Rambler's Top100
 
Блоги Михаил ЕМЕЛЬЯННИКОВ

Защита информации в национальной платежной системе: новые-старые требования

  18 июня 2012 Страница персоны

Пока мы, в очередной раз, наблюдали за тем, как немотивированные футболисты во главе с обиженным на всех тренером сливали воду в Варшаве, жизнь шла своим чередом.

На сайте Правительства Российской Федерации появилось подписанное 13 июня 2012 года его Председателем Постановление № 584 «Об утверждении Положения о защите информации в платежной системе», которое вступает в силу с 1 июля 2012 г.

Как и предусмотрено п.1 ст.27 ФЗ «О национальной платежной системе», Положение устанавливает требования к защите информации:

·         о средствах и методах обеспечения информационной безопасности,

·         о персональных данных,

·         об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в  платежной системе.

Самый главный вопрос, возникающий при  изучении Положения, - тот же, что и был к ФЗ «О национальной платежной системе»: требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены Банком России, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – «иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации»? Если последнее, то защиту каких сведений будет определять Банк России?

Требования к защите информации с 1 июля 2012 года, как это предусмотрено ФЗ «О национальной платежной системе», должны включаться операторами в правила платежных систем и предусматривать в обязательном порядке (располагаю не в том порядке, как это указано в Положении, а исходя из своего понимания логики действий):

·         наличие структурного подразделения по защите информации (службы информационной безопасности) или специально назначенного должностного лица, ответственного за организацию защиты информации;

·         риск-ориентированный подход к обеспечению безопасности, что вполне соответствует обязательности создания системы управления рисками в платежной системе;

·         определение угроз безопасности информации и анализ уязвимости информационных систем;

·         наличие системы защиты информации в информационных системах;

·         обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования (тонкая аллюзия на необходимость защиты при передаче данных через интернет?);

·         применение средств защиты информации; определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;

·         наличие у операторов и агентов локальных правовых актов, устанавливающих порядок реализации требований к защите информации;

·         обязанности по выполнению требований к защите информации в должностных обязанностях работников, участвующих в обработке информации;

·         выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

·         организация, проведение контроля и оценка выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года (самостоятельно или с привлечением лицензиата в области ТЗКИ).

Следующая неожиданность: перечень средств защиты выглядит исчерпывающим (традиционных слов «и другие», «и иные» в тексте Положения нет) и включает в себя:

·         шифровальные (криптографические) средства,

·         средства защиты информации от несанкционированного доступа,

·         средства антивирусной защиты,

·         средства межсетевого экранирования,

·         системы обнаружения вторжений,

·         средства контроля (анализа) защищенности.

Все! Требования об обязательности оценки соответствия СЗИ нет! Читаем еще раз внимательно. Нет такого требования. А вот что это значит – пока совершенно непонятно. Если с защитой персональных данных при осуществлении платежей есть некоторая ясность – меры обеспечения их безопасности определены специальным законодательством, которое в совокупности фактически требует обязательной сертификации СЗИ, то как быть с «иной информацией, подлежащей обязательной защите в соответствии с законодательством Российской Федерации» и что это за информация вообще, будет выясняться, как обычно, по ходу правоприменения.    

Фраза «Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации» похоже, является намеком на то, что деятельность по ТЗКИ по-прежнему является лицензируемой.  

Последний пункт Положения предусматривает, что применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации. Т.е. опять – только общие слова и, как следствие, неизбежные бесконечные дискуссии специалистов о допустимости использования SSL и TLS, реализующих RSA и прочую заморскую «непонять», электронных средств платежей зарубежной разработки со встроенной в них криптографиейо том, как не нарушить закон при трансграничном переводе денежных средств  и т.д.

Порядок действий оператора платежной системы при реализации требований закона и вводимого в действие Положения представляется следующим. Оператор:

1.     Назначает у себя структурное подразделение (возлагает на службу информационной безопасности) или должностное лицо, ответственное за организацию защиты информации в платежной системе.

2.     В соответствии с выбранной организационной моделью управления рисками в платежной системе (ст.28 закона) определяет свою зону ответственности за риски, связанные с информационной безопасностью, выявляет и обрабатывает риски на основании моделирования угроз и выявления уязвимостей (не забываем про не антропогенные угрозы!) и/или получает информацию о необходимости обработки рисков, выявленных операторами услуг платежной инфраструктуры и участниками платежной системы, а также расчетным центром, если функции по оценке и управлению рисками переданы ему.

3.     Самостоятельно (при  наличии лицензии на ТЗКИ) или с привлечением лицензиата проектирует систему защиты информации в своей информационной системе, обеспечивающую снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности с использованием набора средств защиты, перечисленных в Положении. При этом оператор помнит о возможности перехвата информации при осуществлении электронных платежей через сети связи общего пользования и интернет (а как иначе их осуществлять) и поднимает для этого криптографические протоколы, в том числе несертифицированные, если может обосновать законность их ввоза и использования.

4.     Исходя из результатов обработки рисков и наличия актуальных угроз, в первую очередь – исходящих от его собственного персонала, устанавливает правила доступа к средствам обработки информации и определяет используемые для этого средства.

5.     Разрабатывает пакет локальных нормативных документов, описывающих все сделанное выше, в том числе - распределяющих и описывающих обязанности конкретных пользователей системы.

6.     Организует мониторинг за выполнением установленных правил, выявление инцидентов и систему реагирования на них, причем документирует результаты этой работы не реже 1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (мы помним о том, что в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

Вот так, примерно. Ничего или почти ничего нового, за исключением заявленного риск-ориентированного подхода. Схема знакома, опробована и закреплена в большом количестве актов. За работу, товарищи участники платежной системы!

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.