Оценка постановления правительства о защите НПС

Про проект Постановления Правительства «Об утверждении Положения о защите информации в национальной платежной системе» я уже писал. И вот вчера Минэкономразвития опубликовал результаты оценки этого проекта. Как это часто бывает специалистов по ИБ среди экспертов, оценивающих проекты нормативных актов, нет или их очень мало. Поэтому сами требования по защите информации не сильно оценивались, а все основные претензии сосредоточились вокруг 14-го пункта по контролю (оценке) соответствия требованиям по защите. Проект Постановления повторяет в данном вопросе СТО, говорящий, что организация вправе оценить свое соответствие самостоятельно или привлечь внешнюю организацию. Правда в проекте эта внешняя организация, предсказуемо, должна иметь лицензию ФСТЭК на ТЗКИ.

Вторым большим вопросом, вызвавшем вопросы, стала оценка соответствия в ходе аудита субъекта платежной системы, проводимого в соответствии с законодательством Российской Федерации об аудиторской деятельности. Как сюда попали аудиторы? Как и на каком основании они будут проверять соответствия требованиям по защите информации участников НПС?

Больше никаких серьезных замечаний на этот проект в Минэкономразвития не поступало.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Александр Бондаренко

    "Как это часто бывает специалистов по ИБ среди экспертов, оценивающих проекты нормативных актов, нет или их очень мало. Поэтому сами требования по защите информации не сильно оценивались…"

    А это вопрос не к МЭР, а к нам, коллеги ! Кто писал в МЭР свои соображения ? О начале проведения публичной экспертизы я писал ранее в своем блоге. Лично я написал в МЭР свои замечания, которых к сожалению в итоговом документе не увидел. А кто-то еще это делал ? Если нам всем все равно, то в МЭР, поверьте, сильно напрягаться не будут.

    Ответить
  2. Олег

    Интересно, что "новые" виды работ и услуг в рамках ТЗКИ не включают в себя аудит ИБ в классическом его понимании. Есть контроль защищенности от утечки по техническим каналам и от НСД, но все это в большей степени относится к аттестационным меропритиям. Как ТЗКИ связана с оценкой выполнения требований по защите информации в НПС не понятно.

    Ответить