Постановление Правительства РФ от 13 июня 2012 г. N 584
"Об утверждении Положения о защите информации в платежной системе"
8 декабря 2022 г.
В соответствии со статьей 27 Федерального закона "О национальной платежной системе" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о защите информации в платежной системе.
2. Настоящее постановление вступает в силу с 1 июля 2012 г.
Председатель Правительства |
Д. Медведев |
Москва
13 июня 2012 г.
N 584
Положение
о защите информации в платежной системе
(утв. постановлением Правительства РФ от 13 июня 2012 г. N 584)
8 декабря 2022 г.
Пункт 1 изменен с 17 декабря 2022 г. - Постановление Правительства России от 8 декабря 2022 г. N 2250
1. Настоящее Положение устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры и операторами электронных платформ в платежной системе (далее соответственно - информация, операторы, агенты).
2. Защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами этих платежных систем в правила платежных систем в том числе в соответствии с настоящим Положением.
3. Защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных:
а) на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;
б) на соблюдение конфиденциальности информации;
в) на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.
4. Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:
а) создание и организация функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации;
б) включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;
в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками;
д) разработка и реализация систем защиты информации в информационных системах;
е) применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);
ж) выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;
з) обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
и) определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;
к) организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года.
5. Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.
6. Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
7. Операторы и агенты утверждают локальные правовые акты, устанавливающие порядок реализации требований к защите информации.
8. Требования к защите информации реализуются:
а) в случае разработки и создания информационных систем - на всех стадиях (этапах) их создания и эксплуатации;
б) в случае приобретения информационных систем - при вводе их в эксплуатацию и при эксплуатации.
9. Применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации.
Утверждено положение о защите информации в платежной системе.
Речь идет о сведениях, обрабатываемых операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем.
Требования к защите информации реализуются при разработке и создании информационных систем, а также при вводе их в эксплуатацию и использовании.
Операторы и агенты должны принимать меры для защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения. Должна соблюдаться конфиденциальность сведений.
Кроме того, должны быть созданы специальные подразделения по защите данных или назначено уполномоченное должностное лицо. Также могут привлекаться организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации.
Последние могут участвовать в контроле (оценке) соблюдения требований к защите информации.
Операторы и агенты применяют шифровальные (криптографические) средства защиты в соответствии с российским законодательством.
Постановление вступает в силу с 1 июля 2012 г.
Постановление Правительства РФ от 13 июня 2012 г. N 584 "Об утверждении Положения о защите информации в платежной системе"
Настоящее постановление вступает в силу с 1 июля 2012 г.
Текст постановления опубликован в Собрании законодательства Российской Федерации от 18 июня 2012 г. N 25 ст. 3380, в "Российской газете" от 22 июня 2012 г. N 141
В настоящий документ внесены изменения следующими документами:
Постановление Правительства РФ от 8 декабря 2022 г. N 2250
Изменения вступают в силу с 17 декабря 2022 г.