Окончание срока проведения банками оценки соответствия выполнения требований 382-П: когда?

Ожидаемая паника все-таки наблюдается. В небольших масштабах, пока без жертв, затоптанных бегущими, но все-таки отмечена. Итак, бессмертное: «Шеф, все пропало…».

Это я про окончание срока проведения оценки банками соответствия выполнения требований «Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П). В июле прошлого года я писал, что после принятия 3007-У тема оценки соответствия и отчета из теоретической перетекла в сугубо практическую плоскость. Коллеги из банков меня тогда заверили, что беспокойство мое напрасно, все под контролем, и к проблеме они давно готовы.

Восставший после новогодних каникул кредитно-финансовый народ подтянулся в родные учреждения и вот это самое «Шеф, все пропало…» стало реальностью. Руководство банков с разной степенью вежливости интересуется, а что там у нас с отчетом и когда на самом деле надо было его отправить. О чем думали раньше и куда смотрели. Кто будет отвечать и как. Ну и так далее, вы знаете эти послепраздничные разговоры в строю.

Итак, следуя далее заявленному кинематографическому канону, «по советам моих товарищей», поскольку количество вопросов на эту тему в наше агентство уже зашкалило, мы решили изложить нашу точку зрения публично, а если будет тема для дискуссии – тем лучше. Коллективный разум, ныне именуемый краудсорсингом, – великая сила.

Итак, Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» в ст. 27 родил необходимость принятия Правительством России требований к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, проверять выполнение которых должны ФСБ и ФСТЭК (части 1 и 2), а Банком России - требований к защите информации при осуществлении переводов денежных средств, которые он же, Банк России, будет и проверять (часть 3).

Не будем сейчас обсуждать тему пересечения множеств, в частности, относится ли информация при осуществлении переводов денежных средств к подлежащей обязательной защите в соответствии с законодательством - это тема отдельной ветки обсуждения.

Отметим лишь, что ст. 27 закона родила Постановление Правительства  от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» (П-584) и «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 N 382-П (382-П).

П-584 установило, что организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры проводится участниками отношений (банками в данном случае) не реже 1 раза в 2 года самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Отсчет пошел с 1 июля 2012 года. Первая оценка должна быть закончена, соответственно, до 30 июня 2014 года включительно. Про отчетность и адрес, по которому ее надо направлять, в документе нет ни слова.

А вот 382-П родило сомнения. Оно вступило в силу также 1 июля 2012 года и в первоначальной редакции определяло, что подпадающие под его действия участники платежной системы обеспечивают проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России, и, таким образом, первая оценка должны была бы быть завершена до 30 июня 2014 года включительно, если не поступит иного указания Банка.

И оно поступило. 5 июня 2013 года Председатель Центробанка подписал Указание № 3007-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"». Указание вступало в силу в силу со дня его официального опубликования в «Вестнике Банка России», за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1, вводящих дополнительные требования к безопасности, которые вступают в силу по истечении 180 дней после дня его официального опубликования.

В соответствии с п.3 Указания организация, являющаяся на день его вступления в силу оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев с этого самого дня.

Указание опубликовано и вступило в силу 10 июня 2013 года. Значит, первую оценку соответствия надо было закончить не позже 9 января 2014 года.

Тут появляется маленький, но весьма интересный нюанс. 6 месяцев истекают 9 января, а 180 дней – 6 января. Кто не почувствовал разницу: если дата окончания оценки соответствия – 9 января (первый рабочий день нового года), то в оценку должны быть включены данные по выполнению требований п.п.28-29.4 382-П в редакции 3007-У, а если оценка закончена до 6 января (в декабре, например), то эти требования учитывать не надо.

Теперь об отчете. Пункт 2.15.3 382-П требует сформировать отчет и хранить его в порядке, установленном соответствующим оператором (банком, например).

А вот что делать с ним дальше, определяет уже Указание Банка России от 09.06.2012 N 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В соответствии с п.2 Указания, отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» предоставляется ими не позднее 30 рабочих дней со дня завершения проведения оценки требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных 382-П.

Т.е. смотрим дату утверждения отчета об оценке соответствия, отсчитываем 30 РАБОЧИХ дней и получаем дату предоставления отчета. Если отчет утвержден последним допустимым днем, 9-м января 2014 года, отчет в Банк России надо представить не позднее 20 февраля.

Вот такая арифметика Магницкого.

Итожим. Оценку соответствия 382-П надо было завершить и утвердить внутренний отчет не позднее 9 января 2014 года. Отчет в Банк России надо представить не позднее 20 февраля, причем если отчет утвержден 7-9 января, в него должна войти оценка соответствия требованиям п.п.28-29.4 382-П в редакции 3007-У.

До 30 июня этого же года надо завершить контроль и оценку выполнения требований к защите информации на собственных объектах инфраструктуры, установленных Постановлением Правительства № 584 (и, похоже, это не совсем то, что написано в оценке соответствия 382-П). Отчитываться не надо.

Но надо быть готовым к проверкам Банка России, ФСБ и ФСТЭК по всем рассмотренным требованиям.

И, в заключении, про бумажную безопасность. Государственные риски – одни из самых серьезных. Оштрафованных и лишенных лицензий больше, чем подвергнутых взлому с реальными последствиями. А бумажная безопасность – это, в том числе, и умение читать и понимать документы.

Если в обсуждении изложенной мною точки зрения поучаствуют представители  ГУБЗИ, Департамента национальной платежной системы и Главной инспекции кредитных организаций Банка России, укажут на возможные несоответствия и неточности или подтвердят правоту, думаю, представители банковского сообщества будут весьма благодарны.

Ау, банкиры! До отчета перед Банком России об оценке соответствия осталось меньше полугода

Помните старую песенку: «Странно и смешно наш устроен мир»? Вот уж действительно – странно и смешно. Коллеги активно продолжают обсуждение начатой 6 с лишним лет назад темы персональных данных, придумывая все новые повороты сюжета. Вот и до рублевой, и до вербальной оценки вреда субъекту вчера добрались.

Сегодня перед профессионалами, работающими в финансовой сфере, стоит гораздо более насущная, срочная и сложная задача – оценка соответствия требованиям защиты информации в платежной системе. Появилась пара-тройка сообщений с констатацией факта выхода указания Банка России от 05.06.2013 № 3007-У, тему вяло пообсуждали, отметив, что на все про все есть полгода – до 10 января 2014 года оценку надо закончить и направить отчет в Банк России. Тема тихо угасла.

Между тем, по опыту наших проектов по оценке соответствия, работы там – выше крыши, причем привлекать придется практически все структурные подразделения банка, что, как обычно, бизнесу мало нравится и приводит к появлению дополнительного временного лага.

Первые две важнейшие задачи: определить состав объектов инфраструктуры, подпадающих под положение Банка России № 382-П, и детально сравнить приложение № 2 к нему с внутренними банковскими нормативными документами.

Автоматизированная банковская система (АБС) и система дистанционного банковского обслуживания (ДБО, клиент-банк) положению должны удовлетворять без вопросов, и не забудьте про системы обмена электронными сообщениями с Банком России (они, конечно же, удовлетворяют, но вот все ли сделал банк с точки зрения обеспечения безопасности работы в них?). А дальше все зависит от того, что за банк и какова топология его информационной системы.

Все 137 требований, сформулированных в приложении № 2 к 382-П, обязательны для всех подсистем, используемых для перевода денежных средств. Дали клиенту возможность выполнять операции со смартфона или голосом по телефону – будьте добры навести порядок и там.

Соотнесение внутренних локальных актов банка с 382-П – тоже задача весьма не тривиальная. Придется решать сложную головоломку: распространить требования Положения на всю подсистему информационной безопасности банка или часть требований применять только к объектам инфраструктуры, используемой для перевода денежных средств. Тем, кто уже приводил свое хозяйство в соответствие с СТО БР ИББС, будет, конечно, легче – почти все есть и в стандарте, но легче при одном существенном условии – работа была реальной, добротно сделанной, а не для галочки.

Почему я считаю, что распространить все требования 382-П на всю инфраструктуру банка может и не получиться? Потому что часть из них – крайне жесткие, и их реализация потребует очень больших ресурсов, как людских, так и финансовых.

Сразу отмечу, что небольшие банки, где нет самостоятельной службы информационной безопасности, разделенной с ИТ-подразделением, сразу окажутся в очень сложном положении (только не пишите в комментах, что таких банков нет. Плавали, знаем, и их не мало).

Они автоматически получат 3 нулевых оценки при расчете EV1_ПС и аж 14(!) при расчете EV2_ПС. Согласитесь, условия для старта совсем не комфортные. Корректирующий коэффициент k₂ сразу станет минимально возможным – 0,7, и рассчитывать на итоговую высокую оценку вряд ли придется.

Кстати, со службой ИБ в документе есть, на мой взгляд, один казус. В пункте 102, касающемся информирования службы об инцидентах, появляются слова «в случае ее наличия», что дает надежду оставить выполнение этого требования без оценки. Между тем во всех остальных 16 пунктах, касающихся службы, вопрос ставится императивно: осуществляет контроль, осуществляет планирование, согласовывает и т.д. А пункт 82 вообще тверд, как алмаз: «Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают формирование службы информационной безопасности, а также определяют во внутренних документах цели и задачи деятельности этой службы».

Особые проблемы возникают у банков, привлекающих платежных агентов и субагентов. На них ложится головная боль за обеспечение выполнения агентами (субагентами) требований к обеспечению защиты информации. Правда, это требование в приложение № 2 не вошло и при оценке учитываться вроде бы не должно, но как Банк России будет подходить к вопросу только время покажет.

И главное, что тоже почему-то не очень обсуждается. А что будет, если ничего не делать?

Теперь защита информации попала в область банковского надзора, потому ответ – в ст.74 ФЗ «О Центральном банке Российской Федерации (Банке России)»: штраф в размере до 300 тысяч рублей (0,1 процента минимального размера уставного капитала) либо ограничение проведения кредитной организацией отдельных операций на срок до шести месяцев. В данном случае, видимо, операций по переводу денежных средств.

А вы все говорите: «Персональные данные, персональные данные!».

Банки, ау!

P.S. Не забудьте про обязательность повышения осведомленности персонала в области информационной безопасности и памятки клиентам, использующим системы ДБО. К ним тоже требований много.