BIS Journal №1(12)/2014

18 марта, 2014

Комплексный подход к обеспечению соответствия требованиям ИБ НПС

2014 год знаменателен для служб информационной безопасности банков тем, что с 1 января вступили в силу строгие и самые резонансные требования Банка России к информационной безопасности национальной платежной системы (далее – ИБ НПС). Первое – фактически безусловное возмещение клиентам похищенных средств, второе – необходимость регулярно предоставлять Банку России отчетность по выполнению требований, предъявляемых к защите информации.

Соответственно, встает задача полномасштабного внедрения требований по информационной безопасности национальной платежной системы. Казалось бы, задача знакомая, ведь сами требования во многом схожи с нормами отраслевого стандарта, уже ставшим классикой банковской безопасности. Но те, которые предъявляются Федеральным законом «О национальной платёжной системе» ФЗ-161, Указанием Банка России 2831-У от 6 июля 2012 года и Положением Банка России 382-П от 9 июля 2012 года, имеют ряд кардинальных отличий от требований комплекса СТО БР ИББС. Однако при должном подходе выполнение требований к ИБ НПС не несёт дополнительных рисков, а, скорее, открывает новые возможности.

Прежде всего, требования к ИБ НПС применимы только к банковским платёжным технологическим процессам, в отличие от СТО БР ИББС, нормы которого относятся, в первую очередь, к кредитной организации в целом, и к банковским технологическим платёжным и банковским технологическим информационным процессам, в частности. Это обстоятельство, в сочетании с наличием закрытых списков видов платёжных процессов и операторов платежных систем, позволяет рационализировать затраты на соответствие. Решение – провести обстоятельную инвентаризацию платёжных процессов и поддерживающих их IT-активов (know your processes & assets), по результатам которой можно разумно ограничить объём проекта по достижению всей системой соответствия предъявляемым требованиям.

Кроме того, следует учитывать, что, в отличие от СТО БР ИББС, требования к ИБ банка в НПС формируются не только одним «мегарегулятором» – Банком России. Их также, по сути, предъявляет каждый оператор платежной системы, а таких у среднего банка могут быть десятки. Это приводит к существенному росту нагрузки на банковские финансовые и человеческие ресурсы.

Чтобы оптимизировать в этих условиях использование ресурсов, разумно применить принцип know your regulators & requirements («знай своих регуляторов и их требования»), то есть необходимо выстраивать профили соответствия в зависимости от того, кто их предъявляет. Например, «базовый профиль» – для всех платёжных процессов, и дополнительно – профили соответствия требованиям каждой из платёжных систем, участником которых является кредитная организация.

Каждый из операторов платежных систем – участников НПС предъявляет свои требования к ИБ кредитных организаций. Вот их перечень, составленный на основании данных, полученных в ходе практической работы компании R-Style с банком из ТОП-50:

  • Visa;
  • MasterCard;
  • Western Union;
  • Золотая корона;
  • Юнистрим;
  • Contact;
  • Анелик.

С самого начала формирования современной банковской системы РФ комплексные требования по информационной безопасности, содержащиеся в PCI DSS и СТО БР ИББС, были не обязательными, но рекомендательными. Трудно припомнить случаи каких-то санкций или штрафов за их невыполнение. Но требования к ИБ НПС, содержащиеся в федеральном законодательстве и нормативных документах Банка России, стали обязательными для существенной части бизнес-процессов банковской системы – вот в чём ключевое отличие новой ситуации.

Другой существенный, новый фактор – система контроля за выполнением участниками НПС требований к ИБ. В неё включена регулярная отчетность по установленным формам об инцидентах и степени соответствия требованиям, предъявляемым к ИБ организации-участника. Кредитные организации обязаны предоставлять регулятору такую отчётность; а Департамент банковского надзора и Территориальные управления Банка России уполномочены проверять, как соблюдаются требования к ИБ НПС.

Учитывая обязательность требований к ИБ НПС и строгий контроль их выполнения, для кредитных организаций становится рациональным реализовать проект достижения соответствия, используя принцип know your compliance («знай свое соответствие»). То есть нужно выстроить автоматизированный процесс управления соответствием требованиям к ИБ, чтобы, проходя проверки, минимизировать риск применения санкций и ухудшения отношений с Департаментом банковского надзора Банка России.

Для эффективной организации процесса управления соответствием лучше всего использовать известные практики внутреннего контроля – матрицы процессов, активов, регуляторов и требований, что позволит формализовать процесс управления соответствием и эффективно измерять его результативность и эффективность. Следующий шаг – автоматизация процесса с целью получения информации о соответствии практически в режиме реального времени, в том числе, по филиалам, дополнительным офисам и представительствам, также и региональным.

Учитывая все вышеперечисленные особенности выполнения требований к ИБ НПС, оптимальный подход к реализации проекта достижения соответствия следующий:

  • инвентаризация текущих соглашений с платёжными системами согласно определению ФЗ-161 и наличию системы в реестре Банка России;
  • инвентаризация платежных процессов (согласно Постановлению Банка России № 384-П и бизнес- процессам организации) и поддерживающих платежные процессы IT- активов;
  • определение перечня операторов платёжных систем – контрагентов (на основе реестра операторов платежных систем, которые ведёт Банк России, и договоров кредитной организации) и группировка их требований в профили соответствия;
  • составление матрицы соответствия платёжных процессов требованиям платёжных систем контрагентов и матрицы активов и требований;
  • проведение оценки соответствия на основе профилей соответствия;
  • анализ результатов оценки соответствия, выработка технологических и организационных мер соответствия для проблемных областей;
  • оценка сроков и стоимости внедрения мер соответствия, выработка дорожной карты достижения соответствия;
  • проектирование и внедрение мер соответствия;
  • постановка задачи на внедрение / доработку системы автоматизированного контроля соответствия;
  • проектирование и внедрение / доработка системы автоматизированного контроля соответствия.

Внедрение процесса управления требованиями, несмотря на его очевидную необходимость, всё же остается сложным и дорогостоящим проектом. С другой стороны, впервые в истории отечественной банковской отрасли появляются действительно обязательные отраслевые требования к информационной безопасности, с угрозой не призрачного штрафа, но реального ухудшения отношений с государственным регулятором Банком России. Вплоть до отзыва банковской лицензии.

Выполнение этих требований с применением современного подхода также позволит в перспективе помочь соблюдать законодательство по защите персональных данных. Такая возможность открывается при интеграции требований по информационной безопасности персональных данных в единую целостную систему управления требованиями, позволяя ликвидировать избыточные меры и снизить стоимость владения всей системой мер обеспечения соответствия.

Все это позволяет надеяться не только на краткосрочное улучшение уровня информационной безопасности платежной индустрии и повышение защищенности клиентов, но и на появление мотивации руководства кредитных организаций к инвестициям в информационную безопасность, достижение соответствия требованиям и стабильность банковской системы в целом.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.07.2024
Банки, МФО, инвесткомпании и брокеры просят защитить их от «ковровых» атак
22.07.2024
На Трампа покушался «андроид». ФБР заглянуло внутрь смартфона стрелка
22.07.2024
Банкирам запретят плодить потенциальных малолетних дроппов
22.07.2024
Структура LockBit начала сыпаться?
22.07.2024
Операторы вредоносов используют хаос, возникший после глобального сбоя
22.07.2024
Хинштейн: Нужно, чтобы правила игры были для всех одинаковыми
19.07.2024
Глобальный сбой загнал компьютеры на Windows в «вечную» перезагрузку
19.07.2024
CrowdStrike: Это не инцидент безопасности или кибератака
19.07.2024
«Верификация и идентификация абонентов — главная задача»
19.07.2024
«Т-Банк» приглашает сыграть в азартные игры с опасными людьми

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных