понедельник, 1 июля 2013 г.

Обзор законодательных актов в области регулирования национальной платежной системы в части обеспечения информационной безопасности

Сокращения
НПС - Национальная Платежная Система
ЗПС - значимая платежная система - платежная система, отвечающая критериям, установленным настоящим Федеральным законом (системно значимая платежная система или социально значимая платежная система);
БФПС - бесперебойное функционирование платежной системы.

Предпосылки создания НПС
Международные платежные системы в последние 20 лет получили заслуженную популярность. Удобство пользования платежными инструментами стало мощным драйвером для их использования на российском рынке. Однако, в 1998 году, когда Visa и MasterCard блокировали некоторые транзакции российских граждан, стало понятно, что имеется определенная опасность, связанная с тем, что внутренние платежи с использованием международных платежных систем могут контролироваться из других стран, такая зависимость для Российской Федерации представляет риск финансовой системы. С тех пор был запущен процесс разработки концепции национальной платежной системы (НПС), которая станет с одной стороны независимой альтернативой для международных платежных систем, а с другой стороны дополнит их. Вполне логичным продолжением процесса стало формирование законодательной базы в области регулирования взаимоотношений, возникаемых между участниками в рамках функционирования НПС. Так вышел Федеральный закон от 27 июня 2011 г. №161 "О национальной платежной системе".

В законе дается определение НПС:
1) национальная платежная система - совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы);

То есть наряду с карточными платежными системами, закон регулирует и электронные.

Нормативное обеспечение НПС в части ИБ

Для реализации НПС был разработан ряд нормативных документов. Нас интересуют те, что регулируют вопросы ИБ.

В частности в самом Федеральном законе от 27 июня 2011 г. №161 "О национальной платежной системе" в Ст. 27 (Обеспечение защиты информации в платежной системе) говорится об общих вопросах защиты в рамках НПС. Банк России наряду с Правительством РФ разрабатывает требования по обеспечению безопасности платежных систем.

Требования по безопасности НПС
Правительство РФ разработало документ по защите информации в платежной системе:
Постановление Правительства Российской Федерации от 13 июня 2012 г. №584 "Об утверждении Положения о защите информации в платежной системе"

В рамках документа в п.4 определяются наиболее важные 10 требований:
Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:
а) создание и организация функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации;
б) включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;
в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками;
д) разработка и реализация систем защиты информации в информационных системах;
е) применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);
ж) выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;
з) обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
и) определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;
к) организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года.
Что примечательно, в рамках требований встречается понятие оценки рисков. Довольно здравый подход, учитывая, что величина ущерба в рамках платежных инструмент считается не сложно (размер транзакции, размер счетов и т.д.). Вопрос остается только в вероятностях и статистике, но об этом чуть дальше.

Следующее положение разработал Банк России, как было сказано в законе Банк России имеет право разрабатывать требования к обеспечению защиты информации:
Положение Центрального Банка Российской Федерации от 9 июня 2012 г. №382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”
В нем довольно подробно описываются требования к процессам и механизмам для защиты информации в платежных системах. Надо признать, что документ весьма достойный требования хоть и не детализированы, но очень хорошо проработаны. Определены роли участников в обеспечении безопасности платежей. Особо приятно наличие “требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов (далее - повышение осведомленности) в области обеспечения защиты информации;”. На мой взгляд это наиболее критичная область в любых системах защиты.

Требования по отчетности в рамках НПС
Центральный Банк разработал также указание об отчетности:
Указание Банка России от 9 июня 2012 г. №2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств"
В нем даются формы отчетности, которая требуется для обеспечения защиты информации при осуществлении переводов денежных средств. Их всего 4:
1.    форме 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств"
2.    форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
3.    о форме 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств"
4.    форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Для двух последних форм приводится методика заполнения форм.
В рамках отчетности передается информация о выявленных инцидентах. Теперь становится ясно откуда будет браться статистика и вероятности реализации различных угроз для анализа рисков.

Следующий документ это положение от Банка России:
Положение Банка России от 31 мая 2012 г. №380-П "О порядке осуществления наблюдения в национальной платежной системе"
В нем описывается роль Банка России по наблюдению в НПС. Одним из интересных моментов является то, что результаты наблюдения будут периодически публиковаться. Содержание публикаций следующее:
1.    сравнение обобщенных результатов оценок различных ЗПС;
2.    информацию о типичных недостатках и проблемах в деятельности наблюдаемых организаций и в функционировании ЗПС;
3.    обобщение наилучшей практики в области платежных систем, выявленной в ходе оценки ЗПС;
4.    общую информацию о рекомендациях Банка России, сформированных по результатам оценки различных ЗПС;
5.    оценку влияния ЗПС и отдельных платежных инфраструктур на национальную экономику и НПС;
6.    информацию о взаимодействии различных ЗПС.
Имея такую информацию, по сложившимся ощущениям, участникам НПС станет значительно проще совершенствовать систему защиты платежных систем.

Еще один документ от Банка России, в рамках которого он наделяется правом осуществления надзора за соблюдением требований закона не кредитными организациями:
Положение Банка России от 09 июня 2012 г. №381-П “О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе", принятых в соответствии с ним нормативных актов Банка России”
Типы надзора в соответствии с документом:
     дистанционного надзор
     инспекционные проверки
При невыполнении предписаний, организация может быть исключена из платежной системы.

Требования по непрерывности НПС
Следующий важный документ также разработан Банком России, он касается непрерывности функционирования платежных систем:
Положение Банка России от 31 мая 2012 г. №379-П “О бесперебойности функционирования платежных систем и анализе рисков в платежных системах”
В документе речь идет об анализе риском и адекватных мерах для обеспечения непрерывности.
Приводятся показатели БФПС:
     уровень бесперебойности оказания операционных услуг;
     уровень бесперебойности оказания услуг платежного клиринга;
     уровень бесперебойности оказания расчетных услуг
Разработаны требования к непрерывности:
     требования к детализации приемлемого уровня рисков нарушения БФПС в разрезе категорий субъектов платежной системы: операторов услуг платежной инфраструктуры - по видам услуг, участников платежной системы - по видам участия в платежной системе;
     порядок разработки, применения и оценки эффективности методик анализа рисков в платежной системе, требования к оформлению и проверке результатов анализа;
     порядок оценки качества и надежности функционирования информационных систем, операционных и технологических средств, применяемых операторами услуг платежной инфраструктуры;
     порядок выбора и реализации мероприятий и способов достижения и поддержания приемлемого уровня рисков нарушения БФПС, порядок оценки их эффективности и совершенствования;
     требования к мониторингу рисков нарушения БФПС;
     требования к планам обеспечения непрерывности деятельности и восстановления деятельности операторов услуг платежной инфраструктуры.

Для наглядности перечень нормативных актов в виде диаграммы:

Список использованных источников

1.    Федеральный закон от 27 июня 2011 г. №161 "О национальной платежной системе"
2.    Постановление Правительства Российской Федерации от 13 июня 2012 г. №584 "Об утверждении Положения о защите информации в платежной системе"
3.    Положение Центрального Банка Российской Федерации от 9 июня 2012 г. №382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”
4.    Указание Банка России от 9 июня 2012 г. №2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств"
5.    Положение Банка России от 31 мая 2012 г. №380-П "О порядке осуществления наблюдения в национальной платежной системе"
6.    Положение Банка России от 09 июня 2012 г. №381-П “О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе", принятых в соответствии с ним нормативных актов Банка России”
7.    Положение Банка России от 31 мая 2012 г. №379-П “О бесперебойности функционирования платежных систем и анализе рисков в платежных системах”