Подписаться
Читать в телеграм
Что такое НПС и кто ее субъекты
Очередным драйвером развития информационной безопасности (ИБ) в России стал Федеральный закон № 161-ФЗ «О национальной платежной системе». Большая часть положений закона вступила в силу уже 1 июля этого года. В первую очередь он регулирует порядок оказания платежных услуг – переводов денежных средств, электронных платежей, а также регламентирует деятельность организаций, прямо или косвенно участвующих в переводе денежных средств. Положения закона затрагивают деятельность следующих субъектов национальной платежной системы (НПС):
- операторов по переводу денежных средств (ЦБ РФ, кредитные организации, Внешэкономбанк);
- операторов электронных денег (кредитные организации);
- операторов платежных систем (ЦБ РФ, кредитные организации, юридические лица);
- операторов услуг платежной инфраструктуры (ЦБ РФ, кредитные организации, Внешэкономбанк, юридические лица (за исключением расчетных услуг));
- небанковских и банковских платежных агентов (субагенты);
- организаций почтовой связи.
Субъекты НПС вправе осуществлять одновременно несколько видов деятельности. Рассмотрим упрощенный пример расчетов с использованием банковских карт (см. рис. 1).
Нужно отметить, что, согласно закону № 161-ФЗ, некоторые субъекты карточной платежной системы именуются иначе, но при этом не теряют своей функциональной принадлежности. Применительно к нашему примеру такие участники, как банк клиента и банк получателя платежа, совмещают функции операторов по переводу денежных средств и операторов услуг платежной инфраструктуры, а Visa International/MasterCard являются операторами платежной системы.
Если принимать во внимание картину в целом, субъектами НПС могут быть банки, владельцы систем электронных платежей, операторы мобильной связи, консалтинговые и страховые организации, почтовые отделения и др. Кроме того, допускается участие в НПС международных финансовых организаций и иностранных банков.
Это первая редакция закона № 161-ФЗ, причем некоторая часть его норм начнет действовать лишь с 1 января 2013 года. Как правило, законопроекты проходят несколько редакций, поэтому высока вероятность того, что новые поправки будут внесены и в законодательство о НПС. Пока же рассмотрим то, что мы имеем на сегодня.
Рис. 1. Схема расчетов с использованием банковских карт
Обзор нормативно-правовых документов
Сфера деятельности закона «О национальной платежной системе» регулируется множеством нормативно-правовых актов. Это и Федеральный закон № 395-1 «О банках и банковской деятельности», и Положение ЦБ РФ № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» и многие другие. Да и сам закон № 161-ФЗ содержит в себе большое количество ссылок на другие Федеральные законы. Проанализируем основные нормативно-правовые акты, разработанные в рамках законодательства о НПС (см. рис. 2).
Требования по информационной безопасности в НПС устанавливаются как Правительством, так и ЦБ РФ. Постановление ПП-584 определяет требования к информационной безопасности и защите данных для всех субъектов НПС, Положение 382-П – к защите информации (ЗИ) в зависимости от роли субъектов. Однозначного соотношения требований 382-П и ПП-584 не прослеживается.
Указание 2831-У устанавливает формы отчетности по обеспечению ЗИ и сроки ее предоставления.
Положения 380-П и 381-П определяют порядок наблюдения и надзора за соблюдением требований закона. Контроль в НПС будет осуществлять ЦБ РФ в порядке, согласованном с ФСТЭК и ФСБ. Но не стоит забывать и о защите персональных данных (ПДн): функции по контролю и надзору безопасности ПДн будет, как и ранее, осуществлять Роскомнадзор. На данный момент дать оценку эффективности вышеперечисленных нормативно-правовых актов затруднительно, только со временем практика их применения позволит выявить все плюсы и минусы.
Рис. 2. Структура нормативно-правовых актов
Выполнение требований закона № 161-ФЗ. С чего начать?
К каждому субъекту НПС закон предъявляет достаточно объемные требования. Так, например, ключевых субъектов – операторов платежных систем – он обязывает проводить большую работу по разработке методики анализа и рисков, реагированию на инциденты и информированию операторов платежной инфраструктуры об их выявлении.
Первоочередной задачей организации является определение своего места в рамках одной или нескольких платежных систем. На данном этапе методологические ошибки и неверное понимание нормативной базы могут привести к избыточности и чрезмерной жёсткости предъявляемых требований. Учитывая Положение ЦБ РФ № 382-П, общий порядок действий при реализации требований закона представляется таким:
- В зависимости от роли вашей организации как субъекта НПС нужно направить регистрационное заявление либо уведомление в ЦБ РФ.
- Необходимо создать структурное подразделение либо назначить сотрудника, ответственного за ИБ, и включить требования по ЗИ в должностные инструкции сотрудников, работающих с платежной системой.
- Спроектировать систему технической защиты информации с учетом возможности перехвата данных в интернете.
- Установить правила доступа к средствам обработки информации.
- Разработать пакет внутренних документов о ЗИ.
- Организовать мониторинг выполнения установленных правил, выявление инцидентов и построить систему реагирования.
В отличие от закона № 152-ФЗ «О персональных данных», где ФСТЭК, ФСБ и Роскомнадзор контролируют всех операторов ПДн, закон № 161-ФЗ имеет иерархическую схему контроля. Так, за соблюдением банковскими агентами (субагентами) требований Положения ЦБ РФ № 382-П следит не ЦБ РФ, а оператор по переводу денежных средств. Оператор платежной системы, в свою очередь, контролирует операторов по переводу денежных средств и операторов услуг платежной инфраструктуры (см. рис. 3).
Кроме того, продолжает оставаться в силе и традиционная процедура сбора и предоставления отчётности в ЦБ РФ, информация о выполнении требований к участию в НПС по факту дополняет ее. Она включает в себя отчет об инцидентах и правонарушениях в сфере электронных платежей (ежемесячно) и отчет по результатам оценки выполнения требований по ЗИ (не реже чем раз в два года, а также по требованию ЦБ РФ). Отметим, что для кредитных организаций (например, банков), каких большинство, дело обстоит проще: они уже привыкли отчитываться перед ЦБ РФ. Иначе дело обстоит с некредитными организациями (например, QIWI, Деньги ВКонтакте): раньше их отчётность ЦБ РФ не собирал, но теперь будет.
Сроки, отведённые субъектам НПС на приведение своей деятельности в соответствие требованиям закона, очень сжаты. Три месяца дается кредитным организациям, осуществляющим перевод электронных денежных средств, и шесть месяцев – организациям, осуществляющим деятельность операторов платежных систем.
Рис. 3. Схема отчетности
Стандарт СТО БР и закон № 161-ФЗ. Принцип совместимости
Не секрет, что требования Положения ЦБ РФ № 382-П разработаны на базе стандарта СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организации банковской системы РФ» Мы проанализировали требования Положения ЦБ РФ № 382-П и стандарта СТО БР, в табл. 1 (см. стр. 22) приведен результат этого анализа.
Из таблицы видно, что Положение ЦБ РФ № 382-П включает в себя множество пунктов стандарта СТО БР и предъявляет к субъектам НПС вполне ожидаемые требования. При этом Положение, в отличие от стандарта, носит обязательный характер. Отсюда можно сделать вывод, что, по большому счету, организациям, которые реализовали требования стандарта СТО БР и внедрили необходимые процессы ИБ, а не просто разработали организационно-распорядительную документацию, для соответствия требованиям закона № 161-ФЗ не придется существенно затрагивать (корректировать) свою деятельность по ИБ. А тем организациям, которые решили не соответствовать стандарту СТО БР, многое будет в новинку.
В заключение хотелось бы сказать о том, что проведения организациями формализованных действий (мероприятий) с последующей оценкой соответствия требованиям закона № 161-ФЗ будет вполне достаточно для отчетности перед ЦБ РФ, но в то же время недостаточно для достижения и поддержания высокого уровня зрелости ИБ. Только систематизация процессов обеспечения ИБ, расстановка приоритетов в этой области, достижение адекватности системы ИБ существующим рискам и ее прозрачности дадут организациям возможность в любое время быть готовыми к проверкам регуляторов.
Разработать процесс внедрения метрик оценки эффективности, освоить методику организации защиты информации, создать выделенное подразделение ИБ и, наконец, найти на все это время, может далеко не каждая организация. Поэтому практика привлечения сторонних специалистов, обладающих методологией и опытом выполнения работ по информационной безопасности, для многих остается актуальной.
Табл. 1. Анализ требований СТО БР и 382-П
№ | Требования по защите информации | |
382-П | СТО БР (классификация) | |
1. | Назначение и распределение прав и обязанностей | М1. Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу |
2. | Этапы жизненного цикла объектов информационной инфраструктуры | М2. Обеспечение ИБ на стадиях жизненного цикла автоматизированной банковской системы |
3. | Доступ к объектам инфраструктуры | М3. Обеспечение ИБ при управлении доступом и регистрации |
4. | Защита от вредоносного кода | М4. Обеспечение ИБ средствами антивирусной защиты |
5. | Защита при использовании сети Интернет | М5. Обеспечение ИБ при использовании ресурсов сети Интернет |
6. | Применение средств криптографической ЗИ | М6. Обеспечение ИБ при использовании средств криптографической ЗИ |
7. | Контроль выполнения технологических мер защиты информации | - |
8. | Организация и функционирование подразделения ИБ | М11. Организация и функционирование службы ИБ организации |
9. | Повышение осведомленности работника | М18. Разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ |
10. | Выявление инцидентов и реагирование на них | М19. Организация обнаружения и реагирования на инциденты безопасности |
11. | Реализация порядка обеспечения защиты информации | - |
12. | Оценка выполнения требований | М22. Проведение самооценки ИБ М23. Проведение аудита ИБ |
13. | Информирование оператора платежной системы ее участниками об организации ЗИ | - |
14. | Совершенствование инфраструктуры защиты | М26. Принятие решений по тактическим улучшениям СОИБ (системы обеспечения информационной безопасности) М27. Принятие решений по стратегическим улучшениям СОИБ |
15. | Обеспечение защиты ПДн[1] | М9. Общие требования по обработке ПДн М10. Общие требования по обеспечению ИБ банковских технологических процессов, в рамках которых обрабатываются ПДн |
[1] Положение ЦБ РФ № 382-П не включает требования по защите ПДн. Защита ПДн, обрабатываемых при переводе денежных средств, осуществляется в соответствии с законодательством РФ.
