Утверждено новое ПП-584 о защите НПС

Во-первых, поменялось название — слово «национальной» исчезло. Пока сложно сказать, что стало причиной такого удаления, но я пока не вижу никаких проблем.Во-вторых, уменьшилось число пунктов — с 17-ти до 9-ти. Что-то понятно, что-то нет. В частности, из принятого документа исчез такой пассаж: «Требования по обеспечению защиты информации при осуществлении переводов денежных средств устанавливаются Центральным банком Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю (далее – требования по защите информации, установленные Банком России)«. Фактически это ни на что не влияет — по ФЗ-161 Банк России и так устанавливает требования по защите, согласуемые с ФСТЭК и ФСБ. Но все-таки для того, чтобы переход к проектам ЦБ с требованиями по защите НПС были более логичным, правильнее было бы упомянутый пассаж оставить. Убрали упоминания лицензий ФСБ у контрагентов, приглашаемых для помощи в защите платежной системы, — теперь речь идет только о лицензиатах ФСТЭК.

Также в пункте, перечисляющим обязательные к применению типы средств защиты, убрали фрагмент «в том числе прошедших в установленном порядке процедуру оценки соответствия«. Это позитивно. Детально требования к оценке соответствия будут прописаны уже в документах Банка России. Также убрали все требования к субъектам платежной системы, по сути все опять переложив на плечи агентов и операторов НПС.

Еще убрали все ссылки на Банк России, ФЗ «Об электронной подписи» и ФЗ «О персональных данных». Ну и вообще текст очень сильно подчистили и сократили. Если в проекте было 1760 слов, то в принятом варианте всего 482 — почти 4-хкратное уменьшение объема текста.

Ну и наконец, в проекте был такой фрагмент «Контроль и надзор за выполнением требований, установленных настоящим Положением, осуществляется Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их полномочий и без права ознакомления с защищаемой информацией в соответствии с законодательством Российской Федерации о государственном контроле (надзоре). Контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств осуществляется Центральным банком Российской Федерации в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.» В итоговом документе осталось только «Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации«. Скорее всего причина таже, что и во втором абзаце — это уже и так прописано в ФЗ «О национальной платежной системе».

Из интересного:

• У оператора или агента платежной системы должно быть либо структурное подразделение, либо ответственный за ИБ сотрудник.
• Включение в должностные инструкции сотрудников, имеющих доступ к платежной системе, обязательных требований по защите.
• Моделирование угроз и анализ уязвимостей теперь обязательные не только для персданных, но и для защиты платежных систем.
• Обязательное проведение анализа рисков и внедрение системы управления инцидентами.
• Перечень типов СрЗИ достаточно традиционен — СКЗИ, СЗИ от НСД, антивирусы, МСЭ, IDS и сканеры безопасности.
• Вызывал у меня вопросы пункт «обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования»; особенно применительно к ДБО и мобильным платежам. Очень уж много там непростых моментов.