЬНОСТИ ДЛЯ МСП. ГОСПОДДЕРЖКА, ПРОГРАММ...
ИНСТРУМЕНТЫ РАЗВИТИЯ  ЭКСПОРТНОЙ ДЕЯТЕЛЬНОСТИ ДЛЯ МСП. ГОСПОДДЕРЖКА, ПРОГРАММ...ИНСТРУМЕНТЫ РАЗВИТИЯ  ЭКСПОРТНОЙ ДЕЯТЕЛЬНОСТИ ДЛЯ МСП. ГОСПОДДЕРЖКА, ПРОГРАММ...
ИНСТРУМЕНТЫ РАЗВИТИЯ ЭКСПОРТНОЙ ДЕЯТЕЛЬНОСТИ ДЛЯ МСП. ГОСПОДДЕРЖКА, ПРОГРАММ...
 
Внедрение ИС РНиП в учреждениях ДОгМ
Внедрение ИС РНиП в учреждениях ДОгМВнедрение ИС РНиП в учреждениях ДОгМ
Внедрение ИС РНиП в учреждениях ДОгМ
 
Безналичные платежи для ломбардов
Безналичные платежи для ломбардовБезналичные платежи для ломбардов
Безналичные платежи для ломбардов
 
Татфондбанк
ТатфондбанкТатфондбанк
Татфондбанк
 
Юридический статус Bitcoin в России
Юридический статус Bitcoin в РоссииЮридический статус Bitcoin в России
Юридический статус Bitcoin в России
 
Отчетность перед ЦБ РФ
Отчетность перед ЦБ РФОтчетность перед ЦБ РФ
Отчетность перед ЦБ РФ
 
Безналичные платежи - взгляд потребителя, НАФИ
Безналичные платежи - взгляд потребителя, НАФИБезналичные платежи - взгляд потребителя, НАФИ
Безналичные платежи - взгляд потребителя, НАФИ
 
Strategy psys
Strategy psysStrategy psys
Strategy psys
 
Ахметшина Ирина о защите прав потребителей в фин.сфере
Ахметшина Ирина  о защите прав потребителей в фин.сфереАхметшина Ирина  о защите прав потребителей в фин.сфере
Ахметшина Ирина о защите прав потребителей в фин.сфере
 
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
СПИК 2009: С кем конкурируют электронные деньги (Яндекс.Деньги)
 

Similar a Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п

Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбоЕвгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБОЕвгений Царев
 
Международные платежные системы
Международные платежные системыМеждународные платежные системы
Международные платежные системыVeronica Narozhnaya
 
положение цб россии № 382 п
положение цб россии № 382 пположение цб россии № 382 п
положение цб россии № 382 пAKlimchuk
 
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...Moscow IT Department
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Aleksey Lukatskiy
 
вопрос 2 презентация гис гмп_артюхин
вопрос 2 презентация гис гмп_артюхинвопрос 2 презентация гис гмп_артюхин
вопрос 2 презентация гис гмп_артюхинVictor Gridnev
 
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...socamp2011
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыКРОК
 
дипломная презентация по национальной платежной системе рф
дипломная презентация по национальной платежной системе рфдипломная презентация по национальной платежной системе рф
дипломная презентация по национальной платежной системе рфIvan Simanov
 
Банковское обслуживание валютных контрактов
Банковское обслуживание валютных контрактовБанковское обслуживание валютных контрактов
Банковское обслуживание валютных контрактовBDA
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
 
Тенденции в сфере регулирования электронных денег в Украине - Вераника Пучковая
Тенденции в сфере  регулирования электронных денег в Украине - Вераника ПучковаяТенденции в сфере  регулирования электронных денег в Украине - Вераника Пучковая
Тенденции в сфере регулирования электронных денег в Украине - Вераника ПучковаяUBA-komitet
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Expolink
 
Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСAleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceProcontent.Ru Magazine
 

Similar a Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п (20)

Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбо
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБО
 
Международные платежные системы
Международные платежные системыМеждународные платежные системы
Международные платежные системы
 
положение цб россии № 382 п
положение цб россии № 382 пположение цб россии № 382 п
положение цб россии № 382 п
 
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
 
вопрос 2 презентация гис гмп_артюхин
вопрос 2 презентация гис гмп_артюхинвопрос 2 презентация гис гмп_артюхин
вопрос 2 презентация гис гмп_артюхин
 
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
Платежные инструменты для НКО в свете нового закона о НПС Дарья Огородникова,...
 
Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
 
дипломная презентация по национальной платежной системе рф
дипломная презентация по национальной платежной системе рфдипломная презентация по национальной платежной системе рф
дипломная презентация по национальной платежной системе рф
 
Банковское обслуживание валютных контрактов
Банковское обслуживание валютных контрактовБанковское обслуживание валютных контрактов
Банковское обслуживание валютных контрактов
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
 
Тенденции в сфере регулирования электронных денег в Украине - Вераника Пучковая
Тенденции в сфере  регулирования электронных денег в Украине - Вераника ПучковаяТенденции в сфере  регулирования электронных денег в Украине - Вераника Пучковая
Тенденции в сфере регулирования электронных денег в Украине - Вераника Пучковая
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
Anti money laundering
Anti money launderingAnti money laundering
Anti money laundering
 
Bankrf 281013
Bankrf 281013Bankrf 281013
Bankrf 281013
 
Краткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПСКраткий обзор требований по защите информации в НПС
Краткий обзор требований по защите информации в НПС
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
1 правила пс смарти
1 правила пс смарти1 правила пс смарти
1 правила пс смарти
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
 

Más de LETA IT-company

Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыLETA IT-company
 
SafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureSafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureLETA IT-company
 
Построение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыПостроение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыLETA IT-company
 
построение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыпостроение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыLETA IT-company
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленностиLETA IT-company
 
Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)LETA IT-company
 
Защита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftЗащита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftLETA IT-company
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работаетLETA IT-company
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеLETA IT-company
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.LETA IT-company
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений LETA IT-company
 
Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыLETA IT-company
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?LETA IT-company
 
Борьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыБорьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыLETA IT-company
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаLETA IT-company
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
Построение системы защиты банкомантых сетей
Построение системы защиты банкомантых сетейПостроение системы защиты банкомантых сетей
Построение системы защиты банкомантых сетейLETA IT-company
 

Más de LETA IT-company (20)

Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктуры
 
SafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureSafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual Infrastructure
 
Построение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыПостроение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктуры
 
построение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыпостроение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктуры
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленности
 
Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)
 
Защита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftЗащита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации Stonesoft
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работает
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решение
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений
 
Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базы
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?
 
Борьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыБорьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходы
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практика
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 
Построение системы защиты банкомантых сетей
Построение системы защиты банкомантых сетейПостроение системы защиты банкомантых сетей
Построение системы защиты банкомантых сетей
 

Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п

  • 1. Защита информации в национальной платежной системе Ольга Садовникова Руководитель группы консалтинга по информационной безопасности ЗАО «ЛЕТА» Декабрь 2013 +7 (495) 921 1410 / www.leta.ru
  • 2. ПРОГРАММА ВЕБИНАРА  Краткий обзор законодательства РФ о национальной платежной системе (НПС);  Требования по защите информации в НПС: краткий обзор Положения Банка России № 382-П;  Предоставление отчетности по обеспечению защиты информации при осуществлении переводов денежных средств: установленные сроки, периодичность и ответственность;  Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС: порядок проведения оценки, методика, документирование результатов;  Общие рекомендации по реализации требований нормативных документов по защите информации в НПС;  Презентация брошюры, подготовленной экспертами компании LETA, о практическом подходе к внедрению в организациях банковской системы РФ требований нормативных документов по защите информации в НПС 2
  • 3. КРАТКИЙ ОБЗОР ЗАКОНОДАТЕЛЬСТВА РФ О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ (НПС) 3
  • 4. ЧТО ТАКОЕ НПС Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» Национальная платежная система – это совокупность:  операторов платежных систем;  операторов услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр);  операторов по переводу денежных средств (включая операторов электронных денежных средств);  банковских платежных агентов (субагентов);  платежных агентов;  организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством РФ. 4
  • 5. ЧТО ТАКОЕ НПС СУБЪЕКТЫ НПС операторы платежных систем операторы услуг платежной инфраструктуры Определены требования к их деятельности и, в частности, к обеспечению ИБ операторы по переводу денежных средств (операторы электронных денежных средств) банковские платежные агенты банковские платежные субагенты платежные субагенты Федеральный закон от 03.06.2009 №103-ФЗ «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами» организации федеральной почтовой связи Федеральный закон от 17.07.1999 № 176-ФЗ «О почтовой связи» 5
  • 6. ПЛАТЕЖНАЯ СИСТЕМА Платежная система – совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая:  оператора платежной системы,  операторов услуг платежной инфраструктуры  участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств. Участники платежной системы - организации, присоединившиеся к правилам платежной системы в целях оказания услуг по переводу денежных средств 6
  • 7. ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ Оператор платежной системы – организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные 161-ФЗ. Оператором платежной системы может являться:  кредитная организация  организация, не являющаяся кредитной организацией;  Банк России;  Внешэкономбанк. Организация, намеревающаяся стать оператором платежной системы, должна направить в Банк России регистрационное заявление по форме и в порядке, которые установлены Банком России. Положение Банка России от 02.05.2012 № 378-П «О порядке направления в Банк России заявления о регистрации оператора платежной системы» 7
  • 9. РЕЕСТР ОПЕРАТОРОВ ПЛАТЕЖНОЙ СИСТЕМ На данный момент в рамках НПС официально присутствуют 29 зарегистрированных в Реестре операторов платежных систем и Банк России – оператор платежной системы Банка России Банк России – 161-ФЗ (ст. 15); Положение ЦБ РФ № 384-П «О платежной системе Банка России» Платежная система Банка России АКБ «РУССЛАВБАНК» (ЗАО) – Платежная система CONTACT ОАО КБ «ЮНИСТРИМ» – Система денежных переводов «ЮНИСТРИМ» ООО «НКО «Вестерн Юнион ДП Восток» – Платежная Система Вестерн Юнион (РЦ – ОАО Банк ВТБ и НКО «ОРС» (ОАО)) 161-ФЗ (ст. 15); Положение ЦБ 378-П «О порядке направления в Банк России заявление о регистрации ОПС» ЗАО «Национальные кредитные карточки» – Платежная система NCC (NATIONAL CREDIT CARDS) (РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК») ЗАО «Процессинговая компания «Юнион Кард» – Платежная система «Юнион Кард» (UNION CARD) (РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК«) ... 9
  • 10. ОПЕРАТОРЫ УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ Операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями. Платежный клиринговый центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств и выполнение иных действий, предусмотренных Федеральным законом № 161-ФЗ. Расчетный центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы. 10
  • 11. ОПЕРАТОРЫ ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ Оператор по переводу денежных средств – организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств. Операторами по переводу денежных средств являются:  Банк России;  кредитные организации, имеющие право на осуществление перевода денежных средств;  Внешэкономбанк. Все банки являются Операторами по переводу денежных средств, так как, как минимум, они являются участниками платежной системы Банка России. 11
  • 12. БАНКОВСКИЕ ПЛАТЕЖНЫЕ АГЕНТЫ (СУБАГЕНТЫ) Банковский платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления деятельности, предусмотренной Федеральным законом № 161-ФЗ:  для принятия от физического лица наличных денежных средств и (или) выдачи физическому лицу наличных денежных средств, в том числе с применением платежных терминалов и банкоматов;  для предоставления клиентам электронных средств платежа и обеспечения возможности использования указанных электронных средств платежа в соответствии с условиями, установленными оператором по переводу денежных средств;  для проведения идентификации клиента - физического лица, его представителя и (или) выгодоприобретателя в целях осуществления перевода денежных средств без открытия банковского счета. Банковский платежный субагент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления деятельности, предусмотренной Федеральным законом № 161-ФЗ. 12
  • 13. ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» Постановления Правительства РФ  № 584 «Об утверждении Положения о защите информации в платежной системе» Положения Банка России      № 378-П № 379-П №380-П №381-П № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» Указания Банка России      № 2693-У № 2694-У № 2695-У № 2814-У № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»  № 2836-У  №383-П  №384-П 13
  • 14. ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» Статья 27. Обеспечение защиты информации в платежной системе  Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством РФ.  Правительство РФ устанавливает требования к защите указанной информации.  Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с ФСТЭК и ФСБ России. 14
  • 15. НАДЗОРНЫЕ ОРГАНЫ Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» Надзор за соблюдениями требования закона обеспечивают: ФСТЭК России ФСБ России Осуществляют контроль и надзор за выполнением требований, установленных Правительством РФ без права ознакомления с защищаемой информацией Банк России Осуществляет контроль за соблюдением требований, установленных Банком России, в рамках надзора в НПС в установленном порядке 15
  • 16. ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» 16
  • 17. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №584 Устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе. Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных:  на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;  на соблюдение конфиденциальности информации;  на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации. 17
  • 18. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №584 Требования к составу правил платежной системы:  создание службы ИБ или назначение должностного лица, ответственного за организацию защиты информации;  включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;  определение угроз безопасности информации и анализ уязвимости ИС;  анализ и управление рисками нарушения требований к защите информации;  разработка и реализация систем защиты информации в ИС;  применение средств защиты информации;  выявление и реагирование на инциденты ИБ;  обеспечение защиты информации при использовании информационнотелекоммуникационных сетей общего пользования;  определение порядка доступа обрабатывающим информацию; к объектам инфраструктуры ПС,  организация и проведение контроля и оценки соответствия на собственных объектах инфраструктуры не реже 1 раза в 2 года. 18
  • 19. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №584 Требования к составу применяемых средств защиты информации:  шифровальные (криптографические) средства,  средства защиты информации от несанкционированного доступа,  средства антивирусной защиты,  средства межсетевого экранирования,  системы обнаружения вторжений,  средства контроля (анализа) защищенности Для проведения работ по защите информации могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации. Контроль (оценка) соблюдения требований к защите информации осуществляется самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. 19
  • 20. ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 № 382-П) 20
  • 21. ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС: КРАТКИЙ ОБЗОР ПОЛОЖЕНИЯ БАНКА РОССИИ № 382-П 21
  • 22. ПОЛОЖЕНИЕ БАНКА РОССИИ №382-П Устанавливает конкретные требования к защите информации при осуществлении переводов денежных средств, обязательные для выполнения:  операторами по переводу денежных средств,  операторами платежных систем,  операторами услуг платежной инфраструктуры,  банковскими платежными агентами (субагентами); Устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в НПС. 22
  • 23. ПОЛОЖЕНИЕ БАНКА РОССИИ №382-П Для каждого типа субъектов НПС свой набор требований: Сокращения: ОПС – оператор платежной системы; ОПДС – оператор по переводу денежных средств; ОУПИ – оператор услуг платежной инфраструктуры; БПА (БПСА) – банковские платежные агенты (субагенты) юридические лица / индивидуальные предприниматели 23
  • 25. ПОЛОЖЕНИЕ БАНКА РОССИИ №382-П  Оператор по переводу денежных средств, Оператор платежной системы, Оператор услуг платежной инфраструктуры обеспечивают проведение оценки выполнения требований к обеспечению защиты информации при осуществлении перевода денежных средств (оценка соответствия).  Оценка соответствия проводится не реже одного раза в два года, а также по требованию Банка России.  Оценка соответствия осуществляется операторами самостоятельно или с привлечением сторонних организаций.  Порядок проведения оценки соответствия и документирования ее результатов определен в Приложении 1 к 382-П.  Перечень требований, выполнение которых проверяется при проведении оценки соответствия определен в Приложении 2 к 382-П. 25
  • 26. ПРЕДОСТАВЛЕНИЕ ОТЧЕТНОСТИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ: УСТАНОВЛЕННЫЕ СРОКИ, ПЕРИОДИЧНОСТЬ И ОТВЕТСТВЕННОСТЬ 26
  • 27. ЗАКОНОДАТЕЛЬНАЯ БАЗА В ОБЛАСТИ НПС Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 № 382-П) Указание Банка России от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» 27
  • 28. УКАЗАНИЕ БАНКА РОССИИ № 2831-У ОТЧЕТНОСТЬ ПО ФОРМЕ 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств»  предоставляется не позднее тридцати рабочих дней со дня завершения проведения оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка № 382-П ОТЧЕТНОСТЬ ПО ФОРМЕ 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств»  предоставляется ежемесячно не позднее десятого рабочего дня месяца, следующего за отчетным;  предоставляется по требованию Банка 28
  • 29. СРОКИ ПРЕДОСТАВЛЕНИЯ ОТЧЕТНОСТИ 0403202 Указание Банка России от 05.06.2013 № 3007-У «О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса. Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания Начало действия документа (за исключением отдельных положений) 10.07.2013. 29
  • 30. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ПО ПРЕДОСТАВЛЕНИЮ ОТЧЕТНОСТИ Инструкция Банка России от 31.03.1997 № 59 «О применении к кредитным организациям мер воздействия за нарушения пруденциальных норм деятельности» «1.25. Меры воздействия, применяемые к кредитной организации за нарушение требований по представлению и/или опубликованию отчетности в открытой печати в случаях, установленных федеральными законами, а также представлению аудиторских заключений» 1.25.2. Если кредитной организацией нарушены сроки представления отчетности и/или ее опубликования в открытой печати в случаях, установленных федеральными законами, представления аудиторского заключения, копий издания, в котором опубликован отчет, но указанные документы представлены в течение 5 дней с установленной Банком России даты, надзорный орган вправе взыскать штраф. 1.25.4. Штраф в размере до 0,05 процента от размера минимального уставного капитала может быть взыскан при однократном нарушении кредитной организацией в течение последних двенадцати месяцев сроков представления отчетности и в размере от 0,05 до 0,1 процента при 2кратном нарушении. В настоящий момент размер минимального уставного капитала установлен на уровне 180 млн. руб. Таким образом, штраф составит от 90 тыс. руб. до 180 тыс. руб. Кроме того, банк обяжут подать отчетность (выпишут предписание). 30
  • 31. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ПО ПРЕДОСТАВЛЕНИЮ ОТЧЕТНОСТИ Инструкция Банка России от 31.03.1997 № 59 «О применении к кредитным организациям мер воздействия за нарушения пруденциальных норм деятельности» 1.25.6. В случае невыполнения кредитной организацией установленных предписанием требований о соблюдении сроков представления отчетности более двух раз в течение последних двенадцати месяцев, опубликования отчетности в открытой печати, представления аудиторского заключения, копий издания, в котором опубликован отчет, с нее может взыскиваться штраф в размере 1 процента от величины оплаченного уставного капитала, но не более 1 процента от минимального размера уставного капитала, либо могут быть применены другие меры воздействия, предусмотренные ст. 75 Федерального закона "О Центральном банке Российской Федерации (Банке России)" и настоящей Инструкцией. Таким образом штраф составит уже 1 млн. 800 тыс. руб., а также могут последовать и другие меры воздействия (вплоть до отзыва лицензии). 31
  • 32. ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ ОЦЕНКИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В НПС: ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ, МЕТОДИКА, ДОКУМЕНТИРОВАНИЕ РЕЗУЛЬТАТОВ 32
  • 33. ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ ТРЕБОВАНИЯ КАТЕГОРИИ ПРОВЕРКИ 1  оценка выполнения требований к обеспечению защиты информации при  осуществлении переводов денежных средств, реализуемых применением организационных мер защиты информации или использованием технических средств защиты информации; используемая шкала: 0 … 0,25 … 0,5 … 0,75 … 1 ТРЕБОВАНИЯ КАТЕГОРИИ ПРОВЕРКИ 2  оценка выполнения требований к обеспечению защиты информации при  осуществлении переводов денежных средств, устанавливающих необходимость обеспечения наличия определенного Положением № 382-П документа; используемая шкала: 0 … 1 ТРЕБОВАНИЯ КАТЕГОРИИ ПРОВЕРКИ 3  оценка выполнения требований к обеспечению защиты информации при  осуществлении переводов денежных средств, устанавливающих необходимость выполнения определенной Положением № 382-П деятельности; используемая шкала: 0 … 0,5 … 1 33
  • 34. ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ: EV1ПС EV2 ПС 34
  • 35. ПОРЯДОК ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ РАСЧЕТ ОБОБЩАЮЩИХ ПОКАЗАТЕЛЕЙ: EV1ПС среднее арифметическое оценок выполнения требований, определенных в пунктах 2.4 - 2.10 Положения №382-П, умноженное на корректирующий коэффициент k1 EV2 среднее арифметическое оценок выполнения требований, определенных в пунктах 2.11 - 2.17 Положения №382-П, умноженное на корректирующий коэффициент k2 ПС R = MIN(EV1 , EV2 ) ПС ПС ПС) 35
  • 36. РЕЗУЛЬТАТЫ ОЦЕНКИ СООТВЕТСТВИЯ RПС >=   0.85 работа по обеспечению защиты информации на необходимом уровне обеспечивает выполнение установленных требований; значение качественной оценки выполнения требований – «хорошая»; 0,7 <= RПС < 0,85  работа по обеспечению защиты информации в целом обеспечивает выполнение установленных требований;  значение качественной оценки выполнения требований – «удовлетворительная»; 0,5 <= RПС < 0,7  работа по обеспечению защиты информации не в полной мере обеспечивает  выполнение установленных требований; значение качественной оценки выполнения требований – «сомнительная»; RПС < 0,5  работа по обеспечению защиты информации не обеспечивает выполнение  установленных требований значение качественной оценки выполнения требований «неудовлетворительная» 36
  • 37. ФОРМЫ ДОКУМЕНТИРОВАНИЯ РЕЗУЛЬТАТОВ ОЦЕНКИ СООТВЕТСТВИЯ ФОРМА 1. Документирование результатов оценки соответствия ФОРМА 2. Документирование результатов вычислений обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств 37
  • 38. РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ НОРМАТИВНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС 38
  • 39. РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ПОЛОЖЕНИЯ 382-П Выполнение требований к обеспечению защиты информации осуществлении переводов денежных средств обеспечивается путем: при  применения организационных мер защиты информации;  определения во внутренних документах порядка применения     организационных мер защиты информации; использования технических средств защиты информации; определения во внутренних документах порядка использования технических средств защиты информации, включающего информацию о конфигурации, определяющую параметры работы технических средств защиты информации; определения лиц, ответственных за применение организационных мер защиты информации и за использование технических средств защиты информации; реализации контроля применения организационных мер защиты информации и использования технических средств защиты информации. 39
  • 40. РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ПОЛОЖЕНИЯ 382-П Документирование процедур:  Политика ИБ  Частные политики ИБ (документы, детализирующие положения политики ИБ    применительно к одной или нескольким областям, в частности: обеспечение ИБ при назначении и распределении ролей, на стадиях жизненного цикла системы защиты информации, управление доступом, обеспечение антивирусной защиты, обеспечению ИБ при использовании ресурсов сети Интернет, применение СКЗИ, обеспечение ИБ платежных технологических процессов, управление инцидентами при выполнении операций по переводу денежных средств и др.); Регламенты/Положения/Порядки (документы, определяющие порядок выполнения отдельных процедур, в частности: управления доступом к информационным ресурсам, регистрации и анализа действий и операций, использования сети Интернет, обеспечения антивирусной защиты, применения СКЗИ, обучения и повышения осведомленности в области ИБ, управления инцидентами, организации и проведения аудитов и самооценок и др.); Инструкции пользователей; Памятки/рекомендации для клиентов. Свидетельства выполнения требований:  Приказы, журналы регистрации и др. 40
  • 41. РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ПОЛОЖЕНИЯ 382-П Применение технических мер:  Средства защиты информации от НСД;  Системы управления доступом (IDM);  Средства антивирусной защиты;  Средства межсетевого экранирования (FW);  Системы обнаружения и предотвращения вторжений (IDS, IPS);  Системы веб-фильтрации;  Средства построения VPN сетей;  Средства анализа защищенности;  Средства криптографической защиты информации;  Средства сбора и анализа событий (SIEM);  Средства резервного копирования 41
  • 42. РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ПОЛОЖЕНИЯ 382-П --- СЗИ от НСД, IDM системы --- Backup --- СЗИ от НСД, IDM системы --- антивирусные средства --- IPS, МЭ, Proxy, веб-фильтрация --- СКЗИ, УЦ, VPN --- СКЗИ --- IPS, SIEM, сканеры безопасности 42
  • 43. ПРЕЗЕНТАЦИЯ БРОШЮРЫ, ПОДГОТОВЛЕННОЙ ЭКСПЕРТАМИ КОМПАНИИ LETA, О ПРАКТИЧЕСКОМ ПОДХОДЕ К ВНЕДРЕНИЮ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ РФ ТРЕБОВАНИЙ НОРМАТИВНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС 43
  • 44. МЕТОДИЧЕСКИЕ МАТЕРИАЛЫ LETA LETA выпустила практические рекомендации по защите информации в Национальной платежной системе Издание содержит рекомендации экспертов компании LETA по приведению информационной безопасности организаций, входящих в банковскую систему РФ, в соответствие требованиям нормативных документов по защите информации в НПС. 44
  • 45. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС 45
  • 46. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС Стратегия реализации требований нормативных документов по защите информации в НПС:  Разработана карта мероприятий, выполнение которых необходимо для достижения заданной оценки уровня ИБ («сомнительная», «удовлетворительная», «хорошая»);  Для каждого комплекса мероприятий по обеспечению ИБ представлен подробный перечень рекомендуемых мероприятий;  Для каждого мероприятия указывается № требования Положения Банка России №382-П, обосновывающего необходимость выполнения мероприятия, а также оценка уровня ИБ в группе мероприятий, которую можно достигнуть при выполнении соответствующего мероприятия;  Представлены общие рекомендации (ограничения и возможные послабления) по достижению заданной оценки уровня ИБ. 46
  • 47. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС Электронную версию брошюры можно скачать на сайте Компании LETA: Раздел «Библиотека» --> Подраздел «Методические документы» 47
  • 48. УСЛУГИ КОМПАНИИ LETA ПО ЗАЩИТЕ ИНФОРМАЦИИ В НПС Предварительная оценка соответствия требованиям Положения Банка России от 09.06.2012 № 382-П (осуществляется предварительная оценка выполнения требований, необходимых для реализации работ, детальные описание свидетельств оценки соответствия не производится) 2-3 недели Разработка рекомендации по приведению ИБ организации в соответствие требованиям 382-П 2-3 недели Разработка пакета организационно-распорядительной документации, покрывающего требования по обеспечению информационной безопасности в НПС 3-4 недели Оценка соответствия требования 382-П (с подготовкой Заключения о степени выполнения требований и предоставлением документированных свидетельств оценки соответствия) 1-2 недели Техническое проектирование системы информационной безопасности в соответствии с требованиями нормативных документов по защите информации в НПС 161-ФЗ 3-4 недели Внедрение технических средств защиты информации От 2-х месяцев 48
  • 49. ВОПРОСЫ Компания LETA 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410 www.leta.ru 49