Соответственно, встает задача полномасштабного внедрения требований по информационной безопасности национальной платежной системы. Казалось бы, задача знакомая, ведь сами требования во многом схожи с нормами отраслевого стандарта, уже ставшим классикой банковской безопасности. Но те, которые предъявляются Федеральным законом «О национальной платёжной системе» ФЗ-161, Указанием Банка России 2831-У от 6 июля 2012 года и Положением Банка России 382-П от 9 июля 2012 года, имеют ряд кардинальных отличий от требований комплекса СТО БР ИББС. Однако при должном подходе выполнение требований к ИБ НПС не несёт дополнительных рисков, а, скорее, открывает новые возможности.
Прежде всего, требования к ИБ НПС применимы только к банковским платёжным технологическим процессам, в отличие от СТО БР ИББС, нормы которого относятся, в первую очередь, к кредитной организации в целом, и к банковским технологическим платёжным и банковским технологическим информационным процессам, в частности. Это обстоятельство, в сочетании с наличием закрытых списков видов платёжных процессов и операторов платежных систем, позволяет рационализировать затраты на соответствие. Решение – провести обстоятельную инвентаризацию платёжных процессов и поддерживающих их IT-активов (know your processes & assets), по результатам которой можно разумно ограничить объём проекта по достижению всей системой соответствия предъявляемым требованиям.
Кроме того, следует учитывать, что, в отличие от СТО БР ИББС, требования к ИБ банка в НПС формируются не только одним «мегарегулятором» – Банком России. Их также, по сути, предъявляет каждый оператор платежной системы, а таких у среднего банка могут быть десятки. Это приводит к существенному росту нагрузки на банковские финансовые и человеческие ресурсы.
Чтобы оптимизировать в этих условиях использование ресурсов, разумно применить принцип know your regulators & requirements («знай своих регуляторов и их требования»), то есть необходимо выстраивать профили соответствия в зависимости от того, кто их предъявляет. Например, «базовый профиль» – для всех платёжных процессов, и дополнительно – профили соответствия требованиям каждой из платёжных систем, участником которых является кредитная организация.
Каждый из операторов платежных систем – участников НПС предъявляет свои требования к ИБ кредитных организаций. Вот их перечень, составленный на основании данных, полученных в ходе практической работы компании R-Style с банком из ТОП-50:
С самого начала формирования современной банковской системы РФ комплексные требования по информационной безопасности, содержащиеся в PCI DSS и СТО БР ИББС, были не обязательными, но рекомендательными. Трудно припомнить случаи каких-то санкций или штрафов за их невыполнение. Но требования к ИБ НПС, содержащиеся в федеральном законодательстве и нормативных документах Банка России, стали обязательными для существенной части бизнес-процессов банковской системы – вот в чём ключевое отличие новой ситуации.
Другой существенный, новый фактор – система контроля за выполнением участниками НПС требований к ИБ. В неё включена регулярная отчетность по установленным формам об инцидентах и степени соответствия требованиям, предъявляемым к ИБ организации-участника. Кредитные организации обязаны предоставлять регулятору такую отчётность; а Департамент банковского надзора и Территориальные управления Банка России уполномочены проверять, как соблюдаются требования к ИБ НПС.
Учитывая обязательность требований к ИБ НПС и строгий контроль их выполнения, для кредитных организаций становится рациональным реализовать проект достижения соответствия, используя принцип know your compliance («знай свое соответствие»). То есть нужно выстроить автоматизированный процесс управления соответствием требованиям к ИБ, чтобы, проходя проверки, минимизировать риск применения санкций и ухудшения отношений с Департаментом банковского надзора Банка России.
Для эффективной организации процесса управления соответствием лучше всего использовать известные практики внутреннего контроля – матрицы процессов, активов, регуляторов и требований, что позволит формализовать процесс управления соответствием и эффективно измерять его результативность и эффективность. Следующий шаг – автоматизация процесса с целью получения информации о соответствии практически в режиме реального времени, в том числе, по филиалам, дополнительным офисам и представительствам, также и региональным.
Учитывая все вышеперечисленные особенности выполнения требований к ИБ НПС, оптимальный подход к реализации проекта достижения соответствия следующий:
Внедрение процесса управления требованиями, несмотря на его очевидную необходимость, всё же остается сложным и дорогостоящим проектом. С другой стороны, впервые в истории отечественной банковской отрасли появляются действительно обязательные отраслевые требования к информационной безопасности, с угрозой не призрачного штрафа, но реального ухудшения отношений с государственным регулятором Банком России. Вплоть до отзыва банковской лицензии.
Выполнение этих требований с применением современного подхода также позволит в перспективе помочь соблюдать законодательство по защите персональных данных. Такая возможность открывается при интеграции требований по информационной безопасности персональных данных в единую целостную систему управления требованиями, позволяя ликвидировать избыточные меры и снизить стоимость владения всей системой мер обеспечения соответствия.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных