Медведев утвердил требования к безопасности национальной платежной системы

Новое "Положение о защите информации в платежной системе", подписанное премьер-министром, сократилось в объеме в три с лишним раза по сравнению со своим проектом. Оно вступит в силу 1 июля 2012 г. На сайте российского правительства опубликовано новое "Положение о защите информации в платежной системе", подписанное премьер-министром Дмитрием Медведевым 13 июня 2012 г. Документ должен вступить в силу 1 июля 2012 г. Новое положение - это окончательный вариант документа, впервые опубликованного ФСТЭК в начале 2012 г. Интересно, что в ходе доработок из названия требований к защите информации в Национальной платежной системе было исключено слово "национальный". Вторым заметным изменением стало принципиальное сокращение документа: его объем сократился в 3,5 раза, а число пунктов уменьшилось с 19 до 17. Сокращение текста достигнуто за счет исключения из текста множества законодательных тавтологий, то есть требований к защите информации, которые уже присутствуют либо в Законе "О национальной платежной системе", либо в Законах "Об электронной подписи" и "О персональных данных". В целом, положение предъявляет к операторам (кредитным организациям) и агентам (непосредственно принимающим платежи) Национальной платежной системы вполне ожидаемые требования. Так, документ требует от оператора и агента платежной системы во-первых, создать структурное подразделение либо назначить сотрудника, ответственного за информационную безопасность, включить требования по защите информации в должностные инструкции сотрудников, работающих с платежной системой. Кроме того, оператор должен спроектировать систему технической защиты информации с учетом возможности перехвата информации в интернете обязан установить правила доступа к средствам обработки информации, разработать пакет внутренних документов о защите информации и организовать мониторинг выполнения установленных правил, выявление инцидентов и систему реагирования. Интересно, что, как заметил в своем блоге эксперт по безопасности Михаил Емельянников из компании "Емельянников, Попова и партнеры", в документе нет упоминаний об оценке соответствия средств защиты информации, то есть об их обязательной сертификации в ФСБ и ФСТЭК. Тем не менее, документ содержит полный перечень средств защиты, упоминая криптографические, антивирусные, межсетевые экраны, средства защиты от несанкционированного доступа, системы обнаружения вторжений и средства контроля защищенности. Возможно, отсутствие упоминаний об обязательной оценке соответствия - это упущение составителей положения. В то же время, не исключено, что это следствие борьбы авторов текста с законодательными тавтологиями за сокращение объема документа. CNews http://safe.cnews.ru/news/top/index.shtml?2012/06/20/493642

Последние новости: