понедельник, 27 августа 2012 г.

Применимость требований 382-П к различным категориям субъектов НПС

В продолжение заметки Алексея Лукацкого про правильность чтения требований Положения Банка России №382-П, хочу поделиться следующей статистикой, полученной в ходе как раз такой разбивки требований по субъектам НПС. 

На рисунке ниже приведено распределение требований в количественном (сверху) и процентном соотношении от общего количества требований 382-П (снизу). Напомню, что в Приложении 2 к 382-П всего приведено 129 различных требований к обеспечению защиты информации при осуществлении переводов денежных средств, выполнение которых проверяется при проведении оценки соответствия.   

На рисунке использованы следующие сокращения: 
  -  ОПДС - оператор по переводу денежных средств;
  -  ОПС - оператор платежной системы;
  -  ОУПИ - оператор услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр);
  -  БПА (БПСА) ЮЛ - банковский платежный агент (субагент), являющийся юридическим лицом;
  -  БПА (БПСА) ИП - банковский платежный агент (субагент), являющийся индивидуальным предпринимателем.

Как видно из этого распределения, меньше всего требований распространяется на операторов платежных систем. Если проанализировать 382-П, то можно увидеть, что эти требования, исходя из сущности оператора платежной системы, связаны именно с организацией и контролем обеспечения защиты информации в рамках платежной системы (установление требований и определение порядка применения мер по защите информации, взаимодействие с участниками платежной системы в части сбора сведений о защите информации в платежной системе, организация реагирования на инциденты ИБ и др.).

Больше всего требований ложится соответственно (по убывающей) на операторов по переводу денежных средств, операторов услуг платежной инфраструктуры и банковских платежных агентов (субагентов). 

При этом в отношении различных типов операторов услуг платежной инфраструктуры, а именно: операционных, платежных клиринговых и расчетных центров - различий в требованиях практически нет. Исключением являются требования п. 2.16.2 Положения 382-П в части доведения оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств, которые не распространяются на операционные центры, находящихся за пределами РФ.

Если же смотреть применимость требований 382-П к различным категориям субъектов НПС в разрезе групп требований, то получается следующая картина: 

На рисунке использованы следующие обозначения: 
  -  " - " - в группе отсутствуют требования, применимые к категории субъектов НПС;
  -  " + " - все требования группы применимы к категории субъекта НПС;
  -  "+/-" - часть требований применима к категории субъекта НПС.

Из этой статистика, например, видно, что в отношении банковских платежных агентов (субагентов) в большей степени применимы требования, связанные с реализацией системы защиты информации, и в меньшей с вопросами менеджмента ИБ. 

2 комментария:

  1. Процентное соотношение от общего количества требований 382-П указано не верно - в сумме должно получаться 100%, а не 314%.

    ОтветитьУдалить
  2. Их не надо суммировать - это не доли в общей массе, а % требований от общего количества, которые применимы к той или иной категории субъектов НПС.
    Одни и те же требования (если посмотрим 382-П) применимы к разным категориям субъектов.
    Например:
    Всего требований в 382-П - 129.
    Для ОПС применимо только 14% требований - т.е. 18 шт.
    Для ОПДС применимо 93% - т.е. 120 требований
    и т.д.
    Но при этом в 14% требований для ОПС и 93% для ОПДС есть пересекающиеся, т.е. те которые относятся и к ОПС и к ОПДС.

    ОтветитьУдалить