Возможно, вы уже слышали про национальную платёжную систему. Изначально планировалось, что эта штука станет альтернативой международным платёжным системам. В частности, в 1998 году Виза и Мастеркард прекратили делать переводы по своим картам из-за кризиса – а их, между прочим, 85% рынка банковского пластика.

Но в самом законе акцент в итоге сделали на выводе из тени электронных платежей, которые раньше никак не контролировались, и собственно предоставлении регуляторам возможности контролировать действия банков в области безналичных денежных переводов. Сейчас речь снова зашла о полноценном создании национальной платежной системы, поэтому есть смысл ждать скорых поправок относительно блокировки передачи данных в США и других соответствующих требований.

Чтобы участвовать во всём этом, нужно проделать реально сложную работу с IT и ИБ, причём выполнить и проверить её может только организация с соответствующей лицензией. У нас такая лицензия есть, поэтому ниже я коротко обозначу основные проблемы в такого рода работах, с которыми мы уже столкнулись.

Что такое НПС?

НПС – это совокупность лиц, которые участвуют в денежных переводах. Основная цель закона – унификация подходов по осуществлению безналичных денежных переводов.

Благодаря принятию этого закона наши властные структуры планируют контроль за любыми безналичными денежными переводами.

Что это значит?

Национальная платежная систем – это совокупность:

• операторов по переводу денежных средств
• банковских платежных агентов/субагентов
• платежных агентов
• организаций Почты России
• операторов платежных систем
• операторов услуг платежной инфраструктуры

Фактически, раньше деньги могли появляться из ниоткуда и исчезать в никуда. Это рождало довольно много ситуаций мошенничества, которые надо было разбирать вручную. Поэтому основная цель закона – это вывод из тени нелегальных денежных переводов.

Как это касается лично вас?

Теперь, чтобы проводить операции в новой схеме, нужно соответствовать разного рода требованиям. Причём чем больше вы хотите прав — тем более строгие применяются требования. Внедряются не просто технические средства, но и процессы, которые всё контролируют.
И тут, как вы догадываетесь, наступает драма — немало кто выполняет финансовые операции, которые требуют ряда мер защиты, без таковых. Речь как про IT (в большей степени), так и про бизнес-процессы в целом. Нужно быстро поставить программно-аппаратные комплексы, защитить данные и сделать кучу всего ещё. И тут нужен кто-то, кто может это сделать. Но про это чуть позже, сначала давайте разберёмся немного в сути вопроса.

Как регулируется?

Сейчас деятельность финансовых организаций в области ИБ регулируется следующими основными документами:

• Серией стандартов 27 (как ИСО так и ГОСТ Р). Сейчас они рекомендательные, но по ПП822 может быть принято решение об обязательном соблюдении их требований.
• Стандарты Центробанка России. Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с ним же при присоединении к стандарту по добровольному решению организации, они становятся обязательными.
• Cтандарты международных платежных систем — PCI DSS. Теоретически возможны штрафы за несоблюдение (пока случаев в России нет), но зато бывают отказы в согласовании проектов. PCI DSS, фактически — конкретные технические требования.
• Закон «О персональных данных», естественно обязательный для выполнения, санкции по закону предусмотрены, на текущий момент планируется увеличение санкций и расширение состава правонарушений по нарушениям в области обработки/защиты персональных данных со стороны РКН.
• И последний – это 161 ФЗ «О национальной платежной системе», принятый 27 июня 2011 года, и группа подзаконных нормативных актов, принятых в соответствии с ним – это и Постановление правительства, и документы ЦБ. Является обязательным.

Правила игры примерно такие:

Насколько сырые документы?

Достаточно сырые. К примеру, есть требование об оповещении клиентов при переводе средств. Но ФЗ не говорит о способах оповещения. Банк может установить оповещение по телефону, но тогда непонятно, что делать, если телефон у абонента выключен.

Или вот более отдалённый пример, показывающий ряд особенностей таких оповещений. Один из банков просто сохранил платную услугу оповещения, второй начал оповещать бесплатно (но вот одноразовый пароль к данным – в платной части этой услуги), третий раздал клиентам терминалы для генерации паролей, но «переместил» их стоимость в другие услуги так, что её теперь сложно найти без подготовки. И, в целом, это только начало. Кто сталкивался, знает, сколько там неясных мест в плане технического и организационного регламента. Документы требуют очень детальной проработки, и это, как мне кажется, дело не одного месяца или даже года.

Что важно знать, если вы – потенциальный участник НПС

• Участники НПС обязаны защищать информацию
• Правительство РФ устанавливает требования к защите информации
• Требования к защите информации и контроль их выполнения также устанавливает Банк России, пока по факту это единственный регулятор
• Вводится система управления рисками для снижения вероятности перебоев в функционировании ПС.
• Ключевая цель защиты информации в ПС – обеспечение бесперебойности функционирования ПС
• В случае хищения денежных средств со счета клиента банк при определенных условиях обязан возместить полную сумму похищенных средств.

А теперь все будущие проблемы организаций одним списком

• Появились новые требования к защите информации в НПС от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, распространения и др. На соблюдение конфиденциальности информации, на реализацию права на доступ к информации. Им нужно следовать.
• Необходимо в принципе иметь службу ИБ.
• Важно определить порядок доступа к объектам инфраструктуры ПС,
• Нужно включить в обязанности работников выполнения требований ИБ,
• Обязательно определить угрозы ИБ и уязвимости,
• Нужно провести анализ рисков ИБ и начать ими управлять,
• Нужно постоянно выявлять инциденты ИБ и реагировать на них, и соответственно ежемесячно отчитываться об этом перед ЦБ.
• Необходимо обеспечить защиту информации при использовании интернета и пр.
• Необходимо разработать и реализовать систему защиты информации в информационных системах.
• Организовать и провести мероприятия по контролю и оценке соответствия не реже 1 раза в 2 года и опять же отчитаться об этом перед ЦБ.

И самое приятное — обязательное применение следующих (всех сразу) средств защиты:

• СКЗИ
• СЗИ от НСД
• Антивирус
• Межсетевой экран
• IDS/IPS
• Средство анализа защищенности

Что делать, доктор?

Если говорить в целом – нужно пересматривать много чего в IT и вводить новые меры информационной безопасности. Но есть нюанс.

А если у меня всё уже есть?

Как правило, у большинства организаций, которых это касается напрямую и в наиболее хардкорной части (как правило – банков и других крупных финансовых организаций) всё это (или большая часть) уже давно реализовано. Потому что защищать информацию всё-таки надо. Но теперь нужно понять, насколько хорошо всё реализовано, и в каком объеме, то есть получить по результатам проверки соответствующую оценку. И вот здесь на сцене, как правило, появляемся мы.

Делаются следующие вещи:

• Оценка соответствия требованиям к защите информации по 161-ФЗ
• Разработка рекомендаций по приведению СОИБ в соответствие требованиям 161-ФЗ
• Разработка и совершенствование существующей ОРД по обеспечению ИБ
• Инвентаризация информационных активов, анализ и описание бизнес-процессов
• Проведение оценки рисков ИБ
• Техническое проектирование системы ИБ
• Внедрение технических средств защиты информации
• Анализ защищенности информационных систем и тестирование на проникновение
• Повышение осведомленности по вопросам обеспечения ИБ
• Выстраивание процессов управления инцидентами.

Говоря более простым языком, мы проверяем все требования закона и предлагаем наиболее простые пути решения поставленной задачи. Учитывая, что в этом комплексе работ всё довольно сложно и запутанно, часто находятся «лайфхаки», позволяющие избегать крайне дорогостоящих вариантов вроде внедрения принципиально новой системы ИБ с нуля. В качестве примера – тот же доступ к информации определённого характера. Вот, например, разграничение доступа. В одном из случаев самым простым оказалось сделать это на уровне организационных мер, а не IT-инфраструктуры – просто выдавать ключи от кабинета с нужными компьютерами только одному человеку. Соответственно, сразу отпало достаточно сложное требование по защите от несанкционированного доступа. Реально разграничивать доступ (на системном уровне с помощью, например, IDM), конечно, нужно, но это больше не является стоп-фактором для соответствия требованиям ФЗ об НПС уже сейчас.

Таким образом, оценивая актуальную угрозу информационной безопасности, мы строим модели угроз, в которых прописаны, какие угрозы актуальны и как мы их собираемся закрывать. Это могут быть как технические меры, так и организационные, важно при этом, чтобы соблюдался принцип экономической целесообразности выбора той или иной защитной меры.

Наша цель при проведении таких работ – не поймать кого-то на лжи и каких-то подтасовках, а помочь сделать процессы действительно лучше, и если к вам придет Центробанк, чтобы не было штрафных санкций.

Некоторые просто говорят «Сделайте нам всё для оценки на 0,7» — и мы помогаем.

Также составляется список необязательных, но разумных (экономически-обоснованных) мер, которые помогают улучшить ситуацию с ИБ в целом. Соответственно, получается две части: как максимально быстро и дешево прийти к соответствию и что в целом нужно сделать для обеспечения ИБ.

Если что-то объяснил путанно и есть вопросы или вам просто нужна помощь, спрашивайте в комментариях или по почте plutsik@croc.ru.

Автор: plutsik

Источник