пятница, 25 мая 2012 г.

О проекте Положения ЦБ по НПС

Прочитал я проект Положения, который будет вводиться ЦБ во исполнение Закона о НПС. Привожу отдельные цитаты:

Операторы… могут привлекать на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации.

Требования к обеспечению защиты информации…применяются для обеспечения защиты…персональных данных.

Оператор…обеспечивает реализацию запрета…следующих ролей…:

- связанных с созданием… и эксплуатацией;

- связанных с эксплуатацией в части использования…и эксплуатацией в части технического обслуживания и ремонта.

Оператор…обеспечивает участие службы информационной безопасности, в разработке и согласовании технических заданий на создание (модернизацию) объектов информационной инфраструктуры.

Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства.

Регистрация доступа к банкоматам, в том числе с использованием систем видеонаблюдения.

Оператор…обеспечивают контроль отсутствия размещения на платежных терминалах и банкоматах специализированных средств, предназначенных для несанкционированного съема информации.

Оператор…обеспечивают использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах.

Применение…технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации путем использования уязвимостей программного обеспечения.

Оператор… применяют СКЗИ, которые имеют сертификаты полномоченных государственных органов.

Службы информационной безопасности и информатизации (автоматизации) не должны иметь общего куратора.

Оператор… обеспечивает определение служб информационной безопасности в… филиалах, определяет для них необходимые полномочия и выделяет необходимые ресурсы.

Оператор… обеспечивает проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.

Настоящее Положение подлежит официальному опубликованию в «Вестнике Банка России» и вступает в силу с 1 июля 2012 года.

Далее следует методика самооценки и опросник.

"Всего" в опроснике 127 показателей, которые делятся на две группы. По каждой группе находятся средние значения (пока без учета "каких-то" коэффициентов) и наименьшее из них будет являться показателем защищенности. Показатель защищенности  может принимать следующие значения: хорошая, удовлетворительная, сомнительная, неудовлетворительная.


Комментариев нет:

Отправить комментарий