Приведение в соответствие требованиям

В 27 июня 2011 года был принят Федеральный Закон РФ N161-ФЗ «О национальной платежной системе», регулирующий порядок оказания платежных услуг и определяющий требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе.

Вступившая в действие 1 июля 2012 года статья 27 Закона о НПС устанавливает необходимость обеспечения защиты информации в платежных системах. В июне 2012 года был принят ряд подзаконных актов, регламентирующих обеспечение защиты информации в платежных системах, и обязательный для исполнения всеми организациями, вовлеченными в оказание услуг по переводу денежных средств. При этом состав требований по защите информации, выдвигаемый регуляторами и применимый к конкретной организации, зависит от того, какую роль выполняет эта организация в платежной системе.

Мы готовы помочь Вам определиться с ролью Вашей организации в платежных системах, и предлагаем услуги по следующим направлениям для оценки и обеспечения соответствия требованиям Закона о НПС:

Независимо от роли, которую организация играет в рамках платежной системы, к ней применимы и обязательны для исполнения требования нормативных документов Банка России, разработанных на основании Закона о НПС. На сегодняшний день ключевыми из таких документов являются:

• Положение Банка России от 09.06.2012 г. N382-П: «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

• Указание Банка России от 09.06.2012 N2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»

Наши эксперты проведут предварительное обследование, составят и помогут реализовать план мероприятий по приведению системы обеспечения информационной безопасности Вашей организации в соответствие требованиям Положения №382-П. После выполнения всех работ, предусмотренных данным планом, мы проведем официальную оценку соответствия Вашей организации требованиям Положения №382-П, результаты которой Вы сможете направить в Банк России.

Мы также готовы помочь Вам скорректировать процессы мониторинга событий и реагирования на инциденты информационной безопасности так, чтобы подготовка отчетности по инцидентам, требуемая Указанием №2831-У, не становилась ежемесячной головной болью службы ИБ.

В соответствии с требованиями Закона о НПС, оператор платежной системы должен установить правила платежной системы и осуществлять контроль соблюдения этих правил всеми участниками платежной системы. Помимо прочего, в правила платежной системы должны быть включены требования к обеспечению защиты информации и бесперебойности функционирования платежной системы.

Наши эксперты готовы помочь Вам разработать правила, наиболее подходящие для вашей платежной системы, соответствующие требованиям Закона о НПС, учитывающие актуальные для Вас риски информационной безопасности, и, при этом, выполнимые для участников Вашей платежной системы.

Согласно Закона о НПС, оператор по переводу денежных средств несет ответственность перед Банком России и оператором платежной системы, в состав которой он входит, не только за собственное соответствие требованиям Закона о НПС и правилам платежной системы, но и за соответствие привлеченных им банковских платежных агентов. Кроме того, отчетность об инцидентах ИБ, выявленных платежными агентами, также ложится на плечи оператора по переводу денежных средств.

Наши эксперты проведут анализ применимости требований Банка России и операторов платежных систем к привлекаемым Вами платежным агентам, и помогут составить договора с ними, которые будут в полной мере отвечать требованиям Закона о НПС и учитывать актуальные для Вас риски информационной безопасности. Мы также готовы провести оценку соответствия привлеченных Вами банковских платежных агентов применимым требованиям.

Действие стандарта PCI DSS распространяется на все торгово-сервисные предприятия (merchants) и поставщиков услуг (service providers), работающие с международными платежными системами, т.е. на всех тех, кто передает, обрабатывает и хранит данные держателей карт.

Также в зависимости от направления деятельности, количества обрабатываемых транзакций каждой платежной системой для компании присваивается определенный уровень с соответствующим набором требований, которые должны выполняться в обязательном порядке. Это может быть ежегодное прохождение аудита, ежеквартальные сканирования сети или ежегодное заполнение формы самооценки (Self-Assessment Questionnaire — специальная отчетная форма, разработанная PCI SSC, Консулом платежных систем, для самооценки компаний).

Цель — PCI Compliance. На первом этапе проекта оценивается текущее состояние и разрабатывается план приведения в соответствие с требованиями стандарта. На втором этапе оказывается помощь в реализации плана, выполняются сканирование и тест на проникновение. На третьем этапе выполняется сертификационный аудит PCI DSS. Наши специалисты разъяснят тонкости стандарта и его применения, дадут рекомендации, как именно достичь соответствия PCI DSS, помогут в определении и реализации комплекса компенсационных мер в случае невозможности прямого исполнения отдельных требований стандарта.

Цель — подтверждение соответствия требованиям стандарта PCI DSS. Проект включает подготовку и планирование аудита, проведение проверок согласно утвержденным процедурам аудита, анализ результатов, формирование предварительного Отчета о соответствии требованиям стандарта, презентацию предварительного Отчета о соответствии, согласование его с Вами, и формирование окончательного Отчета по результатам аудита, уведомление международных платежных систем о результатах аудита.

В случае, если в ходе аудита будут выявлены несоответствия требованиям стандарта, мы сформируем рекомендации по устранению этих несоответствий и причин их возникновения.

Аудит наши эксперты проводят согласно требованиям PCI SSC по следующим направлениям: построение и поддержка безопасности сети, защита данных держателей карт, поддержка программы управления уязвимостями, применение строгих мер контроля доступа, регулярный мониторинг и тестирование сетей, поддержка политики защиты информации.

Наши специалисты определят и/или согласуют перечень узлов, подлежащих тестированию с привлечением сертифицированных аудиторов PCI ASV; проведут сканирования уязвимостей в соответствии с требованиями PCI ASV Program Guide, включая использование технических средств и ручные проверки, проводимые экспертами; разработают отчеты и согласуют ложные обнаружения («false positives») уязвимостей. В случае выявления уязвимостей, подлежащих устранению, мы проведем повторное сканирование.

ГОСТ Р 57580 был разработан Банком России с целью повышение доверия к кредитно-финансовым организациям РФ, достижения адекватности мер по защите от реальных угроз информационной безопасности, а также предотвращения и снижения ущерба от инцидентов информационной безопасности. Впоследствии действие ГОСТ Р 57580 было распространено и на прочие организации, которые попадают в сферу регулирования ЦБ РФ, включая: страховые компании, депозитарии, НПФ.

Наши эксперты проведут анализ соответствия вашей организации с требованиями ГОСТ Р 57580, проанализируют выявленные расхождения и предложат меры по их устранению.

Наши эксперты также готовы провести разработать модель угроз, включающую в себя обоснование исключения неактуальных контролей ГОСТ Р 57580, определить необходимый для применения в вашей организации перечень организационных и технических мер из состава ГОСТ Р 57580, разработать компенсирующие меры в случае невозможности применения обязательных контролей, разработать все необходимые процедуры и документацию, предусмотренные требованиями ГОСТ Р 57580, а также план приведения в соответствие Стандарту. По запросу Заказчика наши эксперты также внедрят разработанные процедуры, проконсультируют персонал Заказчика по вопросам их новых ролей в рамках обеспечения информационной безопасности.

Мы также проведем оценку соответствия вашей организации требованиям ГОСТ Р 57580: разработаем план проведения оценки; проведем оценку соответствия на территории клиента; разработаем и согласуем Отчет об оценке соответствия ГОСТ Р 57580. 

В результате наших работ вы обеспечите соответствие вашей организации требованиям ГОСТ Р 57580 на желаемом уровне, повысите уровень защищенности информации, обрабатываемой и хранимой в автоматизированных информационных системах.

Построение Системы управления информационной безопасностью (СУИБ) в соответствии с требованиями общепризнанного международного стандарта ISO/IEC 27001:2013 предоставляет возможность комплексной защиты всех форм и средств обработки информации, основанной на актуальных для компании рисках информационной безопасности. Стандарт ISO/IEC 27001:2013 применим к любым организациям, независимо от отрасли и размера.

В рамках услуги по построению СУИБ компании наши эксперты определят область деятельности СУИБ; выявят и проанализируют несоответствия действующих процессов управления ИБ и применяемых мер по защите информации требованиям стандарта ISO 27001; разработают все необходимые процедуры и политики СУИБ; внедрят процессы СУИБ; проведут оценку рисков ИБ, предложат меры по минимизации выявленных рисков и помогут их реализовать.

Наши эксперты будут осуществлять регулярную проверку исполнения действий по процедурам, окажут помощь в анализе записей и событий, составлении отчетов, дадут необходимые консультации, сформируют замечания о потенциальных несоответствиях и предложения по их устранению, по улучшению и совершенствованию СУИБ.

- снижение рисков, связанных с угрозами информационной безопасности;

- соответствие уровня информационной безопасности целям и задачам бизнеса;

- оптимизация расходов на обеспечение ИБ;

- снижение ущерба от возникающих инцидентов ИБ;

- систематизация процессов обеспечения ИБ;

- повышение осведомленности работников в области ИБ;

Сертификация построенной СУИБ на соответствие стандарту ISO/IEC 27001 повысит доверие со стороны клиентов и партнеров компании, предоставляя компании серьезные конкурентные преимущества.