пятница, 26 июля 2013 г.

Банком России установлены дополнительные требования к обеспечению защиты информации при осуществлении переводов денежных средств


Указанием Банка России от 5 июня 2013 года № 3007-У внесены изменения в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Значительная часть изменений касается вопросов документирования этой работы.

Теперь от операторов по переводу денежных средств, банковских платежных агентов (субагентов) требуется обеспечить регистрацию следующей информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения (п. 2.6.3.):
  • Дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;

  • Набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (идентификатор клиента);

  • Код, соответствующий выполняемому действию;

  • Идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства.
Оператор по переводу денежных средств обеспечивает хранение этой информации не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.

Мой комментарий: Таким образом, установлен срок хранения для колоссального объёма электронной информации.

Кроме  того, установлены требования к содержанию внутренних нормативных документов, регламентирующих эту работу. Оператор по переводу денежных средств определяет во внутренних документах:
  • Порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;

  • Перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;

  • Подлежащий регистрации идентификатор устройства;
Установлены требования к обязательной регистрации выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств. (п. 2.13.4.)

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, а также порядок хранения этой информации.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов:
  • Выявленных клиентами данного оператора по переводу денежных средств;

  • Выявленных банковскими платежными агентами (субагентами).
Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры должны определить во внутренних документах порядок регистрации и хранения сведений об инцидентах.

Кроме того, уточнен порядок проведения оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств (оценка соответствия). Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должны провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса ( п. 2.15.2).

По результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия (п.2.15.3).

Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=148817

Комментариев нет:

Отправка комментария