Окончание срока проведения банками оценки соответствия выполнения требований 382-П: когда?

Ожидаемая паника все-таки наблюдается. В небольших масштабах, пока без жертв, затоптанных бегущими, но все-таки отмечена. Итак, бессмертное: «Шеф, все пропало…».

Это я про окончание срока проведения оценки банками соответствия выполнения требований «Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П). В июле прошлого года я писал, что после принятия 3007-У тема оценки соответствия и отчета из теоретической перетекла в сугубо практическую плоскость. Коллеги из банков меня тогда заверили, что беспокойство мое напрасно, все под контролем, и к проблеме они давно готовы.

Восставший после новогодних каникул кредитно-финансовый народ подтянулся в родные учреждения и вот это самое «Шеф, все пропало…» стало реальностью. Руководство банков с разной степенью вежливости интересуется, а что там у нас с отчетом и когда на самом деле надо было его отправить. О чем думали раньше и куда смотрели. Кто будет отвечать и как. Ну и так далее, вы знаете эти послепраздничные разговоры в строю.

Итак, следуя далее заявленному кинематографическому канону, «по советам моих товарищей», поскольку количество вопросов на эту тему в наше агентство уже зашкалило, мы решили изложить нашу точку зрения публично, а если будет тема для дискуссии – тем лучше. Коллективный разум, ныне именуемый краудсорсингом, – великая сила.

Итак, Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» в ст. 27 родил необходимость принятия Правительством России требований к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, проверять выполнение которых должны ФСБ и ФСТЭК (части 1 и 2), а Банком России - требований к защите информации при осуществлении переводов денежных средств, которые он же, Банк России, будет и проверять (часть 3).

Не будем сейчас обсуждать тему пересечения множеств, в частности, относится ли информация при осуществлении переводов денежных средств к подлежащей обязательной защите в соответствии с законодательством - это тема отдельной ветки обсуждения.

Отметим лишь, что ст. 27 закона родила Постановление Правительства  от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» (П-584) и «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 N 382-П (382-П).

П-584 установило, что организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры проводится участниками отношений (банками в данном случае) не реже 1 раза в 2 года самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Отсчет пошел с 1 июля 2012 года. Первая оценка должна быть закончена, соответственно, до 30 июня 2014 года включительно. Про отчетность и адрес, по которому ее надо направлять, в документе нет ни слова.

А вот 382-П родило сомнения. Оно вступило в силу также 1 июля 2012 года и в первоначальной редакции определяло, что подпадающие под его действия участники платежной системы обеспечивают проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России, и, таким образом, первая оценка должны была бы быть завершена до 30 июня 2014 года включительно, если не поступит иного указания Банка.

И оно поступило. 5 июня 2013 года Председатель Центробанка подписал Указание № 3007-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"». Указание вступало в силу в силу со дня его официального опубликования в «Вестнике Банка России», за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1, вводящих дополнительные требования к безопасности, которые вступают в силу по истечении 180 дней после дня его официального опубликования.

В соответствии с п.3 Указания организация, являющаяся на день его вступления в силу оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев с этого самого дня.

Указание опубликовано и вступило в силу 10 июня 2013 года. Значит, первую оценку соответствия надо было закончить не позже 9 января 2014 года.

Тут появляется маленький, но весьма интересный нюанс. 6 месяцев истекают 9 января, а 180 дней – 6 января. Кто не почувствовал разницу: если дата окончания оценки соответствия – 9 января (первый рабочий день нового года), то в оценку должны быть включены данные по выполнению требований п.п.28-29.4 382-П в редакции 3007-У, а если оценка закончена до 6 января (в декабре, например), то эти требования учитывать не надо.

Теперь об отчете. Пункт 2.15.3 382-П требует сформировать отчет и хранить его в порядке, установленном соответствующим оператором (банком, например).

А вот что делать с ним дальше, определяет уже Указание Банка России от 09.06.2012 N 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В соответствии с п.2 Указания, отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» предоставляется ими не позднее 30 рабочих дней со дня завершения проведения оценки требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных 382-П.

Т.е. смотрим дату утверждения отчета об оценке соответствия, отсчитываем 30 РАБОЧИХ дней и получаем дату предоставления отчета. Если отчет утвержден последним допустимым днем, 9-м января 2014 года, отчет в Банк России надо представить не позднее 20 февраля.

Вот такая арифметика Магницкого.

Итожим. Оценку соответствия 382-П надо было завершить и утвердить внутренний отчет не позднее 9 января 2014 года. Отчет в Банк России надо представить не позднее 20 февраля, причем если отчет утвержден 7-9 января, в него должна войти оценка соответствия требованиям п.п.28-29.4 382-П в редакции 3007-У.

До 30 июня этого же года надо завершить контроль и оценку выполнения требований к защите информации на собственных объектах инфраструктуры, установленных Постановлением Правительства № 584 (и, похоже, это не совсем то, что написано в оценке соответствия 382-П). Отчитываться не надо.

Но надо быть готовым к проверкам Банка России, ФСБ и ФСТЭК по всем рассмотренным требованиям.

И, в заключении, про бумажную безопасность. Государственные риски – одни из самых серьезных. Оштрафованных и лишенных лицензий больше, чем подвергнутых взлому с реальными последствиями. А бумажная безопасность – это, в том числе, и умение читать и понимать документы.

Если в обсуждении изложенной мною точки зрения поучаствуют представители  ГУБЗИ, Департамента национальной платежной системы и Главной инспекции кредитных организаций Банка России, укажут на возможные несоответствия и неточности или подтвердят правоту, думаю, представители банковского сообщества будут весьма благодарны.

Защита информации в национальной платежной системе: новые-старые требования

Пока мы, в очередной раз, наблюдали за тем, как немотивированные футболисты во главе с обиженным на всех тренером сливали воду в Варшаве, жизнь шла своим чередом.

На сайте Правительства Российской Федерации появилось подписанное 13 июня 2012 года его Председателем Постановление № 584 «Об утверждении Положения о защите информации в платежной системе», которое вступает в силу с 1 июля 2012 г.

Как и предусмотрено п.1 ст.27 ФЗ «О национальной платежной системе», Положение устанавливает требования к защите информации:

· о средствах и методах обеспечения информационной безопасности,

· о персональных данных,

· об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.

Самый главный вопрос, возникающий при изучении Положения, - тот же, что и был к ФЗ «О национальной платежной системе»: требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены Банком России, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – «иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации»? Если последнее, то защиту каких сведений будет определять Банк России?

Требования к защите информации с 1 июля 2012 года, как это предусмотрено ФЗ «О национальной платежной системе», должны включаться операторами в правила платежных систем и предусматривать в обязательном порядке (располагаю не в том порядке, как это указано в Положении, а исходя из своего понимания логики действий):

· наличие структурного подразделения по защите информации (службы информационной безопасности) или специально назначенного должностного лица, ответственного за организацию защиты информации;

· риск-ориентированный подход к обеспечению безопасности, что вполне соответствует обязательности создания системы управления рисками в платежной системе;

· определение угроз безопасности информации и анализ уязвимости информационных систем;

· наличие системы защиты информации в информационных системах;

· обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования (тонкая аллюзия на необходимость защиты при передаче данных через интернет?);

· применение средств защиты информации; определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;

· наличие у операторов и агентов локальных правовых актов, устанавливающих порядок реализации требований к защите информации;

· обязанности по выполнению требований к защите информации в должностных обязанностях работников, участвующих в обработке информации;

· выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

· организация, проведение контроля и оценка выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года (самостоятельно или с привлечением лицензиата в области ТЗКИ).

Следующая неожиданность: перечень средств защиты выглядит исчерпывающим (традиционных слов «и другие», «и иные» в тексте Положения нет) и включает в себя:

· шифровальные (криптографические) средства,

· средства защиты информации от несанкционированного доступа,

· средства антивирусной защиты,

· средства межсетевого экранирования,

· системы обнаружения вторжений,

· средства контроля (анализа) защищенности.

Все! Требования об обязательности оценки соответствия СЗИ нет! Читаем еще раз внимательно. Нет такого требования. А вот что это значит – пока совершенно непонятно. Если с защитой персональных данных при осуществлении платежей есть некоторая ясность – меры обеспечения их безопасности определены специальным законодательством, которое в совокупности фактически требует обязательной сертификации СЗИ, то как быть с «иной информацией, подлежащей обязательной защите в соответствии с законодательством Российской Федерации» и что это за информация вообще, будет выясняться, как обычно, по ходу правоприменения.

Фраза «Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации» похоже, является намеком на то, что деятельность по ТЗКИ по-прежнему является лицензируемой.

Последний пункт Положения предусматривает, что применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации. Т.е. опять – только общие слова и, как следствие, неизбежные бесконечные дискуссии специалистов о допустимости использования SSL и TLS, реализующих RSA и прочую заморскую «непонять», электронных средств платежей зарубежной разработки со встроенной в них криптографиейо том, как не нарушить закон при трансграничном переводе денежных средств и т.д.

Порядок действий оператора платежной системы при реализации требований закона и вводимого в действие Положения представляется следующим. Оператор:

1. Назначает у себя структурное подразделение (возлагает на службу информационной безопасности) или должностное лицо, ответственное за организацию защиты информации в платежной системе.

2. В соответствии с выбранной организационной моделью управления рисками в платежной системе (ст.28 закона) определяет свою зону ответственности за риски, связанные с информационной безопасностью, выявляет и обрабатывает риски на основании моделирования угроз и выявления уязвимостей (не забываем про не антропогенные угрозы!) и/или получает информацию о необходимости обработки рисков, выявленных операторами услуг платежной инфраструктуры и участниками платежной системы, а также расчетным центром, если функции по оценке и управлению рисками переданы ему.

3. Самостоятельно (при наличии лицензии на ТЗКИ) или с привлечением лицензиата проектирует систему защиты информации в своей информационной системе, обеспечивающую снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности с использованием набора средств защиты, перечисленных в Положении. При этом оператор помнит о возможности перехвата информации при осуществлении электронных платежей через сети связи общего пользования и интернет (а как иначе их осуществлять) и поднимает для этого криптографические протоколы, в том числе несертифицированные, если может обосновать законность их ввоза и использования.

4. Исходя из результатов обработки рисков и наличия актуальных угроз, в первую очередь – исходящих от его собственного персонала, устанавливает правила доступа к средствам обработки информации и определяет используемые для этого средства.

5. Разрабатывает пакет локальных нормативных документов, описывающих все сделанное выше, в том числе - распределяющих и описывающих обязанности конкретных пользователей системы.

6. Организует мониторинг за выполнением установленных правил, выявление инцидентов и систему реагирования на них, причем документирует результаты этой работы не реже 1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (мы помним о том, что в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).

Вот так, примерно. Ничего или почти ничего нового, за исключением заявленного риск-ориентированного подхода. Схема знакома, опробована и закреплена в большом количестве актов. За работу, товарищи участники платежной системы!