Первый шаг навстречу регулятору

Первый шаг навстречу регулятору

Сегодня вряд ли найдётся организация банковской системы, не слышавшая о СТО БР ИББС (Стандарт) и не имеющая представления, о чём в нём идёт речь. По состоянию на 1 апреля 2013 года уведомление о принятии Стандарта в Банк России направили 535 кредитных организаций, из них 288 – по Москве и Московской области.

НАСТОЯЩЕЕ И БУДУЩЕЕ СТО БР ИББС

Действующая в настоящее время версия Стандарта выпущена в 2010 году, спустя два года после предыдущей версии. Предполагалось, что в 2012 году на основании предшествующей тенденции Стандарт будет переработан, однако новая версия выпущена не была. Это объясняется тем, что требования Стандарта взаимосвязаны с требованиями по защите персональных данных, которые по состоянию на 2012 год находились в стадии доработки. Сейчас все изменения в законодательство внесены, и возникает вопрос дальнейшего развития Стандарта. По словам Банка России, на ближайший год планируется проведение работ по совершенствованию комплекта документов СТО БР ИББС, из чего можно предположить, что в ближайшее время мы увидим новую, переработанную версию Стандарта.

Требования СТО БР ИББС являются рекомендательными, и каждая организация решает для себя самостоятельно, принимать или не принимать Стандарт. На наш взгляд, тем организациям, которые ещё окончательно не решили принять Стандарт, в свете складывающейся ситуации лучше сосредоточиться в первую очередь на выполнении обязательных требований законодательства, а именно: требований в рамках функционирования национальной платёжной системы (НПС).

ТРЕБОВАНИЯ НПС: МОЖНО ЛИ ОБОЙТИ?

«Хорошо сформулированная проблема – это наполовину решённая проблема».
Чарльз Франклин Кеттеринг.

Первый шаг навстречу регулятору к её субъектам обязательные требования по проведению анализа и комплексного пересмотра деятельности с учётом новых условий. После того как был выпущен Федеральный закон «О национальной платёжной системе» (Закон о НПС), область действия которого распространяется не только на кредитные организации (как в случае со СТО БР ИББС), но и на все организации, участвующие в процессах перевода денежных средств (собственно субъекты НПС), о нём было сказано и написано немало.

В комплект нормативных документов, регулирующих в рамках НПС вопросы информационной безопасности, также входят Постановление Правительства и документы Банка России. В соответствии с Законом о НПС Банк России теперь наделён правами нормативного регулирования информационной безопасности субъектов НПС, т.е. становится регулятором в этом вопросе и официально может влиять на обеспечение защиты информации в организациях, оказывающих любые виды услуг по переводу денежных средств.

Основным требованием, вызывающим проблемы у субъектов НПС, является требование по предоставлению отчётности регулятору об уровне соответствия требованиям по информационной безопасности. Собственно, эта мера и призвана заставить субъекты НПС исполнять требования по защите информации (внедрять технические и организационные меры) и на регулярной основе проводить аудит текущего состояния системы информационной безопасности в рамках подготовки соответствующих отчетов.

На настоящий момент лишь малая доля субъектов НПС (по информации АБИСС, таких организаций всего 5) подала отчётность в Банк России. Преобладающее большинство заняло выжидательную позицию. Одни ждут прямого указания от Банка России, другие находятся в стадии проведения подготовительных работ для приведения в соответствие, третьи просто не понимают, как заполнять отчётные формы.

Такой подход не совсем верен. Сложившаяся ситуация достаточно серьезна, и невыполнение требований законодательства (мы говорим не только о предоставлении отчётности, но и об исполнении требований обеспечения информационной безо-пасности в целом) влечёт негативные последствия для организации. В последнее время неоднократно поднимался вопрос: что же делать организации, которая приняла у себя СТО БР ИББС? Освобождает ли это от выполнения требований по НПС? Однозначный ответ – нет.

Надо понимать, что в то время, как основные подходы по организации защиты информации для НПС повторяют требования СТО БР ИББС (в силу того, что регулятор у них общий), внедрение последнего не заменяет выполнение требований по защите переводов денежных средств в НПС. Как показывает практика, даже ответственные за информационную безопасность сотрудники кредитных организаций иногда до конца этого не понимают, и происходит своего рода подмена понятий.

Неоднократно в различных источниках проводился сравнительный анализ требований нормативной базы НПС и СТО БР ИББС (в том числе и методик оценок соответствия этим требованиям), который сводился к одному выводу: между этими нормативными актами много общего. При этом в рамках проведения такого анализа не всегда учитывался тот факт, что цели и области действия у них разные.

Методика НПС хотя и является преемницей методики оценки СТО БР ИББС, но по многим показателям упрощена. Это объясняется тем, что у методики НПС более узконаправленная задача – оценка уровня защиты информации в рамках одной определённой деятельности (процессы перевода денежных средств), а не оценка системы обеспечения информационной безопасности в кредитной организации в целом.

ДАЛЬНЕЙШИЕ ДЕЙСТВИЯ: ЧТО ДЕЛАТЬ И КУДА БЕЖАТЬ?

Так как же в сложившейся ситуации поступать организациям, на которых распространяется действие Закона о НПС? Ответ один – начать действовать в рамках НПС. Основное, что надо понять и принять субъектам НПС, – процесс выполнения требований и подачи отчётности не так сложен, как может показаться на первый взгляд. Самое главное – начать проводить необходимые работы, а не ждать, пока будут применены «карательные» санкции за невыполнение требований законодательства.

Кроме того, если организация – субъект НПС не может самостоятельно справиться с проведением таких работ (из-за отсутствия необходимого опыта, ресурсов и т.д.), законодательство разрешает привлекать на договорной основе специализированные организации, оказывающие консультационные услуги в сфере информационной безопасности. Такие организации имеют соответствующий опыт, ресурсы и все необходимые лицензии для осуществления данной деятельности.

Конечно, для организаций, которые уже приняли СТО БР ИББС и провели работы по приведению в соответствие, значительно проще выполнять требования в рамках НПС, т.к. они уже знакомы с основными подходами и механизмами, предлагаемыми Стандартом (отчасти используемыми и в требованиях в рамках НПС). Такие организации показывают высокий уровень зрелости в области информационной безопасности и следуют последним тенденциям в этой сфере, повышая свой статус на рынке.

Но не стоит отчаиваться и тем, кто ещё не начинал проводить работы в области защиты информации. Это могут быть кредитные организации, не посчитавшие нужным принимать Стандарт, или же организации – субъекты НПС, не являющиеся кредитными организациями, на которых Стандарт просто не распространяется. В любой ситуации главное помнить, что осознание проблемы – половина её решения.

В первую очередь, необходимо изучить проблематику, проанализировать применительно к организации установленные требования по защите информации исходя из видов деятельности в рамках НПС. Затем – разработать план дальнейших действий по реализации актуальных требований и начать работы по их выполнению. Это и будет первым шагом навстречу регулятору.