Постановление Правительства РФ от 13 июня 2012 г. N 584
«Об утверждении Положения о защите информации в платежной системе»
С изменениями и дополнениями от:
8 декабря 2022 г.
В соответствии со статьей 27 Федерального закона «О национальной платежной системе» Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о защите информации в платежной системе.
2. Настоящее постановление вступает в силу с 1 июля 2012 г.
Председатель Правительства Российской Федерации | Д. Медведев |
Москва
13 июня 2012 г.
N 584
Положение
о защите информации в платежной системе
(утв. постановлением Правительства РФ от 13 июня 2012 г. N 584)
С изменениями и дополнениями от:
8 декабря 2022 г.
Пункт 1 изменен с 17 декабря 2022 г. — Постановление Правительства России от 8 декабря 2022 г. N 2250
1. Настоящее Положение устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры и операторами электронных платформ в платежной системе (далее соответственно — информация, операторы, агенты).
2. Защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами этих платежных систем в правила платежных систем в том числе в соответствии с настоящим Положением.
3. Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных:
а) на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;
б) на соблюдение конфиденциальности информации;
в) на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.
4. Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:
а) создание и организация функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации;
б) включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;
в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками;
д) разработка и реализация систем защиты информации в информационных системах;
е) применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);
ж) выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;
з) обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
и) определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;
к) организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года.
5. Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.
6. Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
7. Операторы и агенты утверждают локальные правовые акты, устанавливающие порядок реализации требований к защите информации.
8. Требования к защите информации реализуются:
а) в случае разработки и создания информационных систем — на всех стадиях (этапах) их создания и эксплуатации;
б) в случае приобретения информационных систем — при вводе их в эксплуатацию и при эксплуатации.
9. Применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации.