PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Медведев утвердил требования к безопасности национальной платежной системы

На сайте российского правительства опубликовано новое «Положение о защите информации в платежной системе», подписанное премьер-министром Дмитрием Медведевым 13 июня 2012 г. Документ должен вступить в силу 1 июля 2012 г.

Новое положение - это окончательный вариант документа, впервые опубликованного ФСТЭК в начале 2012 г. Интересно, что в ходе доработок из названия требований к защите информации в Национальной платежной системе было исключено слово «национальный».

Вторым заметным изменением стало принципиальное сокращение документа: его объем сократился в 3,5 раза, а число пунктов уменьшилось с 19 до 17.

Сокращение текста достигнуто за счет исключения из текста множества законодательных тавтологий, то есть требований к защите информации, которые уже присутствуют либо в Законе «О национальной платежной системе», либо в Законах «Об электронной подписи» и «О персональных данных».

В целом, положение предъявляет к операторам (кредитным организациям) и агентам (непосредственно принимающим платежи) Национальной платежной системы вполне ожидаемые требования.

Так, документ требует от оператора и агента платежной системы во-первых, создать структурное подразделение либо назначить сотрудника, ответственного за информационную безопасность, включить требования по защите информации в должностные инструкции сотрудников, работающих с платежной системой.

Кроме того, оператор должен спроектировать систему технической защиты информации с учетом возможности перехвата информации в интернете; обязан установить правила доступа к средствам обработки информации, разработать пакет внутренних документов о защите информации и организовать мониторинг выполнения установленных правил, выявление инцидентов и систему реагирования.

Интересно, что, как заметил в своем блоге эксперт по безопасности Михаил Емельянников из компании «Емельянников, Попова и партнеры», в документе нет упоминаний об оценке соответствия средств защиты информации, то есть об их обязательной сертификации в ФСБ и ФСТЭК. Тем не менее, документ содержит полный перечень средств защиты, упоминая криптографические, антивирусные, межсетевые экраны, средства защиты от несанкционированного доступа, системы обнаружения вторжений и средства контроля защищенности.

Возможно, отсутствие упоминаний об обязательной оценке соответствия - это упущение составителей положения. В то же время, не исключено, что это следствие борьбы авторов текста с законодательными тавтологиями за сокращение объема документа.

По материалам CNews
законодательство
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 









Партнеры