382 постановление правительства

382 постановление правительства

Пока мы, в очередной раз, наблюдали за тем, как немотивированные футболисты во главе с обиженным на всех тренером сливали воду в Варшаве, жизнь шла своим чередом.

На сайте Правительства Российской Федерации появилось подписанное 13 июня 2012 года его Председателем Постановление № 584 «Об утверждении Положения о защите информации в платежной системе» , которое вступает в силу с 1 июля 2012 г.

Как и предусмотрено п.1 ст.27 ФЗ «О национальной платежной системе», Положение устанавливает требования к защите информации:

·о средствах и методах обеспечения информационной безопасности,

·о персональных данных,

·об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.

Самый главный вопрос, возникающий при изучении Положения, — тот же, что и был к ФЗ «О национальной платежной системе»: требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены Банком России, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – «иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации»? Если последнее, то защиту каких сведений будет определять Банк России?

Требования к защите информации с 1 июля 2012 года, как это предусмотрено ФЗ «О национальной платежной системе», должны включаться операторами в правила платежных систем и предусматривать в обязательном порядке (располагаю не в том порядке, как это указано в Положении, а исходя из своего понимания логики действий):

·наличие структурного подразделения по защите информации (службы информационной безопасности) или специально назначенного должностного лица, ответственного за организацию защиты информации;

·риск-ориентированный подход к обеспечению безопасности, что вполне соответствует обязательности создания системы управления рисками в платежной системе;

·определение угроз безопасности информации и анализ уязвимости информационных систем;

·наличие системы защиты информации в информационных системах;

·обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования (тонкая аллюзия на необходимость защиты при передаче данных через интернет?);

·применение средств защиты информации; определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;

·наличие у операторов и агентов локальных правовых актов, устанавливающих порядок реализации требований к защите информации;

·обязанности по выполнению требований к защите информации в должностных обязанностях работников, участвующих в обработке информации;

·выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

·организация, проведение контроля и оценка выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года (самостоятельно или с привлечением лицензиата в области ТЗКИ).

Следующая неожиданность: перечень средств защиты выглядит исчерпывающим (традиционных слов «и другие», «и иные» в тексте Положения нет) и включает в себя:

·шифровальные (криптографические) средства,

·средства защиты информации от несанкционированного доступа,

·средства антивирусной защиты,

·средства межсетевого экранирования,

·системы обнаружения вторжений,

·средства контроля (анализа) защищенности.

Все! Требования об обязательности оценки соответствия СЗИ нет! Читаем еще раз внимательно. Нет такого требования. А вот что это значит – пока совершенно непонятно. Если с защитой персональных данных при осуществлении платежей есть некоторая ясность – меры обеспечения их безопасности определены специальным законодательством, которое в совокупности фактически требует обязательной сертификации СЗИ, то как быть с «иной информацией, подлежащей обязательной защите в соответствии с законодательством Российской Федерации» и что это за информация вообще, будет выясняться, как обычно, по ходу правоприменения.

Фраза «Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации» похоже, является намеком на то, что деятельность по ТЗКИ по-прежнему является лицензируемой.

Последний пункт Положения предусматривает, что применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации. Т.е. опять – только общие слова и, как следствие, неизбежные бесконечные дискуссии специалистов о допустимости использования SSLи TLS, реализующих RSAи прочую заморскую «непонять», электронных средств платежей зарубежной разработки со встроенной в них криптографиейо том, как не нарушить закон при трансграничном переводе денежных средстви т.д.

Порядок действий оператора платежной системы при реализации требований закона и вводимого в действие Положения представляется следующим. Оператор:

1.Назначает у себя структурное подразделение (возлагает на службу информационной безопасности) или должностное лицо, ответственное за организацию защиты информации в платежной системе.

2.В соответствии с выбранной организационной моделью управления рисками в платежной системе (ст.28 закона) определяет свою зону ответственности за риски, связанные с информационной безопасностью, выявляет и обрабатывает риски на основании моделирования угроз и выявления уязвимостей (не забываем про не антропогенные угрозы!) и/или получает информацию о необходимости обработки рисков, выявленных операторами услуг платежной инфраструктуры и участниками платежной системы, а также расчетным центром, если функции по оценке и управлению рисками переданы ему.

3.Самостоятельно (при наличии лицензии на ТЗКИ) или с привлечением лицензиата проектирует систему защиты информации в своей информационной системе, обеспечивающую снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности с использованием набора средств защиты, перечисленных в Положении. При этом оператор помнит о возможности перехвата информации при осуществлении электронных платежей через сети связи общего пользования и интернет (а как иначе их осуществлять) и поднимает для этого криптографические протоколы, в том числе несертифицированные, если может обосновать законность их ввоза и использования.

4.Исходя из результатов обработки рисков и наличия актуальных угроз, в первую очередь – исходящих от его собственного персонала, устанавливает правила доступа к средствам обработки информации и определяет используемые для этого средства.

5.Разрабатывает пакет локальных нормативных документов, описывающих все сделанное выше, в том числе — распределяющих и описывающих обязанности конкретных пользователей системы.

6.Организует мониторинг за выполнением установленных правил, выявление инцидентов и систему реагирования на них, причем документирует результаты этой работы не реже 1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (мы помним о том, что в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

Вот так, примерно. Ничего или почти ничего нового, за исключением заявленного риск-ориентированного подхода. Схема знакома, опробована и закреплена в большом количестве актов. За работу, товарищи участники платежной системы!

не действует Редакция от 06.04.1999 Подробная информация

Наименование документ ПОСТАНОВЛЕНИЕ Правительства РФ от 06.04.99 N 382 «О ПЕРЕЧНЯХ СЕЗОННЫХ ОТРАСЛЕЙ И ВИДОВ ДЕЯТЕЛЬНОСТИ, ПРИМЕНЯЕМЫХ ДЛЯ ЦЕЛЕЙ НАЛОГООБЛОЖЕНИЯ»
Вид документа постановление, перечень
Принявший орган правительство рф
Номер документа 382
Дата принятия 01.01.1970
Дата редакции 06.04.1999
Дата регистрации в Минюсте 01.01.1970
Статус не действует
Публикация
  • Документ в электронном виде ФАПСИ, НТЦ «Система»
  • «Собрание законодательства РФ», 12.04.99, N 15, ст. 1827,
  • «Российская газета», N 76, 21.04.99
Навигатор Примечания

ПОСТАНОВЛЕНИЕ Правительства РФ от 06.04.99 N 382 «О ПЕРЕЧНЯХ СЕЗОННЫХ ОТРАСЛЕЙ И ВИДОВ ДЕЯТЕЛЬНОСТИ, ПРИМЕНЯЕМЫХ ДЛЯ ЦЕЛЕЙ НАЛОГООБЛОЖЕНИЯ»

Постановление

В соответствии со статьей 64 Налогового кодекса Российской Федерации Правительство Российской Федерации постановляет:

1. Утвердить прилагаемый перечень сезонных отраслей и видов деятельности, применяемый при предоставлении отсрочки или рассрочки по уплате налога.

2. Признать утратившими силу:

постановление Совета Министров — Правительства Российской Федерации от 15 марта 1993 г. N 225 «Об утверждении Перечня предприятий, осуществляющих сезонную закупку сырья, для целей обложения налогом на добавленную стоимость» (Собрание актов Президента и Правительства Российской Федерации, 1993, N 12, ст. 1003);

постановление Совета Министров — Правительства Российской Федерации от 23 декабря 1993 г. N 1321 «О внесении дополнений в Перечень предприятий, осуществляющих сезонную закупку сырья, для целей обложения налогом на добавленную стоимость» (Собрание актов Президента и Правительства Российской Федерации, 1993, N 52, ст. 5149);

постановление Правительства Российской Федерации от 24 февраля 1004 г. N 127 «О внесении дополнения в Перечень предприятий, осуществляющих сезонную закупку сырья, для целей обложения налогом на добавленную стоимость» (Собрание актов Президента и Правительства Российской Федерации, 1994, N 9, ст. 703);

постановление Правительства Российской Федерации от 23 января 1995 г. N 74 «О внесении дополнения в Перечень предприятий, осуществляющих сезонную закупку сырья, для целей обложения налогом на добавленную стоимость» (Собрание законодательства Российской Федерации, 1995, N 5, ст. 423).

Председатель Правительства
Российской Федерации
Е.ПРИМАКОВ

УТВЕРЖДЕН
постановлением Правительства
Российской Федерации
от 6 апреля 1999 г. N 382

ПЕРЕЧЕНЬ СЕЗОННЫХ ОТРАСЛЕЙ И ВИДОВ ДЕЯТЕЛЬНОСТИ, ПРИМЕНЯЕМЫЙ ПРИ ПРЕДОСТАВЛЕНИИ ОТСРОЧКИ ИЛИ РАССРОЧКИ ПО УПЛАТЕ НАЛОГА

Сельское хозяйство

Растениеводство

Механизированные работы в полевых условиях

Заготовки сельскохозяйственной продукции и сырья

Перерабатывающая промышленность

Сезонное производство в организациях мясной и молочной промышленности

Сезонное производство в организациях сахарной и консервной промышленности

Рыбное хозяйство

Рыбохозяйственная деятельность на промысловых судах и в береговых перерабатывающих организациях

Искусственное воспроизводство рыбных запасов

Выращивание прудовой товарной рыбы и рыбопосадочного материала

Нефтедобывающая и газовая промышленность

Обустройство месторождений и строительство объектов на болотистых местах и под водой в районах Крайнего Севера и приравненных к ним местностях

Торфяная промышленность

Добыча, сушка и уборка торфа

Ремонт и обслуживание технологического оборудования в полевых условиях

Медицинская промышленность

Заготовка растительного лекарственного и эфирно-масличного сырья

Лесная, деревообрабатывающая и целлюлозно-бумажная промышленность

Заготовка и вывозка древесины

Сплавные и лесоперевалочные работы, работы по выгрузке древесины из судов водного транспорта и выкатке древесины из воды

Заготовка живицы, пневого осмола и бересты

Лесное хозяйство

Подготовка почвы, посев и посадка леса, уход за лесными культурами, работа в лесопитомниках

Полевые лесоустроительные работы

Заготовка дикорастущих лесных продуктов

Водное хозяйство

Дноуглубительные и берегоукрепительные работы

Геолого-разведочные работы

Полевые экспедиционные работы

Промышленность нерудных строительных материалов

Добыча песчано-гравийной смеси из русел рек

Промышленность по добыче и обработке драгоценных металлов и драгоценных камней

Добыча драгоценных металлов и драгоценных камней из россыпных месторождений

Добыча драгоценных металлов из рудных месторождений малой мощности (малые золоторудные месторождения)

Речной и морской транспорт

Перевозки пассажиров и грузов, погрузочно-разгрузочные работы в районах с ограниченными сроками навигации

Все отрасли экономики

Досрочный завоз продукции (товаров) в районы Крайнего Севера и приравненные к ним местности

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *