Data Security Center (aideco) wrote,
Data Security Center
aideco

Правительство утвердило положение о защите информации в платежных системах

Постановлением от 13 июня 2012 г. № 584 в соответствии со статьей 27 Федерального закона «О национальной платежной системе» правительством РФ утверждено положение о защите информации в платежной системе. Постановление вступит в силу с 1 июля 2012 г.

Документ устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.

Согласно документу, защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами этих платежных систем в правила платежных систем. Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации; соблюдение конфиденциальности информации; реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.

Правила платежной системы должны предусматривать в том числе следующие требования к защите информации: создание и организация функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации; включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации; осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем; проведение анализа рисков нарушения требований к защите информации и управление такими рисками; разработка и реализация систем защиты информации в информационных системах.

Кроме того, правила должны предусматривать: применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности); выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них; обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования; определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию; организацию и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года.

Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и/или на деятельность по разработке и производству средств защиты конфиденциальной информации.

Контроль соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Операторы и агенты утверждают локальные правовые акты, устанавливающие порядок реализации требований к защите информации.

Требования к защите информации реализуются в случае разработки и создания информационных систем — на всех стадиях (этапах) их создания и эксплуатации, а также в случае приобретения информационных систем — при вводе их в эксплуатацию и при эксплуатации.

Применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации, сообщается в документе.


По материалам cnews.ru

Tags: законодательство, персональные данные
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments