Документ основан на 382-П, однако заточен именно под платежную систему Банка России (требования к АРМ КБР и прочие радости).
По документу появляется такая штука как Участок ПС БР, это АРМ обмена электронными сообщениями с ЦБ плюс сегмент локальной сети, в котором он находится. Собственно требования по безопасности предъявляются именно к Участку ПС БР.
Основная часть требований новыми не являются. Из интересного — 2 момента:
1) Пункт 2.2:
В целях определения порядка обеспечения защиты информации Участники должны разработать документы в соответствии с перечнем процедур, регламентируемых в целях обеспечения информационной безопасности на Участке ПС БР (приложение к настоящему Положению).
Приложение состоит из 37 пунктов . Все это нужно документировать.
2) Пункт 10.1, гласит:
10.1. Участники осуществляют информирование Банка России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, (далее – Инциденты) на Участке ПС БР, в том числе о несанкционированных перевод ах денежных средств Участника через ПС БР, подозрениях о возникновении или о возможности возникновения Инцидентов на Участке ПС БР. Информирование осуществляется в произвольной форме на электронный адрес fincert@cbr.ru , либо инициируется запрос на передачу этих сведений с применением мер и средств защиты информации, не позднее трех часов, после выявления Инцидента.
Давно ждал такого требования.