2 июня 2019 г.

Дорожный атлас банковской службы ИБ


(161-ФЗ[1]: статья 27, п.3) Обеспечить защиту информации при осуществлении переводов денежных средств в соответствии с требованиями (382-П[2]), установленными Банком России.
(382-П: абзац 2, пп. 2.5.5.1, п. 2.5) Ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
(382-П: пп. 2.15.2, п. 2.15) Обеспечить проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.
Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение 6 месяцев после получения соответствующего статуса.

(382-П: абзац 2 и 3, пп. 2.13.(1)) Информировать Банк России, а именно Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации об инцидентах.
(382-П: пп. 2.8.3, п. 2.8) Установка ограничений на основании заявления клиента по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга.
(382-П: абзац 1, пп. 2.9.1, п. 2.9) Если принимается решение, что защита ПДн будет обеспечиваться с помощью СКЗИ, то применение средств защиты должно соответствовать 378-му приказу ФСБ.