Національна платіжна система: що це означає для вас, і коли конкретно панікувати

  Можливо, ви вже чули про національну платіжну систему . Спочатку планувалося, що ця штука стане альтернативою міжнародним платіжним системам. Зокрема, в 1998 році Віза і Мастеркард припинили робити переклади за своїми картками через кризу — а їх, між іншим, 85% ринку банківського пластику.
 
 Але в самому законі акцент в результаті зробили на виведенні з тіні електронних платежів , які раніше не контролювалися, і власне надання регуляторам можливості контролювати дії банків в області безготівкових грошових переказів. Зараз мова знову зайшла про повноцінний створенні національної платіжної системи, тому є сенс чекати швидких поправок щодо блокування передачі даних в США та інших відповідних вимог.
 
Щоб брати участь у всьому цьому, потрібно проробити реально складну роботу з IT та ІБ, причому виконати і перевірити її може тільки організація з відповідною ліцензією. У нас така ліцензія є, тому нижче я коротко позначу основні проблеми в такого роду роботах, з якими ми вже зіткнулися.
 
 

Що таке НПС?

НПС — це сукупність осіб, які беруть участь у грошових переказах. Основна мета закону — уніфікація підходів щодо здійснення безготівкових грошових переказів.
 
Завдяки прийняттю цього закону наші владні структури планують контроль за будь-якими безготівковими грошовими переказами.
 
 

Що це означає?

Національна платіжна систем — це сукупність:
 
     
  • операторів з переказу грошових коштів
  •  
  • банківських платіжних агентів / субагентів
  •  
  • платіжних агентів
  •  
  • організацій Пошти Росії
  •  
  • операторів платіжних систем
  •  
  • операторів послуг платіжної інфраструктури
  •  
 Фактично, раніше гроші могли з'являтися з нізвідки і зникати в нікуди. Це народжувало досить багато ситуацій шахрайства, які треба було розбирати вручну. Тому основна мета закону — це виведення з тіні нелегальних грошових переказів.
 
 

Як це стосується особисто вас?

Тепер, щоб проводити операції у новій схемі, потрібно відповідати різного роду вимогам. Причому чим більше ви хочете прав — тим більш суворі застосовуються вимоги. Впроваджуються не просто технічні засоби, а й процеси, які все контролюють.
І тут, як ви здогадуєтеся, настає драма — чимало хто виконує фінансові операції, які вимагають ряду заходів захисту, без таких . Мова як про IT (більшою мірою), так і про бізнес-процеси в цілому. Потрібно швидко поставити програмно-апаратні комплекси, захистити дані і зробити купу всього ще. І тут потрібен хтось, хто може це зробити. Але про це трохи пізніше, спочатку давайте розберемося трохи в суті питання.
 
 

Як регулюється?

 image
Зараз діяльність фінансових організацій в області ІБ регулюється такими основними документами:
 
     
  • Серією стандартів 27 (як ІСО так і ГОСТ Р). Зараз вони рекомендаційні, але по ПП822 може бути прийнято рішення про обов'язкове дотримання їх вимог.
  •  
  • Стандарти Центробанку Росії. Федеральним Законом від 27.12.2002 № 184-ФЗ «Про технічне регулювання» встановлено рекомендаційний статус стандартів та інших документів із стандартизації. Проте відповідно з ним же при приєднанні до стандарту за добровільним рішенням організації, вони стають обов'язковими.
  •  
  • Стандарти міжнародних платіжних систем — PCI DSS. Теоретично можливі штрафи за недотримання (поки випадків в Росії немає), але зате бувають відмови у погодженні проектів. PCI DSS, фактично — конкретні технічні вимоги.
  •  
  • Закон «Про персональних даних», природно обов'язковий для виконання, санкції за законом передбачені, на поточний момент планується збільшення санкцій і розширення складу правопорушень щодо порушень в області обробки / захисту персональних даних з боку РКН.
  •  
  • І останній — це 161 ФЗ «Про національну платіжну систему», прийнятий 27 червня 2011 року, і група підзаконних нормативних актів, прийнятих відповідно до нього — це і Постанова уряду, і документи ЦБ. Є обов'язковим.
  •  
 
Правила гри приблизно такі:
 
 image
 
 image
 
 

Наскільки сирі документи?

Досить сирі. Приміром, є вимога про оповіщення клієнтів при переказі коштів. Але ФЗ не говорить про способи оповіщення. Банк може встановити сповіщення по телефону, але тоді незрозуміло, що робити, якщо телефон у абонента вимкнений.
 
Або ось більш віддалений приклад, що показує ряд особливостей таких оповіщень. Один з банків просто зберіг платну послугу оповіщення, другий почав оповіщати безкоштовно (але от одноразовий пароль до даних — в платній частині цієї послуги), третій роздав клієнтам термінали для генерації паролів, але «перемістив» їх вартість в інші послуги так, що її тепер складно знайти без підготовки. І, в цілому, це тільки початок. Хто стикався, знає, скільки там незрозумілих місць в плані технічного та організаційного регламенту. Документи вимагають дуже детального опрацювання, і це, як мені здається, справа не одного місяця або навіть року.
 
 

Що важливо знати, якщо ви — потенційний учасник НПС

 
     
  • Учасники НПС зобов'язані захищати інформацію
  •  
  • Уряд РФ встановлює вимоги до захисту інформації
  •  
  • Вимоги до захисту інформації та контроль їх виконання також встановлює Банк Росії, поки за фактом це єдиний регулятор
  •  
  • Вводиться система управління ризиками для зниження ймовірності перебоїв у функціонуванні ПС.
  •  
  • Ключова мета захисту інформації в ПС — забезпечення безперебійності функціонування ПС
  •  
  • У разі розкрадання грошових коштів з рахунку клієнта банк за певних умов зобов'язаний відшкодувати повну суму викрадених коштів.
  •  
 
 

А тепер всі майбутні проблеми організацій одним списком

 
     
  • З'явилися нові вимоги до захисту інформації в НПС від неправомірного доступу, знищення, модифікування, блокування, копіювання, поширення та ін На дотримання конфіденційності інформації, на реалізацію права на доступ до інформації. Їм потрібно слідувати.
  •  
  • Необхідно в принципі мати службу ІБ.
  •  
  • Важливо визначити порядок доступу до об'єктів інфраструктури ПС,
  •  
  • Потрібно включити до обов'язків працівників виконання вимог ІБ,
  •  
  • Обов'язково визначити загрози ІБ і уразливості,
  •  
  • Потрібно провести аналіз ризиків ІБ і почати ними управляти,
  •  
  • Потрібно постійно виявляти інциденти ІБ і реагувати на них, і відповідно щомісяця звітувати про це перед ЦБ.
  •  
  • Необхідно забезпечити захист інформації при використанні інтернету та ін
  •  
  • Необхідно розробити і реалізувати систему захисту інформації в інформаційних системах.
  •  
  • Організувати і провести заходи з контролю і оцінки відповідності не рідше 1 разу на 2 роки і знову ж відзвітувати про це перед ЦБ.
  •  
 І найприємніше — обов'язкове застосування наступних (усіх відразу) засобів захисту:
 
     
  • СКЗИ
  •  
  • СЗІ від НСД
  •  
  • Антивірус
  •  
  • Брандмауер
  •  
  • IDS / IPS
  •  
  • Засіб аналізу захищеності
  •  
 

Що робити, доктор?

Якщо говорити в цілому — треба переглядати багато чого в IT і вводити нові заходи інформаційної безпеки. Але є нюанс.
 
 

А якщо у мене все вже є?

Як правило, у більшості організацій, яких це стосується безпосередньо і в найбільш хардкорной частини (як правило — банків та інших великих фінансових організацій) все це (або більшість) вже давно реалізовано. Тому що захищати інформацію таки треба. Але тепер потрібно зрозуміти, наскільки добре все реалізовано, і в якому обсязі, тобто отримати за результатами перевірки відповідну оцінку. І ось тут на сцені, як правило, з'являємося ми.
 
Робляться такі речі:
 
     
  • Оцінка відповідності вимогам до захисту інформації по 161-ФЗ
  •  
  • Розробка рекомендацій щодо приведення СОІБ у відповідність вимогам 161-ФЗ
  •  
  • Розробка і вдосконалення існуючої ОРД щодо забезпечення ІБ
  •  
  • Інвентаризація інформаційних активів, аналіз і опис бізнес-процесів
  •  
  • Проведення оцінки ризиків ІБ
  •  
  • Технічне проектування системи ІБ
  •  
  • Впровадження технічних засобів захисту інформації
  •  
  • Аналіз захищеності інформаційних систем і тестування на проникнення
  •  
  • Підвищення обізнаності з питань забезпечення ІБ
  •  
  • Вибудовування процесів управління інцидентами.
  •  
Говорячи більш простою мовою, ми перевіряємо всі вимоги закону і пропонуємо найбільш прості шляхи вирішення поставленого завдання. Враховуючи, що в цьому комплексі робіт все досить складно і заплутано, часто знаходяться «Лайфхак», що дозволяють уникати украй дорогих варіантів начебто впровадження принципово нової системи ІБ з нуля. Як приклад — той же доступ до інформації певного характеру. Ось, наприклад, розмежування доступу. В одному з випадків найпростішим виявилося зробити це на рівні організаційних заходів, а не IT-інфраструктури — просто видавати ключі від кабінету з потрібними комп'ютерами тільки одній людині. Відповідно, відразу відпало досить складне вимога щодо захисту від несанкціонованого доступу. Реально розмежовувати доступ (на системному рівні за допомогою, наприклад, IDM), звичайно, потрібно, але це більше не є стоп-фактором для відповідності вимогам ФЗ про НПС вже зараз.
 
Таким чином, оцінюючи актуальну загрозу інформаційній безпеці, ми будуємо моделі загроз, в яких прописані, які загрози актуальні і як ми їх збираємося закривати. Це можуть бути як технічні заходи, так і організаційні, важливо при цьому, щоб дотримувався принцип економічної доцільності вибору тієї чи іншої захисного заходу.
 
Наша мета при проведенні таких робіт — не впіймати когось на брехні і якихось підтасовки, а допомогти зробити процеси дійсно краще, і якщо до вас прийде Центробанк, щоб не було штрафних санкцій.
 
Деякі просто говорять «Зробіть нам все для оцінки на 0,7» — і ми допомагаємо.
 
Також складається список необов'язкових, але розумних (економічно-обгрунтованих) заходів, які допомагають поліпшити ситуацію з ІБ в цілому. Відповідно, виходить дві частини: як максимально швидко і дешево прийти до відповідності і що в цілому потрібно зробити для забезпечення ІБ.
 
Якщо щось пояснив плутано і є питання або вам просто потрібна допомога, запитуйте в коментарях або поштою plutsik@croc.ru .
  
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.