Итак, в 2.6.3 речь идет о [о действиях клиентов, выполняемых с использованием программного обеспечения и автоматизированных системk, в частном случае это [действия клиента в ДБОk.
Так вот, пункт предлагается дополнить требованиями:
- регистрация действий, связанных с назначением и распределением прав клиентов, при наличии технической возможности
- регистрация действий клиентов, при наличии технической возможности
- хранение данных о действиях клиентов не менее 3 лет, а именно:
- время совершения действия до секунды;
- идентификатор (идентификаторы) клиента;
- идентификатор (код) осуществляемого действия клиента;
- идентификатор устройства клиента, с использованием которого клиент осуществляет доступ (н-р: IP-адрес, МАС-адрес, номер sim-карты, номер телефона).
- время совершения действия до секунды;
- параметры работы программного обеспечения и (или) автоматизированной системы, связанные с установками даты и времени;
- порядок формирования идентификатора клиента;
- перечень идентификаторов (кодов) действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием программного обеспечения и автоматизированных систем;
- решение о выборе идентификатора устройства;
- порядок хранения указанных выше сведений о действиях клиентов.
- быть самостоятельным юридическим лицом и осуществлять свою деятельность в соответствии с законодательством Российской Федерации;
- обладать подтвержденным опытом проведения работ, связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности;
- иметь в штате не менее трех работников, имеющих:
- высшее образование в области информационных технологий, защиты информации и (или) информационной безопасности,
- опыт работы в области информационных технологий, защиты информации и (или) информационной безопасности не мене трех лет,
- опыт проведения работ связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности;
- подтверждение прохождения обучения (повышения квалификации) по вопросам проверки, оценки и (или) контроля требований к обеспечению защиты информации.
Очень понравилась формулировка п.59. Сравните со старой:
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ, которые имеют сертификаты уполномоченных государственных органов либо разрешение Федеральной службы безопасности Российской Федерации
В старой версии говорилось об СКЗИ в принципе, в новой только о российском производстве.
Правки в 2831-У
Существующая методика составления отчетности по 2831-У выполнена таким образом, что анализировать полученные от операторов ПС данные крайне сложно, если не сказать [невозможноk. Соответственно эту проблему (в основном) и должен решить новый вариант Приложения 2 2831-У.
Вместо одной отчетной таблицы по инцидентам теперь есть две: за текущий отчетный период и за прошлые отчетные периоды.
Предлагаемая методика выполнена таким образом, что из колонок исчезли формулировки в письменном формате, даже колонки [Описание инцидентаk заполняется кодами. Все соответствующие коды есть в методике.
Получаемые в результате, таблицы вполне пригодны для анализа в больших объемах. Правда, заполнять их вручную не очень удобно. Нужна автоматизация, либо каким-то программным продуктом, либо заранее разработанной табличкой в exel’е (по такая быстро появилась в сети).
Итого
В целом доработки носят “эволюционный” характер и не вызовут особых проблем со стороны участников ПС.
