Чтобы IT-технологии работали во благо

Национальный банк Республики Беларусь разрабатывает проект государственной программы развития системы безналичных расчётов по розничным платежам на 20132015 годы, выполнение которой должно довести их долю от 25 до 50% розничной торговли. Опыт белорусских специалистов по обеспечению информационной безопасности кредитно-финансовой сферы и платёжных систем может быть интересен и полезен для российских коллег.

СТРУКТУРА БАНКОВСКОЙ СИСТЕМЫ

Государственным регулятором, Национальным банком Республики Беларусь, по состоянию на 1 ноября 2012 года зарегистрировано 32 банка. Межбанковские расчёты обеспечивает платёжная система Республики Беларусь – BISS, которая насчитывает 35 участников: все 32 зарегистрированных банка, сам Национальный банк Республики Беларусь, Межгосударственный банк (Москва) и Банк развития Республики Беларусь. Национальной платёжной системой в области банковских пластиковых карт является система «Белкарт».

НОРМАТИВНО-ПРАВОВАЯ БАЗА

Нормативно-правовую базу обеспечения информационной безопасности банков и платёжных систем составляют «Концепция национальной безопасности Республики Беларусь», законы Республики Беларусь «Об информации, информатизации и защите информации», «О государственных секретах», «Об электронном документе и электронной цифровой подписи», а также Указы Президента Республики Беларусь.

Отдельные правовые нормы защиты информации содержатся в Гражданском и Уголовном кодексах РБ, указах Президента РБ, постановлениях Совета Министров РБ (например, в постановлении от 26 мая 2009 года №675 «О некоторых вопросах защиты информации»), а также в руководящих документах Национального банка, нормативных правовых актах министерств и иных республиканских органов государственного управления.

Так, например, законом Республики Беларусь «Об информации, информатизации и защите информации» регулируются общественные отношения, возникающие при обработке, распространении и пользовании информацией, а также создании и использовании информационных технологий, организации и обеспечении защиты информации.

Закон Республики Беларусь «Об электронном документе и электронной цифровой подписи» устанавливает правовые основы применения электронных документов, определяет основные требования, предъявляемые к электронным документам. А также – правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе является равнозначной собственноручной подписи в документе на бумажном носителе.

ТРИ ГРУППЫ СТАНДАРТОВ

Особую часть нормативно-правового обеспечения информационной безопасности составляют технические нормативные правовые акты – стандарты и технические кодексы установившейся практики.

Первая группа стандартов в своей основе – международные стандарты, принятые и используемые в качестве национальных. Это стандарты серии 34.101 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий». Стандарты устанавливают общие подходы к формированию требований и оценке безопасности информационных технологий.

В стандартах определены виды требований безопасности, содержится их систематизированный каталог, а также критерии и уровни оценки безопасности информационных технологий. По этим параметрам оценивается правильность использования средств безопасности и стойкость механизмов защиты.

Вторая группа стандартов нормирует криптографическую защиту информации. Это стандарты СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хеширования», СТБ 1176.2-99 «Информационная технология. Защита информации. Процедуры выработки и проверки электронной цифровой подписи» и другие. Ими руководствуются при разработке средств криптографической защиты для гарантии криптостойкости ЭЦП.

Третья группа - серия стандартов СТБ ISO/IEC 27000, содержащих лучшие практики и рекомендации для создания, развития и эксплуатации систем управления информационной безопасностью (СУИБ) предприятия. Эта серия – белорусские аналоги международных стандартов, определяющих требования к СУИБ, управление рисками, метрики и измерения, а также порядок внедрения. Данные стандарты применимы для всех типов организаций – государственных и некоммерческих организаций, а также для коммерческих предприятий.

Рассмотренная нормативно-правовая база деятельности по обеспечению информационной безопасности является основой построения систем защиты информации. В соответствии с действующими нормами должны разрабатываться и применяться внутренние локальные нормативные правовые акты организаций, регламентирующие вопросы управления информационной безопасностью – регламенты, инструкции, положения.

ЗАЩИТА ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

Совместным письмом Национального банка Республики Беларусь и Министерства внутренних дел РБ № 33-24/609 от 15 декабря 2011 года и № 14/5115 от 29 декабря 2011 года в банки был направлен Свод рекомендаций по противодействию мошенничеству в области электронных платежей (далее – Рекомендации).

Эти рекомендации были разработаны рабочей группой по противодействию мошенничеству в области электронных платежей, созданной в соответствии с распоряжениями Председателя Правления Национального банка Республики Беларусь № 1056 от 31 декабря 2010 года и № 213 от 25 марта 2011 года. В состав рабочей группы были включены представители Национального банка и других банков Республики Беларусь, Министерства внутренних дел Республики Беларусь, ОАО «Банковский процессинговый центр», ООО «Мастеркард» (Москва), Украинского регионального офиса международной платёжной системы VISA (Киев).

Рекомендации по противодействию мошенничеству в сфере электронных платежей разработаны по следующим направлениям:

  • организация взаимодействия между банками, процессинговыми центрами и органами Министерства внутренних дел в случае выявления мошенничества с банковскими пластиковыми карточками;
  • обеспечение безопасного функционирования программно-технической инфраструктуры банков, ОАО БПЦ, ООО «ВЕБ ПЭЙ» и аналогичных организаций, участвующих в обработке интернет-транзакций с использованием банковских пластиковых карточек;
  • оценка надёжности интернет-магазинов, подключаемых белорусскими банками-эквайерами; т противодействие мошенничеству при совершении расчетов в сети интернет по банковским пластиковым карточкам;
  • оформление банками документов, позволяющих подтверждать ущерб, причиненный резидентам иностранных государств в результате мошенничества в области интернет-эквайринга на территории Республики Беларусь.

Целями рекомендаций являются:

  • апробация на практике мероприятий и требований, направленных на предупреждение преступных посягательств;
  • сохранение фактических материалов, способствующих раскрытию преступлений;
  • обеспечение чёткого взаимодействия между банками, организациями и органами Министерства внутренних дел РБ при проведении следственных мероприятий.

Применение рекомендаций в практической деятельности указанных субъектов хозяйствования и органов МВД РБ позволяет накопить опыт, на основе которого совершенствуются действующие и разрабатываются новые отраслевые нормативные правовые акты, в том числе технические.

КОНТРОЛЬ, НАДЗОР И ИНФРАСТРУКТУРА

Функции государственного контроля и надзора за выполнением банками и платёжными системами установленных требований к обеспечению информационной безопасности Банковский кодекс РБ возлагает на Национальный банк Республики Беларусь. Другим государственным регулятором в этой области – использование средств криптографической защиты информации, электронной подписи и защиты персональных данных – является Оперативный аналитический центр при Президенте РБ – ОАЦ (http://oac.gov.by).

Среди объектов контрольно-надзорной деятельности – рынок продуктов и услуг решений для обеспечения информационной безопасности финансовой сферы. В Беларуси он представлен несколькими десятками фирм разной формы собственности, деятельность которых ведётся на основе выданных лицензий. Список фирм, имеющих соответствующие лицензии, представлен на сайте ОАЦ.

Подготовка − обучение и повышение квалификации специалистов в сфере информационной безопасности для кредитно-финансовых организаций и платёжных систем осуществляется главным образом Белорусским государственным университетом и Белорусским государственным университетом информатики и радиоэлектроники

Существует программа обучения по специальностям, связанным с обеспечением информационной безопасности и защитой информации, которая согласована и утверждена Советом Министров РБ. Эта программа достаточно широкая, она включает обучение и подготовку кадров в том числе и для банковской системы. Ряд функций в учебном процессе выполняют фирмы – поставщики продуктов и услуг в области информационной безопасности.

В Республике Беларусь проводятся разнообразные отраслевые деловые мероприятия по тематике информационной безопасности финансового сектора и электронных расчётов. Из последних значимых мероприятий – прошедший 21–22 ноября 2012 года в Минске IX форум «БанкИТ'12» (http://bankit.by), организованный Национальным банком Республики Беларусь, Научно-технологической ассоциацией «Инфопарк» и Ассоциацией белорусских банков.

В форуме приняли участие более 1150 представителей банков, 1Т-компаний, государственных органов и других организаций. Участники представляли Беларусь, Россию, Украину, Казахстан, Армению, Латвию, Литву, Бельгию, Великобританию, Германию и Польшу.

Довольно широкий круг мероприятий проводится совместно с Банком России, в сотрудничестве с органами ЕврАзЭС и Союзного государства.

* * *

В своём выступлении на форуме «БанкИТ'12» Председатель Правления Национального банка РБ Надежда Андреевна Ермакова отметила: «Банковская система Беларуси является лидером по внедрению современных информационных технологий в обслуживании клиентов. 2012 год проходил под девизом расширения сферы применения систем дистанционного банковского обслуживания, в том числе за счёт развития единого расчетного информационного пространства и расширения практики использования безналичных расчетов».

Сергей Голяков -- Начальник отдела управления безопасности и защиты информации (Национальный банк Республики Беларусь)

BIS Journal №1(8)/2013

23 января, 2013

Смотрите также