2. Федеральный закон РоссийскойФедерации от 27 июня 2011 г.
№ 161-ФЗ "О национальной платежной системе"
Ведомственные документы Банка России
Постановление Правительства Российской Федерации от 13 июня 2012 г. №
584 "Об утверждении Положения о защите информации в платежной системе
Положение Банка России от 31 мая 2012 года
№ 380-П "О порядке осуществления
наблюдения в национальной платежной
системе"
Положение Банка России от 9 июня 2012
№ 381-П "О порядке осуществления
надзора за соблюдением не являющимися
кредитными организациями операторами
платежных систем, операторами услуг
платежной инфраструктуры требований
Федерального закона от 27 июня 2011 года
N 161-ФЗ "О национальной платежной
системе",принятых в соответствие с ним
нормативных актов Банка России"
Положении Банка России от 9 июня 2012
года № 382-П “О требованиях к
обеспечению защиты информации при
осуществлениипереводов денежных
средств и о порядке осуществления
Банком России контроля за соблюдением
требований к обеспечению защиты
информации при осуществлении
переводов денежных средств”
УказанииБанка
Россииот 9 июня
2012 года №2831-
У “Об отчетности по
обеспечению
защиты информации
при осуществлении
переводов
денежных средств
операторов
платежных
систем, операторов
услуг платежной
инфраструктуры, оп
ераторов по
переводу денежных
средств”
Положение Банка России от 31 мая
2012 г. № 379-П “О бесперебойности
функционированияплатежных систем
и анализе рисков в платежных
системах”
3. Зачем все это?
Глобальные системы
расчетов
Тренд «в облака»
НПС как мировой
тренд
Объединение самых
разных инцидентов
под эгидой ЦБ
4. Классические ошибки/проблемы оценки
соответствия по 382-П
Непродуманная этапность работы
Недостаточное понимание аудитором
платежного процесса
Неверная интерпретация «шкалы» (требования
категории проверки)
Необоснованная пессимизация показателя
Необоснованное завышение показателя
Ошибки при сборе свидетельств
Обоснование не соответствует выставленной
оценке
Терминологические проблемы (инцидент)
5. «Этапность» проведения оценки
1. Анализ документов
2. Проведение интервью
3. Анализ свидетельств
4. Проведение итоговой оценки соответствия
6. «Этапность» проведения оценки
1. Анализ документов
2. Проведение интервью
3. Анализ свидетельств
4. Проведение предварительной оценки
соответствия
5. Сбор недостающих свидетельств
6. Анализ свидетельств
7. Проведение итоговой оценки соответствия
9. «Шкалы»
Требование
категории
проверки 1
выполняется
выполняется
почти в полном
объеме
выполняется не в
полном объеме
не выполняется
документировано 1 0,75 0,5 0,25
не
документировано
0
Требование категории проверки 2
документировано 1
не документировано 0
Требование
категории
проверки 3
выполняется
выполняется
частично
не выполняется
1 0,5 0
13. Важно по 3007-У (Поправки в 382-П)
1. Честь новых требований уже действуют
(106.1, 106.2, 113.1, 113.2)
2. Как отчитываться по проведенной оценке?
1. 202-я форма
2. Форма 1
3. Сведения о сторонней организации
14. Ошибки при сборе свидетельств
1. Запросили и проанализировали документы по
ИБ
2. Опросили безопасников, кадровиков и
руководство
3. Ничего не спрашиваем у бизнеса иили ИТ
Фантазируем при документировании результатов
оценки
15. Внедрение требований 382-П в проектном
режиме
1. План устранения несоответствий:
– Несоответствие из Формы 1
– Мероприятие
– Ответственный/Участники
– Срок
– Ресурсы
2. Подготовка документов
3. Внедрение процессов (отдельно - Система
управления инцидентами)