Применимость требований 382-П к различным категориям субъектов НПС

Аватар пользователя Игорь Бурцев
Автор: Бурцев Игорь, -
(0)
()
Опубликовано в:
В продолжение заметки Алексея Лукацкого про правильность чтения требований Положения Банка России №382-П, хочу поделиться следующей статистикой, полученной в ходе как раз такой разбивки требований по субъектам НПС. 

На рисунке ниже приведено распределение требований в количественном (сверху) и процентном соотношении от общего количества требований 382-П (снизу). Напомню, что в Приложении 2 к 382-П всего приведено 129 различных требований к обеспечению защиты информации при осуществлении переводов денежных средств, выполнение которых проверяется при проведении оценки соответствия.   

На рисунке использованы следующие сокращения: 
  -  ОПДС - оператор по переводу денежных средств;
  -  ОПС - оператор платежной системы;
  -  ОУПИ - оператор услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр);
  -  БПА (БПСА) ЮЛ - банковский платежный агент (субагент), являющийся юридическим лицом;
  -  БПА (БПСА) ИП - банковский платежный агент (субагент), являющийся индивидуальным предпринимателем.

Как видно из этого распределения, меньше всего требований распространяется на операторов платежных систем. Если проанализировать 382-П, то можно увидеть, что эти требования, исходя из сущности оператора платежной системы, связаны именно с организацией и контролем обеспечения защиты информации в рамках платежной системы (установление требований и определение порядка применения мер по защите информации, взаимодействие с участниками платежной системы в части сбора сведений о защите информации в платежной системе, организация реагирования на инциденты ИБ и др.).

Больше всего требований ложится соответственно (по убывающей) на операторов по переводу денежных средств, операторов услуг платежной инфраструктуры и банковских платежных агентов (субагентов). 

При этом в отношении различных типов операторов услуг платежной инфраструктуры, а именно: операционных, платежных клиринговых и расчетных центров - различий в требованиях практически нет. Исключением являются требования п. 2.16.2 Положения 382-П в части доведения оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств, которые не распространяются на операционные центры, находящихся за пределами РФ.

Если же смотреть применимость требований 382-П к различным категориям субъектов НПС в разрезе групп требований, то получается следующая картина: 

На рисунке использованы следующие обозначения: 
  -  " - " - в группе отсутствуют требования, применимые к категории субъектов НПС;
  -  " + " - все требования группы применимы к категории субъекта НПС;
  -  "+/-" - часть требований применима к категории субъекта НПС.

Из этой статистика, например, видно, что в отношении банковских платежных агентов (субагентов) в большей степени применимы требования, связанные с реализацией системы защиты информации, и в меньшей с вопросами менеджмента ИБ. 
Оцените материал:
Total votes: 275
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.