Документ описывает требования по защите информации для организаторов торговли в рамках национальной платежной системы России, включая положения, утвержденные Банком России. Основное внимание уделяется мерам защиты информации, управления доступом, а также поддержанию безопасности баз данных и автоматизированных систем. Положение 382-п служит основой для унификации требований в данной области, при этом замечается совпадение с положением 437-п.

1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Требования по защите
информации для
организаторов торговли
Алексей Лукацкий
Бизнес-консультант по безопасности Cisco
28 February 2015

2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Что такое Национальная платежная система?
• Помимо
традиционных
денежных переводов
в НПС входят
Системы платежных карт
Мобильный банкинг
Телефонный банкинг
Банкоматы и платежные
терминалы
ДБО
Организаторы торговли
(биржи)
…

3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Положение 382-П – основной документ по ИБ в НПС
Назначение и
распределение прав
и обязанностей
Этапы жизненного
цикла объектов
информационной
инфраструктуры
Доступ к объектам
информационной
инфраструктуры
Защита от
несанкционированного
доступа
Защита от
вредоносного кода
Защита при
использовании
Интернет и защита
ДБО
Применение СКЗИ
Контроль выполнения
технологии обработки
защищаемой
информации
Организация и
функционирование
подразделения ИБ
Повышение
осведомленности
работников и
клиентов
Выявление
инцидентов и
реагирование на них
Регламентация и
документирование
деятельности по
обеспечению защиты
информации
Оценка выполнения
требований
Информирование
оператора платежной
системы ее
участниками об ОЗИ
Совершенствование
инфраструктуры
защиты
Безопасность
банкоматов и
платежных
терминалов
Безопасность
платежных карт

4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
ПОЛОЖЕНИЕ ПО ПРОВЕДЕНИЮ
ОРГАНИЗОВАННЫХ ТОРГОВ

5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Положение Банка России 437-П
• Положение Банка России №437-П «Положение о
деятельности по проведению организованных
торгов»
Утверждено 17.10.2014
Зарегистрировано в Минюсте 30.12.2014
Опубликовано в «Вестнике Банка России» №5 (1601) за
2015 год
Вступило в силу 06.02.2015

6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Что устанавливает положение?
• Организатор торговли утверждает внутренний документ, устанавливающий
требования к порядку хранения и защиты информации и документов, связанных
с проведением организованных торгов, а также к сроку их хранения, с учетом
следующих положений
• Организатор торговли устанавливает перечень лиц, имеющих доступ к указанной
информации и сведениям
• Биржа обязана обеспечить хранение и защиту всей информации о внебиржевых
договорах купли-продажи товаров и ценных бумаг, предоставленной ей в
соответствии с нормативными правовыми актами Правительства Российской
Федерации и нормативными актами Банка России, устанавливающими
обязанность по предоставлению указанной информации

7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Защитные меры для организатора торговли
• Обеспечение защиты информации при управлении доступом и регистрацией
• Обеспечение защиты информации на этапах жизненного цикла
автоматизированных систем
• Обеспечение защиты информации средствами антивирусной защиты
• Обеспечение защиты информации при использовании ресурсов информационно-
телекоммуникационной сети «Интернет»
• Обеспечение защиты информации при использовании средств
криптографической защиты информации;
• Обеспечение защиты информации при назначении и распределении ролей
• Организация деятельности службы информационной безопасности

8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Защитные меры для организатора торговли
• Управление рисками нарушения защиты информации
• Регламентация и документирование деятельности по обеспечению защиты
информации
• Повышение осведомленности работников в области обеспечения защиты
информации
• Обнаружение и реагирование на инциденты информационной̆ безопасности
• Мониторинг и анализ обеспечения защиты информации
• Своевременное совершенствование обеспечения защиты информации

9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Требования по защите баз данных
• Определить порядок доступа к базам данных организатора торговли и
обеспечить защиту от несанкционированного доступа к базам данных
организатора торговли
• Определить порядок использования паролей и других средств, ограничивающих
доступ к базам данных организатора торговли
• Установить принимаемые организатором торговли и участниками торгов меры,
направленные на предотвращение сбоев и ошибок в работе средств проведения
торгов
• Осуществлять ежедневное резервное копирование информации, содержащейся
в реестрах, которые ведет организатор торговли

10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Требования к организаторам торговли и 382-П
Защитная мера 437-П 382-П
Обеспечение защиты информации при управлении доступом и регистрацией + +
Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем + +
Обеспечение защиты информации средствами антивирусной защиты + +
Обеспечение защиты информации при использовании ресурсов информационно-
телекоммуникационной сети «Интернет»
+ +
Обеспечение защиты информации при использовании средств криптографической защиты
информации
+ +
Обеспечение защиты информации при назначении и распределении ролей + +
Организация деятельности службы информационной безопасности + +
Управление рисками нарушения защиты информации + -
Регламентация и документирование деятельности по обеспечению защиты информации + +
Повышение осведомленности работников в области обеспечения защиты информации + +
Обнаружение и реагирование на инциденты информационной̆ безопасности + +

11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Требования к организаторам торговли и 382-П
• Отличия между требованиями 437-П и 382-П состоят в детализации требований
В 4-м разделе 437-П перечислены только сами требования, без деталей реализации
Защитная мера 437-П 382-П
Контроль выполнения технологии обработки защищаемой информации - +
Оценка выполнения требований - +
Информирование оператора платежной системы ее участниками об ОЗИ - +
Мониторинг и анализ обеспечения защиты информации + -
Своевременное совершенствование обеспечения защиты информации + +
Определить порядок доступа к базам данных организатора торговли и обеспечить защиту от
несанкционированного доступа к базам данных организатора торговли
+ -
Определить порядок использования паролей и других средств, ограничивающих доступ к базам
данных организатора торговли
+ -
Установить принимаемые организатором торговли и участниками торгов меры, направленные на
предотвращение сбоев и ошибок в работе средств проведения торгов
+ -
Осуществлять ежедневное резервное копирование информации, содержащейся в реестрах,
которые ведет организатор торговли
+ -

12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Резюме
• Банк России унифицирует требования по защите информации в рамках
Национальной платежной системы
• Положение 382-П является базой, на которой строятся и иные требования по
защите информации в НПС
• Требований 437-П к организаторам торговли в основных категориях защитных
мер совпадает с 382-П
Можно предположить, что и надзор за соблюдением мер защиты организаторами торговли будет
осуществляться в соответствие с 157-Т (внутренней методикой проведения оценки соответствия
требованиям 382-П) или в соответствие с разрабатываемой методикой надзора, которую сейчас
создает ДНПС

13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Благодарю
за внимание