Соответствие требованиям Федерального закона 161-ФЗ

Компания «Инфосистемы Джет» реализует проекты по приведению информационных систем в соответствие требованиям законодательства РФ «О национальной платежной системе». Благодаря богатому опыту и высокой компетенции мы создаем эффективные системы защиты, позволяющие в минимальные сроки достичь приемлемого уровня соответствия и соблюсти разумный баланс организационных и технических мероприятий.

Регуляторные требования

Федеральный закон «О национальной платежной системе» 161-ФЗ был опубликован 30 июня 2011 года. В сферу его действия попадают все организации, прямо или косвенно участвующие в переводе денежных средств. В частности положения Закона затрагивают деятельность следующих участников платежных систем:

  • банки и небанковские кредитные организации (НКО);
  • сети платежных терминалов;
  • Интернет-кошельки;
  • операторы связи и их розничные сети;
  • процессинговые компании и центры;
  • системы переводов.

Требования к деятельности этих организаций предъявляет как сам Закон, так и целый ряд нормативных актов (Постановление Правительства и документы Банка России). Эти документы устанавливают порядок осуществления перевода денежных средств, требования к защите информации и бесперебойности функционирования элементов платежной инфраструктуры и платежной системы в целом.

Контроль и надзор за выполнением установленных Правительством требований к защите информации о средствах и методах обеспечения ИБ, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, осуществляют ФСТЭК и ФСБ России в пределах своих полномочий без права ознакомления с защищаемой информацией.

Банк России устанавливает требования по защите информации при осуществлении переводов денежных средств, а также осуществляет контроль их исполнения.

Установленные сроки

Установленные сроки реализация мероприятий по защите достаточно сжатые:

  • операторы платежных систем должны направить регистрационное заявление в Банк России до 1 января 2013 года;
  • операторы по переводу денежных средств и операторы услуг платежной инфраструктуры должны предоставлять в Банк России сведения об инцидентах ИБ в платежной системе ежемесячно уже с 14 августа 2012 года;
  • операторы платежных систем, операторы услуг платежной инфраструктуры, операторы по переводу денежных средств должны предоставить результаты оценки соответствия требованиям к обеспечению защиты информации при осуществлении переводов денежных средств в Банк России до 1 августа 2014 года или по требованию Банка России.

Приемлемый уровень в сжатые сроки

Для того чтобы привести в соответствие свою деятельность в установленные Законом сроки нужно четко представлять перечень мероприятий и последовательность их реализации.

В результате взаимодействия с регулятораминаша компания сформировала методологию выполнения проекта, которая нацелена на достижение приемлемого уровня соответствия в условиях сжатых сроков.

Реализация всего проекта по приведению в соответствие предполагает выполнение 3 основных этапов.

1. Юридическая подготовка и аудит:

  • определение «статуса» компании в платежной системе и установление её границ в рамках организации (на данном этапе методологические ошибки и неверное понимание нормативной базы могут привести к избыточности и некорректной реализации требований);
  • направление операторами платежных систем и операторами по переводу денежных средств в Банк России регистрационного заявления и (или) уведомления;
  • проведение аудита и предварительной оценки соответствия:
    • сбор и анализ сведений о процессах перевода денежных средств и используемых при этом системах и технологиях;
    • проведение GAP-анализа и определение текущих значений частных показателей;
    • разработка плана мероприятий по повышению уровня соответствия с учетом категории проверки требований и их влияния на обобщающие показатели (EV1ПС, EV2ПС, RПС).

2. Реализация организационных мероприятий по повышению обобщающих показателей:

  • разработка или модернизация процесса управления ролями лиц, связанных с осуществлением переводов денежных средств;
  • разработка или модернизация процесса управления рисками ИБ;
  • разработка или модернизация процесса управления инцидентами ИБ;
  • разработка или актуализация необходимой документации, регламентирующей порядок обеспечения безопасности в платежной системе;
  • проведение оценки соответствия и направление ее результатов в Банк России в случае необходимости.

3. Реализация технических мероприятий по повышению обобщающих показателей:

  • разработка вариантов проектных решений по подсистемам защиты, обеспечивающих повышение оценок показателей;
  • поставка и внедрение средств защиты информации в случае необходимости;
  • проведение оценки соответствия и направления ее результатов в Банк России.

Регулярная отчетность в Банк России

Организации-участники платежных систем должны регулярно направлять в Банк России отчетность установленной формы об инцидентах ИБ и уровне соответствия требованиям Положения ЦБ РФ № 382-П от 09.06.2012.

Отчетность по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» операторы по переводу денежных средств и операторы услуг платежной инфраструктуры должны направлять в Банк России ежемесячно начиная с 14 августа 2012 года.

Банк России уделяет значительное внимание регулярной отчетности от субъектов платежных систем и имеет возможность сопоставить факты обращения клиентов с жалобами на услуги по переводу денежных средств и сведения, предоставленные в рамках отчетов. Выявленные расхождения могут послужить причиной дополнительного интереса к организации со стороны Банка России и применению в ее отношении санкций, установленных Законом.

Отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» направляется в Банк России раз в 2 года или по требованию Банка России, которое может поступить в адрес организаций и до 1 августа 2014 года.

Оптимизация затрат и повышение эффективности

Реализация всех мероприятий по защите в установленные сроки требует немалых усилий. В данной ситуации несомненным плюсом является наличие опыта выполнения оценки соответствия / самооценки требованиям стандарта Банка России СТО БР ИББС. Но, к сожалению, с этим стандартом знакомы лишь кредитные организации, в то время как требования по защите информации в платежных системах распространяются и на организации, не являющимися таковыми.

Основываясь на опыте выполненных подобных проектов, компания «Инфосистемы Джет» готова использовать наработанные методологии и подходы для оптимизации сроков и стоимости работ. Это достигается за счет:

  • правильного позиционирования организации при определении ее «статуса» в платежной системе;
  • корректного трактования требований по защите и оптимального определения границ и состава платежной системы в компании;
  • максимального применения имеющихся в организации методов защиты путем их адаптации под требования Банка России;
  • оптимального сочетания организационных и технических мер защиты, позволяющих достичь приемлемого уровня соответствия в минимальные сроки;
  • использования наработанной практики по внедрению процессов управления рисками и инцидентами ИБ, в том числе в соответствии с рекомендациями стандартов ISO/IEC 27001:2005, ISO/IEC 27005:2008, и ISO/IEC 27035:2011;
  • построения системы ИБ, направленной на реальную защиту информации при переводе денежных средств и обеспечивающей разумный баланс между уровнем угроз и мерами защиты;
  • полноценной поддержки по окончании проекта, включая мероприятия по поддержанию порядка обеспечения защиты информации при осуществлении переводов денежных средств и совершенствованию созданной системы защиты.