8 октября, 2013

№161-ФЗ: новые понятия, правила и требования


Максимов Вячеслав

заместитель генерального директора (Компания «Андэк» )

Требования нормативных документов Банка России к защите информации, сроки исполнения и последствия, определяемые федеральным законом о НПС

С 1 июля 2012 года вступила в силу статья 27 Закона РФ от 27.06.2011г. N161-ФЗ «О национальной платежной системе», устанавливающая необходимость защиты информации при осуществлении переводов денежных средств для всех организаций банковской системы России. В настоящей статье мы попробуем помочь вам разобраться в относительно новых понятиях, правилах и требованиях.

 

ЧАСТЬ 1: РОЛИ В ПЛАТЕЖНЫХ СИСТЕМАХ

В 2011 году был опубликован Закон РФ от 27.06.2011г. N161-ФЗ «О национальной платежной системе» (далее – Закон об НПС), регулирующий порядок оказания платежных услуг и определяющий требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе.

Важно заметить, что под платежной системой понимается не информационная система, осуществляющая денежные переводы, а совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств.

Вступившая в действие 1 июля 2012 года статья 27 Закона об НПС устанавливает необходимость обеспечения защиты информации в платежных системах. В июне 2012 года был принят ряд подзаконных актов, регламентирующих обеспечение защиты информации в платежных системах.

При этом состав требований в области информационной безопасности, выдвигаемый регуляторами для конкретной организации, зависит от того, какую роль выполняет эта организация в платежной системе.

Регуляторы

Законом об НПС предусмотрены три уровня регулирования в платежных системах (см. Схему 1).

Схема 1. Уровни регулирования в платежных системах

Закон об НПС вводит роль оператора платежной системы и возлагает на нее функции «локального регулятора», разрабатывающего правила платежных систем и контролирующего исполнение этих правил.

Основным, «глобальным» регулятором в рамках национальной платежной системы является Банк России. При этом все документы, устанавливающие требования по защите информации в платежных системах, выпускаемые Банком России, должны быть согласованы с ФСТЭК России и ФСБ России.

На ФСТЭК и ФСБ возложены контроль и надзор за соблюдением требований по защите информации, установленных Правительством РФ. Однако, Правительством РФ установлены лишь очень общие положения, утвержденные Постановлением №584 от 13.06.2012, и как именно ФСТЭК России и ФСБ России будут проверять исполнение этих положений пока не понятно.

Роли в платежных системах

Законом об НПС введены следующие ключевые роли, которые организация может исполнять в платежной системе (см. Схему 2):

  • оператор платежной системы;
  • оператор по переводу денежных средств;
  • оператор услуг платежной инфраструктуры;
  • банковский платежный агент/субагент.

Все организации, выполняющие указанные роли, вместе называются субъектами платежной системы.

Схема 2. Роли в платежных системах

Одна и та же организация может одновременно входить в состав нескольких платежных систем, а также может одновременно выполнять несколько различных ролей в рамках одной платежной системы. В Таблице 1 указаны роли, которые в соответствии с Законом об НПС могут выполнять кредитные и не кредитные организации, участвующие в оказании платежных услуг.

Роль в платежной системе

Кредитная организация

Некредитная организация

Оператор платежной системы

ДА

ДА

Оператор по переводу денежных средств

ДА

НЕТ

Оператор услуг платежной инфраструктуры – расчетный центр

ДА

НЕТ

Оператор услуг платежной инфраструктуры – операционный центр

ДА

ДА

Оператор услуг платежной инфраструктуры – платежный клиринговый центр

ДА

ДА

Банковский платежный агент

НЕТ

ДА

Таблица 1. Роли в платежной системе для кредитных и некредитных организаций

Оператор платёжной системы

Оператор платежной системы играет основную роль в платежной системе. Закон об НПС определяет следующие обязанности операторов платежных систем:

  • определять правила платежной системы;
  • организовывать и осуществлять контроль за соблюдением правил платежной системы участниками платежной системы, операторами услуг платежной инфраструктуры;
  • осуществлять привлечение операторов услуг платежной инфраструктуры (за исключением случая, когда оператор платежной системы совмещает функции оператора услуг платежной инфраструктуры);
  • обеспечивать контроль за оказанием услуг платежной инфраструктуры участникам платежной системы;
  • вести перечень операторов услуг платежной инфраструктуры;
  • организовывать систему управления рисками в платежной системе;
  • осуществлять оценку и управление рисками в платежной системе;
  • обеспечивать возможность досудебного и (или) третейского рассмотрения споров с участниками платежной системы и операторами услуг платежной инфраструктуры в соответствии с правилами платежной системы.

В случае, если оператор платежной системы не является кредитной организацией, часть его функций передается привлеченному оператору услуг платежной инфраструктуры – расчетному центру.

Стоит также отметить, что с 1 июля 2012 года все операторы платежных систем подлежат обязательной регистрации Банком России в реестре операторов платежных систем. Более того, ни одна организация не может использовать в своем фирменном наименовании слова «платежная система» или иным образом указывать на осуществление деятельности оператора платежной системы, если она не зарегистрирована в этом реестре.

Законом об НПС установлен четкий критерий, на основании которого кредитная организация признается оператором платежной системы (ч.39 ст.15 Закона об НПС и п.1 Указания Банка России №2814-У):

Оператор по переводу денежных средств, за исключением Банка России, у которого открыты банковские счета не менее трёх других операторов по переводу денежных средств и между этими счетами осуществляются переводы денежных средств в течение трех месяцев подряд в размере, превышающем 1 500 000 000 рублей, обязан направить в Банк России заявление о регистрации оператора платежной системы в течение 30 дней после дня начала соответствия указанному требованию. По истечении четырех месяцев после дня начала соответствия указанному требованию осуществление перевода денежных средств между банковскими счетами операторов по переводу денежных средств, открытыми у такого оператора по переводу денежных средств, допускается только в рамках платежной системы.

Таким образом, банкам, соответствующим данному критерию, необходимо сделать выбор:

  • становиться оператором собственной платежной системы, или
  • осуществлять переводы денежных средств в рамках уже зарегистрированных платежных систем.

Необходимо отметить, что к заявлению о регистрации оператора платежной системы, направляемому в Банк России, должны быть приложены правила платежной системы, о которых мы поговорим во второй части этой статьи.

Оператор услуг платёжной инфраструктуры

По определению, данному в Законе об НПС, операторами услуг платежной инфраструктуры являются операционные центры, платежные клиринговые центры и расчетные центры.

Операционный центр обеспечивает обмен электронными сообщениями в платежной системе, а также осуществляет иные действия, связанные с использованием информационно-коммуникационных технологий, необходимые для функционирования платежной системы и предусмотренные ее правилами. Операционный центр несет ответственность за реальный ущерб, причиненный субъектам платежной системы вследствие ненадлежащего оказания операционных услуг.

Услуги клиринга в платежной системе оказывает платежный клиринговый центр, который передает в расчетный центр подлежащие исполнению распоряжения участников платежной системы, от их имени. Платежный клиринговый центр несет ответственность за убытки, причиненные участникам платежной системы и расчетному центру вследствие ненадлежащего оказания услуг платежного клиринга.

Расчетный центр исполняет поступившие от платежного клирингового центра распоряжения участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы. Кроме того, в платежных системах, где оператор платежной системой является некредитной организацией, на расчетный центр возлагается часть функций оператора платежной системы, в частности:

  • оценка и управление рисками в платежной системе;
  • координация деятельности субъектов платежной системы по обеспечению бесперебойности функционирования платежной системы;
  • определение порядка обеспечения защиты информации при осуществлении переводов денежных средств.

Операторы услуг платежной инфраструктуры привлекаются оператором платежной системы, и обязаны предоставлять ему информацию о своей деятельности в соответствии с правилами платежной системы.

Заметим, что Закон об НПС допускает наличие в одной платежной системе нескольких операционных центров, нескольких платежных клиринговых центров и нескольких расчетных центров.

Оператор по переводу денежных средств и банковские платежные агенты

В соответствии с Законом об НПС оператором по переводу денежных средств могут являться только кредитные организации, имеющие право на осуществление денежных переводов, Банк России и Внешэкономбанк.

В соответствии с п.2.2 Положения №384-П, критерием участия в платежной системе Банка России является наличие корреспондентского счета в Банке России. Другими словами, все банковские организации в РФ входят в состав как минимум одной платежной системы – платежной системы Банка России, и являются в рамках нее операторами по переводу денежных средств. Кроме того, банк может принять решение об участии в прочих платежных системах, зарегистрированных Банком России.

Операторы по переводу денежных средств вправе на основании договора привлекать банковских платежных агентов:

  • для принятия от клиентов и (или) выдачи клиентам наличных денежных средств;
  • для предоставления клиентам электронных средств платежа и обеспечения возможности их использования в соответствии с условиями, установленными оператором по переводу денежных средств;
  • для проведения идентификации клиента в целях осуществления перевода денежных средств без открытия банковского счета.

В этом случае оператор по переводу денежных средств должен вести перечень привлеченных банковских платежных агентов, и предоставлять его по запросу физических лиц для ознакомления.

Оператор по переводу денежных средств также осуществляет контроль за соблюдением привлеченными банковскими платежными агентами условий их привлечения, включая контроль соблюдения требований по защите информации, а также включает в свою отчетность об инцидентах, направляемую в Банк России, сведения об инцидентах, выявленных банковскими платежными агентами.

ЧАСТЬ 2: О ПРАВИЛАХ ПЛАТЕЖНЫХ СИСТЕМ

Правила платежных систем

Закон об НПС определяет правила платежной системы как документ, содержащий условия участия в платежной системе, осуществления перевода денежных средств, оказания услуг платежной инфраструктуры и иные условия, определяемые оператором платежной системы. При этом правила платежной системы могут быть составлены в виде единого документа или нескольких взаимосвязанных документов.

В соответствии со статьей 20 Закона об НПС, правила платежных систем (за исключением платежной системы Банка России) представляют собой что-то вроде договора-оферты:

  • являются договором;

  • являются публично доступными (хотя оператор платежной системы вправе не раскрывать информацию о требованиях к защите информации);

  • оператор платежной системы обязан предоставить правила для ознакомления организациям, намеревающимся участвовать в платежной системе;

  • участники платежной системы присоединяются к правилам только путем принятия их в целом.

Правила платежной системы Банка России определяются нормативными актами Банка России, разработанными на основании Закона об НПС. Для банков это означает необходимость исполнения новых требований к защите информации, поступающих как от ключевого регулятора в области национальной платежной системы (Банк России), так и от локальных регуляторов – операторов всех платежных систем, в которых эти банки принимают участие.

Схема 3. Требования, предъявляемые субъектам платежных систем

Содержание правил платежных систем

Требования к содержанию правил платежной системы определены Законом об НПС и Правительством РФ.

Ч. 1 ст. 20 Закона об НПС требует, чтобы правила платежных систем определяли, помимо прочего, следующие интересные с точки зрения защиты информации области:

  • порядок осуществления контроля за соблюдением правил платежной системы;

  • порядок предоставления участниками платежной системы и операторами услуг платежной инфраструктуры информации о своей деятельности оператору платежной системы;

  • система управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками;

  • порядок обеспечения бесперебойности функционирования платежной системы;

  • порядок взаимодействия в рамках платежной системы в спорных и чрезвычайных ситуациях, включая информирование операторами услуг платежной инфраструктуры, участниками значимой платежной системы оператора значимой платежной системы о событиях, вызвавших операционные сбои, об их причинах и последствиях;

  • требования к защите информации.

Рассмотрим подробнее некоторые из этих областей.

Бесперебойность функционирования платежных систем

Банк России выпустил Положение №379-П, устанавливающее требования к порядку обеспечения бесперебойности функционирования платежных систем. В соответствии с этим Положением, БФПС обеспечивается за счет достижения, подтверждения и поддержания приемлемого уровня рисков нарушения БФПС, под которыми понимаются присущие функционированию платежной системы типичные возможности неоказания, ненадлежащего оказания услуг платежной системы участникам платежной системы вследствие наступления неблагоприятных событий, связанных с внутренними и внешними факторами функционирования платежной системы.

Положение №379-П определяет общие требования к процессу управления рисками нарушения БФПС, к процедурам взаимодействия и информационного обмена между участниками платежной системы при обеспечении БФПС, а также основные типы показателей БФПС и цели их использования.

Раскрытие требований к обеспечению БФПС в правилах платежной системы – задача оператора этой платежной системы, которую необходимо было выполнить до 1 января 2013 года.

Требования к защите информации

Постановление Правительства РФ от 13.06.2012 №584 раскрывает состав требований к защите информации, которые должны включаться в правила платежных систем. В этом перечне особое внимание стоит обратить на то, что в правила платежных систем должны быть включены требования по определению угроз, анализу уязвимостей систем и управлению рисками информационной безопасности. В частности, это означает, что процесс управления рисками информационной безопасности в банках теперь должен регулироваться операторами платежных систем, по крайней мере в части инфраструктуры, относящейся к соответствующим платежным системам. В то время как ранее методика оценки рисков выбиралась по собственному усмотрению. Более того, ранее организации были вольны не оценивать риски вовсе.

С прочими требованиями все несколько проще, поскольку они уже раскрыты (или частично раскрыты) Банком России в Положении №382-П. И теперь, на уровне правил платежной системы, нужна лишь их детализация, отражающая правила осуществления денежных переводов, способы взаимодействия между участниками и прочую специфику конкретной платежной системы.

ЧАСТЬ 3: ТРЕБОВАНИЯ БАНКА РОССИИ К ЗАЩИТЕ ИНФОРМАЦИИ В ПЛАТЕЖНЫХ СИСТЕМАХ

В состав основных документов Банка России, регламентирующих защиту информации в платежных системах, входят:

  • Положение Банка России от 09.06.2012 г. N382-П: «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;

  • Указание Банка России от 09.06.2012 N2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»;

  • Положение Банка России от 31.05.2012 г. N379-П: «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах».

ПОЛОЖЕНИЕ №382-П О ТРЕБОВАНИЯХ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ

Защищаемая информация

Пункт 2.1 Положения №382-П отвечает на вопрос, какая именно информация должна защищаться при осуществлении переводов денежных средств. Примечательно, что помимо прочего к такой информации также относятся:

  • информация, необходимая для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;

  • информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемая при осуществлении переводов денежных средств.

При анализе Положения №382-П мы не выявили явных противоречий между требованиями к обеспечению защиты информации в платежных системах и требованиями к защите персональных данных и данных платежных карт. А тот факт, что к перечню защищаемой информации отнесены данные платежных карт, свидетельствует о том, что часть операторов платежных систем при формировании требований к защите информации в рамках разработки правил платежной системы сочтет целесообразным опираться не только на документы Банка России, но и на стандарт PCI DSS.

Требования к обеспечению защиты информации

Положение №382-П устанавливает требования к обеспечению защиты информации при осуществлении переводов денежных средств. По сути, большинство требований повторяют уже хорошо знакомый в банковской сфере СТО БР ИББС-1.0, но в сокращенной форме, что связано с более узкой сферой применения.

Кардинально новыми являются требования по информированию оператора платежной системы об обеспечении защиты информации при осуществлении переводов денежных средств. В частности, субъекты платежной системы обязаны уведомлять оператора платежной системы:

  • о степени выполнения требований к обеспечению защиты информации;

  • о реализации порядка обеспечения защиты информации;

  • о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации;

  • о результатах проведенных оценок соответствия;

  • о выявленных угрозах и уязвимостях в обеспечении защиты информации.

Кроме того, Положение №382-П устанавливает рях дополнительных требований, не предусмотренных в СТО БР ИББС-1.0:

  • Защита от скимминга (п.2.6.7 Положения №382-П)

Теперь необходимо обеспечить контроль отсутствия размещения на платежных терминалах и банкоматах специализированных средств, предназначенных для несанкционированного считывания треков платежных карт

  • Приостановка клиентами своих платежей (п.2.6.9 Положения №382-П)

Операторы по переводу денежных средств должны обеспечить клиентам возможность приостановления (блокирования) приема к исполнению распоряжений об осуществлении денежных переводов от их имени

  • Информирование о вирусном заражении (п.2.7.5 Положения №382-П)

В соответствии с этим требованием, теперь необходимо уведомлять о фактах обнаружения и (или) воздействия вредоносного кода оператора платежной системы и прочих субъектов платежной системы

  • Защита от внешних атак (п.2.8.1 Положения №382-П)

При использовании сети Интернет для осуществления переводов денежных средств необходимо реализовать комплекс мер, позволяющих снизить тяжесть последствий от атак, целью которых является создания условий для невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств.

  • Защита от фишинга (п.2.8.2 Положения №382-П)

Операторы по переводу денежных средств теперь обязаны предоставлять клиентам рекомендации по защите информации от несанкционированного доступа путем использования ложных (фальсифицированных) ресурсов сети Интернет

Среди прочих отличий Положения №382-П от СТО БР ИББС-1.0 стоит отметить следующие:

  • Ряд требований, относящихся в СТО БР ИББС-1.0 к разряду рекомендательных, переведен Положением №382-П в обязательные

В частности, обязательной становится эшелонированная антивирусная защита с применением антивирусных средств различных производителей (п.2.7.3 Положения), а также формирование собственных служб информационной безопасности в филиалах банков (п.2.11.2 Положения).

  • Значимость документирования требований к защите информации существенно возросла

В соответствии с п.2.1 «Порядка проведения оценки соответствия и документирования ее результатов» (Приложение 1 к Положению №382-П), отсутствие во внутренних документах организации оцениваемого требования не позволит выставить положительную (больше 0) оценку для этого требования, даже если оно идеально исполняется.

Меньше всего требований Положение №382-П предъявляет к банковским платежным агентам (субагентам), что вполне объясняется их ограниченной ролью в платежных системах.

Раздел 2.15 Положения №382-П предусматривает оценку исполнения требований к обеспечению защиты информации. Такая оценка может проводиться как самостоятельно, так и с привлечением внешних организаций. Периодической оценке (не реже одного раза в два года, а также по требованию Банка России) подлежат все участники платежных систем и операторы услуг платежной инфраструктуры. В связи с тем, что ответственность за исполнение банковскими платежными агентами (субагентами) требований к защите информации возложена на операторов по переводу денежных средств, для банковских платежных агентов (субагентов) требований по периодическому прохождению оценки не предъявлено.

Стоит также отметить, что согласно Указания Банка России №3007-У первая оценка исполнения требований к обеспечению защиты информации должна быть проведена в течение шести месяцев с момента получения организацией статуса оператора по переводу денежных средств, оператора услуг платежной инфраструктуры и/или оператора платежной системы. Учитывая, что все банки являются операторами по переводу денежных средств, а Указание №3007-У вступило в силу 10.07.2013, всем банкам необходимо завершить первую самооценку или внешний аудит на соответствие требованиям Положения №382-П не позднее 10 января 2014 года.

О необходимости применения сертифицированных СЗИ

В соответствии с пунктом 2.6.2 Положения №382-П, субъекты платежной системы должны обеспечить применение некриптографических средств защиты информации от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. При этом применение в качестве средств защиты информации такого типа решений иностранного производства явно разрешено.

Это означает, что вопрос сертификации таких средств защиты в явном виде не прописан, что дает возможность оператору платежной системы устанавливать эти требования самостоятельно, по аналогии с п.7.4.2 СТО БР ИББС-1.0.

Пункт 2.9.1 Положения №382-П выдвигает требования к обеспечению защиты информации с использованием средств криптографической защиты (далее – СКЗИ). Второй абзац данного пункта гласит:

«В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа».

То есть сертификация СКЗИ обязательна только для отечественных решений. При этом необходимость применения СКЗИ для обеспечения защиты информации при осуществлении переводов денежных средств определяет оператор платежной системы.

УКАЗАНИЕ №2831-У ОБ ОТЧЕТНОСТИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ

Указание №2831-У устанавливает, в какой форме, и с какой периодичностью субъекты платежных систем должны отчитываться перед Банком России о состоянии информационной безопасности в платежных системах. Установлены два вида отчетности (см. Таблицу 2), формы и методики составления которых приведены в приложениях к Указанию №2831-У.

Оба вида отчетов должны предоставляться операторами платежных систем, операторами услуг платежной инфраструктуры и операторами по переводу денежных средств.

 

Отчетность

Периодичность предоставления

Крайний срок

Сведения о выполнении требований к обеспечению защиты информации при осуществлении переводов денежных средств

Не реже одного раза в два года, а также по требованию Банка России

Не позднее 30 рабочих дней со дня завершения оценки выполнения требований Положения N382-П

Первая оценка должна быть завершена не позднее 10.01.2014

Первый отчет должен быть предоставлен не позднее 21.02.2014

Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Ежемесячно, не позднее 10 рабочего дня месяца, следующего за отчетным

Выявление и регистрация инцидентов должны были начаться с 01.07.2012

Первый отчет надо было предоставить не позднее 14.08.2012

Таблица 2. Отчетность по защите информации, направляемая в Банк России

Примечательно, что в отчет о выявленных инцидентах необходимо включать сведения об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, последствием которых являются:

  • Нарушение предоставления услуг по переводу денежных средств или несвоевременность осуществления переводов денежных средств:

  • воздействие вредоносного кода, результатом которого является нарушение БФПС;

  • воздействие на объекты инфраструктуры с целью нарушения БФПС;

  • нарушение БФПС в течение 3-х часов и более;

  • Неавторизованные переводы денежных средств – несанкционированное списание:

  • нарушение конфиденциальности информации, необходимой для удостоверения клиентами права распоряжения денежными средствами;

  • компрометация ключевой информации СКЗИ, используемых при осуществлении переводов денежных средств;

  • осуществление переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами:

  • вследствие нарушения конфиденциальности информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, или

  • вследствие компрометации ключевой информации СКЗИ, используемых при осуществлении переводов денежных средств;

  • Неавторизованные переводы денежных средств – искажение информации:

  • воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, оформленных в рамках применяемой формы безналичных расчетов, распоряжениях участников платежной системы, распоряжениях платежного клирингового центра.

Как видно, Банк России необходимо уведомлять обо всех инцидентах, нарушающих и (или) способных нарушить доступность, конфиденциальность и целостность услуг по переводу денежных средств.

Положение №379-П о бесперебойности функционирования платежных систем

В соответствии с Положением №379-П оператор платежной системы определяет порядок обеспечения БФПС, а прочие участники платежной системы должны следовать этому порядку, который является неотъемлемой частью правил платежных систем.

Субъекты платежной системы, не являющиеся кредитными организациями, должны выделить сотрудников или структурные подразделения, ответственные за деятельность по обеспечению БФПС, в то время как банки организуют деятельность по реализации порядка обеспечения БФПС в рамках действующих внутренних систем управления рисками.

Пока сложно определить уровень загрузки специалистов операторов услуг платежной инфраструктуры, операторов по переводу денежных средств и банковских платежных агентов (субагентов), на которых будет возложена ответственность за обеспечение БФПС, поскольку он полностью зависит от определяемых операторами платежных систем порядков обеспечения БФПС.

Однако смело можно говорить об увеличении нагрузки на работников операторов платежных систем, которые еще к 1 января 2013 года должны были определить правила обеспечения бесперебойности платежной системы и организовать контроль их соблюдения всеми участниками платежной системы.

ЗАКЛЮЧЕНИЕ

С 1 июля 2012 года Банк России начал регистрацию операторов платежных систем. На момент написания данной статьи была зарегистрирована уже 28 платежных систем, в том числе платежные системы Visa, MasterCard и «Универсальная электронная карта». При этом подавляющее число операторов платежных систем пока не детализировали порядок обеспечения защиты информации при осуществлении переводов денежных средств. Так, например, во многих правилах уровень детализации порядка реагирования на инциденты информационной безопасности не дает ясного понимания как действовать в случае выявления инцидента, кого и когда уведомлять о его обнаружении, как и сколько времени сохранять следы инцидента, и т.д. Формально правила платежных систем отвечают предъявляемым к ним требованиям, но не дают ответа на вопрос как именно обеспечивать информационную безопасность и бесперебойность функционирования платежной системы.

Нет сомнений, что со временем ситуация изменится, и требования получат необходимый уровень детализации. Учитывая, что в оказание услуг по переводу денежных средств прежде всего вовлечены финансовые организации, операторы платежных систем при формировании этих требований скорее всего возьмут за основу Положение Банка России №382-П и документы по стандартизации в области информационной безопасности, выпущенные Банком России.

Однако, не смотря на то, что практически все требования по защите информации в общих чертах уже расписаны в документах Банка России, не факт, что все операторы платежных систем удовлетворятся этими документами. Это может привести к возникновению коллизий при обеспечении защиты информации в рамках исполнения противоречивых требований различных платежных систем.

Все банки в РФ являются, как минимум, операторами по переводу денежных средств в платежной системе Банка России. И независимо от того, входит ли банк в какую-либо еще платежную систему, на него распространяются требования Банка России в области обеспечения защиты информации при осуществлении переводов денежных средств (Положение №382-П) и отчетности по обеспечению защиты информации (Указание №2831-У).

Поскольку требования Банка России по обеспечению защиты информации при осуществлении переводов денежных средств не многим отличаются от уже известных требований СТО БР ИББС-1.0, целесообразно проводить работы по приведению в соответствие Положению №382-П и СТО БР ИББС-1.0 комплексно.

Кроме того, целесообразно скорректировать процессы мониторинга событий и реагирования на инциденты информационной безопасности так, чтобы подготовка отчетности по инцидентам, отражающей реальную картину, не становилась ежемесячной головной болью службы ИБ. «Ручное» выявление большинства типов инцидентов, о которых необходимо ежемесячно уведомлять Банк России, малоэффективно. Применение систем управления событиями информационной безопасности (SIEM) способно обеспечить выявление таких инцидентов практически в реальном времени. Решение этих задач позволит не только выполнить требования Банка России, но и «открыть глаза» службе ИБ на общее состояние защищенности информации в платежной системе, скорректировать (в случае необходимости) карту рисков информационной безопасности и БФПС, обеспечить возможность извлечения уроков из инцидентов и совершенствования системы обеспечения защиты информации в целом.

Также целесообразно рассмотреть вопрос об использовании антифрод-систем, поскольку, в соответствии с положениями ст. 9 закона об НПС, возмещение ущерба от мошеннических операций по переводу денежных средств будет возложено на банки.

 

Смотрите также

High tech, low life

15 июля, 2013
Подпишись на новости!
Подписаться