Соответствие требованиям Федерального закона 161-ФЗ
Компания «Инфосистемы Джет» реализует проекты по приведению информационных систем в соответствие требованиям законодательства РФ «О национальной платежной системе». Благодаря богатому опыту и высокой компетенции мы создаем эффективные системы защиты, позволяющие в минимальные сроки достичь приемлемого уровня соответствия и соблюсти разумный баланс организационных и технических мероприятий.
Регуляторные требования
Федеральный закон «О национальной платежной системе» 161-ФЗ был опубликован 30 июня 2011 года. В сферу его действия попадают все организации, прямо или косвенно участвующие в переводе денежных средств. В частности положения Закона затрагивают деятельность следующих участников платежных систем:
-
банки и небанковские кредитные организации (НКО);
-
сети платежных терминалов;
-
Интернет-кошельки;
-
операторы связи и их розничные сети;
-
процессинговые компании и центры;
-
системы переводов.
Требования к деятельности этих организаций предъявляет как сам Закон, так и целый ряд нормативных актов (Постановление Правительства и документы Банка России). Эти документы устанавливают порядок осуществления перевода денежных средств, требования к защите информации и бесперебойности функционирования элементов платежной инфраструктуры и платежной системы в целом.
Контроль и надзор за выполнением установленных Правительством требований к защите информации о средствах и методах обеспечения ИБ, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, осуществляют ФСТЭК и ФСБ России в пределах своих полномочий без права ознакомления с защищаемой информацией.
Банк России устанавливает требования по защите информации при осуществлении переводов денежных средств, а также осуществляет контроль их исполнения.
Установленные сроки
Установленные сроки реализация мероприятий по защите достаточно сжатые:
-
операторы платежных систем должны направить регистрационное заявление в Банк России до 1 января 2013 года;
-
операторы по переводу денежных средств и операторы услуг платежной инфраструктуры должны предоставлять в Банк России сведения об инцидентах ИБ в платежной системе ежемесячно уже с 14 августа 2012 года;
-
операторы платежных систем, операторы услуг платежной инфраструктуры, операторы по переводу денежных средств должны предоставить результаты оценки соответствия требованиям к обеспечению защиты информации при осуществлении переводов денежных средств в Банк России до 1 августа 2014 года или по требованию Банка России.
Приемлемый уровень в сжатые сроки
Для того чтобы привести в соответствие свою деятельность в установленные Законом сроки нужно четко представлять перечень мероприятий и последовательность их реализации.
В результате взаимодействия с регулятораминаша компания сформировала методологию выполнения проекта, которая нацелена на достижение приемлемого уровня соответствия в условиях сжатых сроков.
Реализация всего проекта по приведению в соответствие предполагает выполнение 3 основных этапов.
1. Юридическая подготовка и аудит:
-
определение «статуса» компании в платежной системе и установление её границ в рамках организации (на данном этапе методологические ошибки и неверное понимание нормативной базы могут привести к избыточности и некорректной реализации требований);
-
направление операторами платежных систем и операторами по переводу денежных средств в Банк России регистрационного заявления и (или) уведомления;
-
проведение аудита и предварительной оценки соответствия:
-
сбор и анализ сведений о процессах перевода денежных средств и используемых при этом системах и технологиях;
-
проведение GAP-анализа и определение текущих значений частных показателей;
-
разработка плана мероприятий по повышению уровня соответствия с учетом категории проверки требований и их влияния на обобщающие показатели (EV1ПС, EV2ПС, RПС).
2. Реализация организационных мероприятий по повышению обобщающих показателей:
-
разработка или модернизация процесса управления ролями лиц, связанных с осуществлением переводов денежных средств;
-
разработка или модернизация процесса управления рисками ИБ;
-
разработка или модернизация процесса управления инцидентами ИБ;
-
разработка или актуализация необходимой документации, регламентирующей порядок обеспечения безопасности в платежной системе;
-
проведение оценки соответствия и направление ее результатов в Банк России в случае необходимости.
3. Реализация технических мероприятий по повышению обобщающих показателей:
-
разработка вариантов проектных решений по подсистемам защиты, обеспечивающих повышение оценок показателей;
-
поставка и внедрение средств защиты информации в случае необходимости;
-
проведение оценки соответствия и направления ее результатов в Банк России.
Регулярная отчетность в Банк России
Организации-участники платежных систем должны регулярно направлять в Банк России отчетность установленной формы об инцидентах ИБ и уровне соответствия требованиям Положения ЦБ РФ № 382-П от 09.06.2012.
Отчетность по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» операторы по переводу денежных средств и операторы услуг платежной инфраструктуры должны направлять в Банк России ежемесячно начиная с 14 августа 2012 года.
Банк России уделяет значительное внимание регулярной отчетности от субъектов платежных систем и имеет возможность сопоставить факты обращения клиентов с жалобами на услуги по переводу денежных средств и сведения, предоставленные в рамках отчетов. Выявленные расхождения могут послужить причиной дополнительного интереса к организации со стороны Банка России и применению в ее отношении санкций, установленных Законом.
Отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» направляется в Банк России раз в 2 года или по требованию Банка России, которое может поступить в адрес организаций и до 1 августа 2014 года.
Оптимизация затрат и повышение эффективности
Реализация всех мероприятий по защите в установленные сроки требует немалых усилий. В данной ситуации несомненным плюсом является наличие опыта выполнения оценки соответствия / самооценки требованиям стандарта Банка России СТО БР ИББС. Но, к сожалению, с этим стандартом знакомы лишь кредитные организации, в то время как требования по защите информации в платежных системах распространяются и на организации, не являющимися таковыми.
Основываясь на опыте выполненных подобных проектов, компания «Инфосистемы Джет» готова использовать наработанные методологии и подходы для оптимизации сроков и стоимости работ. Это достигается за счет:
-
правильного позиционирования организации при определении ее «статуса» в платежной системе;
-
корректного трактования требований по защите и оптимального определения границ и состава платежной системы в компании;
-
максимального применения имеющихся в организации методов защиты путем их адаптации под требования Банка России;
-
оптимального сочетания организационных и технических мер защиты, позволяющих достичь приемлемого уровня соответствия в минимальные сроки;
-
использования наработанной практики по внедрению процессов управления рисками и инцидентами ИБ, в том числе в соответствии с рекомендациями стандартов ISO/IEC 27001:2005, ISO/IEC 27005:2008, и ISO/IEC 27035:2011;
-
построения системы ИБ, направленной на реальную защиту информации при переводе денежных средств и обеспечивающей разумный баланс между уровнем угроз и мерами защиты;
-
полноценной поддержки по окончании проекта, включая мероприятия по поддержанию порядка обеспечения защиты информации при осуществлении переводов денежных средств и совершенствованию созданной системы защиты.