Медведев утвердил правила защиты информации в платежных системах

Глава Правительства Дмитрий Медведев утвердил положение о защите информации в платежных системах. Соответствующее постановление размещено на сайте правительства.

Постановление вступает в силу с 1 июля 2012 г.

Положение устанавливает требования по защите персональных данных и иной подлежащей защите информации к операторам по переводу денежных средств, банковским платежным агентам (субагентам), операторам платежных систем и операторам услуг платежной инфраструктуры в платежной системе.

Как отмечается в документе, операторы и агенты должны реализовать правовые, организационные и технические меры, направленные на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения. Кроме того, операторы и агенты должны обеспечить конфиденциальность информации.

Компании-операторы должны иметь структурные подразделения по защите информации (службы информационной безопасности) или сотрудника, ответственного за организацию защиты информации. Сотрудники, участвующие в обработке информации клиентов, обязаны выполнять требования к защите информации. Кроме того, операторы и агенты должны проводить мероприятия по определению уязвимости информационных систем и разработать и реализовать системы защиты информации.

Согласно положению правила платежной системы должны предусматривать в том числе применение средств защиты информации: шифровальных (криптографических) средств (в соответствии с законодательством), средств антивирусной защиты, межсетевого экранирования, защиты от несанкционированного доступа, системы обнаружения вторжений. Также требуется обеспечить защиту данных и при использовании информационно-телекоммуникационных сетей общего пользования.

Организация и проведение контроля и оценки выполнения требований к защите информации на объектах инфраструктуры должна проводиться минимум каждые два года.

Для проведения работ по защите информации операторы и агенты могут привлекать организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации или на деятельность по разработке и производству средств защиты конфиденциальной информации.

Требования к защите информации согласно документу работают на всех стадиях разработки и создания информационных систем, а также при вводе в эксплуатацию приобретенной информационной системы.

Tweet