Банк России с 20 декабря 2016 года ввел в действие новое положение . Все участники БС РФ будут обязаны выполнить указанные в документе требования к защите информации до середины года, а именно 30 июня 2017 года.
Кроме того, положением определены требования: к организационному и документационному обеспечению защиты информации; защите информации при физическом доступе; к контролю программного обеспечения, и др. Указано, что все участники БС РФ будут обязаны документально фиксировать всю информацию об инцидентах, результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации последствий инцидентов, не менее трех лет с момента возникновения инцидента.
Кроме того, положением определены требования: к организационному и документационному обеспечению защиты информации; защите информации при физическом доступе; к контролю программного обеспечения, и др. Указано, что все участники БС РФ будут обязаны документально фиксировать всю информацию об инцидентах, результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации последствий инцидентов, не менее трех лет с момента возникновения инцидента.
Документов определено, что участники платежной системы, являющиеся клиентами Банка России, обеспечивают защиту информации следующий информации:
- о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников;
- об остатках денежных средств на счетах, открытых у участников и связанных с осуществлением перевода денежных средств в платежной системе Банка России;
- об объектах информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;
- необходимой для удостоверения участниками права распоряжения денежными средствами;
- ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
- ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой при осуществлении переводов денежных средств.
Кроме того, положением определены требования:
- к организационному и документационному обеспечению защиты информации в системе;
- к защите информации при физическом доступе к участку системы;
- к контролю программного обеспечения, установленного или используемого на компьютерах участка системы, и др.
По задумке все банки должны будут сообщать о несанкционированных переводах денежных средств через платежную систему, подозрениях о возникновении или о возможности возникновения инцидентов в сегментах сети, где расположено рабочее место доступа к платежной системе. Информирование должно будет осуществляться в произвольной форме в FinCERT с применением мер и средств защиты информации не позднее трех часов после выявления инцидента. Указано, что все участники частники системы будут обязаны документально фиксировать всю информацию об инцидентах, результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации последствий инцидентов, и иную информацию. Срок хранения информации — не менее трех лет с момента возникновения инцидента.
