Расширенный поиск

Постановление Правительства Российской Федерации от 13.06.2012 № 584

 



                ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

                     П О С Т А Н О В Л Е Н И Е

                     от 13 июня 2012 г. N 584

                              МОСКВА


                 Об утверждении Положения о защите
                  информации в платежной системе

     В    соответствии    со    статьей 27    Федерального   закона
"О национальной   платежной   системе"   Правительство   Российской
Федерации  п о с т а н о в л я е т:
     1. Утвердить  прилагаемое  Положение  о  защите  информации  в
платежной системе.
     2. Настоящее постановление вступает в силу с 1 июля 2012 г.


     Председатель Правительства
     Российской Федерации                                Д.Медведев
     __________________________



     УТВЕРЖДЕНО
     постановлением Правительства
     Российской Федерации
     от 13 июня 2012 г.
     N 584


                         П О Л О Ж Е Н И Е
              о защите информации в платежной системе

     1. Настоящее   Положение  устанавливает  требования  к  защите
информации   о   средствах  и  методах  обеспечения  информационной
безопасности,  персональных  данных  и  иной информации, подлежащей
обязательной  защите  в соответствии с законодательством Российской
Федерации,   обрабатываемой   операторами   по   переводу  денежных
средств,    банковскими    платежными    агентами    (субагентами),
операторами   платежных   систем   и  операторами  услуг  платежной
инфраструктуры          в  платежной         системе         (далее
соответственно - информация, операторы, агенты).
     2. Защита   информации   осуществляется   в   соответствии   с
требованиями  к  защите  информации, которые включаются операторами
этих  платежных  систем  в  правила  платежных систем в том числе в
соответствии с настоящим Положением.
     3. Защита    информации    обеспечивается   путем   реализации
операторами  и  агентами  правовых,  организационных  и технических
мер, направленных:
     а) на  обеспечение защиты информации от неправомерных доступа,
уничтожения,     модифицирования,     блокирования,    копирования,
предоставления  и  распространения,  а  также от иных неправомерных
действий в отношении информации;
     б) на соблюдение конфиденциальности информации;
     в) на  реализацию  права на доступ к информации в соответствии
с законодательством Российской Федерации.
     4. Правила  платежной  системы  должны  предусматривать  в том
числе следующие требования к защите информации:
     а) создание   и   организация   функционирования  структурного
подразделения   по   защите   информации   (службы   информационной
безопасности)   или   назначение   должностного  лица  (работника),
ответственного за организацию защиты информации;
     б) включение    в    должностные    обязанности    работников,
участвующих  в  обработке  информации,  обязанности  по  выполнению
требований к защите информации;
     в) осуществление  мероприятий, имеющих целью определение угроз
безопасности информации и анализ уязвимости информационных систем;
     г) проведение  анализа  рисков  нарушения  требований к защите
информации и управление такими рисками;
     д) разработка   и   реализация   систем  защиты  информации  в
информационных системах;
     е) применение    средств   защиты   информации   (шифровальные
(криптографические)   средства,   средства   защиты  информации  от
несанкционированного   доступа,   средства   антивирусной   защиты,
средства  межсетевого экранирования, системы обнаружения вторжений,
средства контроля (анализа) защищенности);
     ж) выявление  инцидентов,  связанных с нарушением требований к
защите информации, реагирование на них;
     з) обеспечение    защиты    информации    при    использовании
информационно-телекоммуникационных сетей общего пользования;
     и) определение   порядка  доступа  к  объектам  инфраструктуры
платежной системы, обрабатывающим информацию;
     к) организация  и  проведение  контроля  и  оценки  выполнения
требований    к   защите   информации   на   собственных   объектах
инфраструктуры не реже 1 раза в 2 года.
     5. Для  проведения  работ  по  защите информации операторами и
агентами  могут  привлекаться  на  договорной  основе  организации,
имеющие    лицензии   на   деятельность   по   технической   защите
конфиденциальной  информации  и (или) на деятельность по разработке
и производству средств защиты конфиденциальной информации.
     6. Контроль    (оценка)   соблюдения   требований   к   защите
информации  осуществляется  операторами  и  агентами самостоятельно
или  с  привлечением  на  договорной  основе  организации,  имеющей
лицензию  на  деятельность  по  технической защите конфиденциальной
информации.
     7. Операторы  и  агенты  утверждают  локальные  правовые акты,
устанавливающие порядок реализации требований к защите информации.
     8. Требования к защите информации реализуются:
     а) в  случае  разработки и создания информационных систем - на
всех стадиях (этапах) их создания и эксплуатации;
     б) в  случае приобретения информационных систем - при вводе их
в эксплуатацию и при эксплуатации.
     9. Применение  шифровальных (криптографических) средств защиты
информации  операторами  и агентами осуществляется в соответствии с
законодательством Российской Федерации.


                           ____________