Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

/STANDARD
The qualification delivered by ANSSI offers security and trust guarantees to purchasers of solutions listed in the product catalogues and qualified service providers that the agency publishes. 

Beyond organizations subject to regulation, more generally ANSSI encourages all companies and French administrations to use products that it qualifies; the only proof of a serious and in depth study of the technical functioning of the solution and its ecosystem. 

In terms of qualified service providers, this certification is able to respond to the cybersecurity stakes and projects for the entirety of the French companies that ANSSI could not address on its own. Assessed on technical and organisational criteria, the qualified service providers cover the vast majority of the information system security jobs. Therefore, depending on its needs and the geographical position an organization will be able to call on an Information System Security Audit Service Provider (PASSI), a Security Incident Response Service Provider (PRIS), a Security Incident Detection Service Provider (PDIS) or a Cloud Computing Service Provider (SecNumCloud) 

2.5. Операторы по переводу денежных средств, являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 30 июля 2018 года № 131 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», зарегистрированным Министерством юстиции Российской Федерации 14 ноября 2018 года № 52686 (далее - приказ ФСТЭК России № 131).

Операторы по переводу денежных средств, не указанные в абзаце первом настоящего пункта, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России № 131.

5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: