INLINE Technologies
Eng

Публикации

«BIS Journal – Информационная безопасность банков», № 3, 2013

Анна Прудникова: «Первый шаг навстречу регулятору»

 Анна Прудникова

Хорошо сформулированная проблема – это наполовину решенная проблема

Чарльз Франклин Кеттеринг

Настоящее и будущее СТО БР

Сегодня вряд ли найдется организация банковской системы, не слышавшая о СТО БР ИББС (Стандарт) и не имеющая представления, о чем идет в нем речь. По состоянию на 1 апреля 2013 года уведомление о принятии Стандарта в Банк России направили 535 кредитных организаций, из них 288 – по Москве и Московской области.

Действующая в настоящее время версия Стандарта выпущена в 2010 году, спустя два года после предыдущей версии. Предполагалось, что в 2012 году на основании предшествующей тенденции Стандарт будет переработан, однако новая версия выпущена не была. Это объясняется тем, что требования Стандарта взаимосвязаны с требованиями по защите персональных данных, которые по состоянию на 2012 год находились в стадии доработки. Сейчас все изменения в законодательство внесены, и возникает вопрос дальнейшего развития Стандарта. По словам Банка России, на ближайший год планируется проведение работ по совершенствованию комплекса документов СТО БР ИББС, из чего можно предположить, что в ближайшее время мы увидим новую, переработанную версию Стандарта.

Требования СТО БР ИББС являются рекомендательными, и принимать/не принимать Стандарт каждый решает сам. На наш взгляд, тем организациям, которые еще окончательно не решили принять Стандарта, в свете складывающейся ситуации лучше сосредоточиться в первую очередь на выполнении обязательных требований законодательства, а именно: требований в рамках функционирования национальной платежной системы (НПС).

Требования по НПС: можно ли обойти?

Новое законодательство о НПС определяет понятие НПС и выдвигает к ее субъектам обязательные требования по проведению анализа и комплексного пересмотра деятельности с учетом новых условий. После того как был выпущен Федеральный закон «О национальной платежной системе» (Закон о НПС), область действия которого распространяется не только на кредитные организации (как в случае со СТО БР ИББС), но и на все организации, участвующие в процессах перевода денежных средств (собственно субъекты НПС), о нем было сказано и написано немало. В комплект нормативных документов, регулирующих функционирование в рамках НПС по информационной безопасности, также входят Постановление Правительства и документы Банка России.

В соответствии с Законом о НПС Банк России теперь наделен правами нормативного регулирования информационной безопасности субъектов НПС, т.е. становится регулятором в этом вопросе и официально имеет возможность влиять на обеспечение защиты информации при оказании организациями любых видов услуг по переводу денежных средств. Основным требованием, вызывающим проблемы у субъектов НПС, является требование по предоставлению отчетности регулятору об уровне соответствия требованиям по информационной безопасности. Собственно, оно и призвано заставить их исполнять требования по защите информации (внедрять технические и организационные меры) и на регулярной основе проводить аудит текущего состояния системы информационной безопасности в рамках оформления соответствующих отчетов. На настоящий момент лишь малая доля субъектов НПС (по информации АБИСС, таких организаций всего 5) подала отчетность в Банк России. Преобладающее большинство заняло выжидательную позицию, Одни ждут прямого указания от Банка России, другие находятся в стадии проведения подготовительных работ для приведения в соответствие, третьи простоне понимают, как заполнять отчетные формы. Такой подход не совсем верен, сложившаяся ситуация достаточно серьезна, и невыполнение требований законодательства влечет негативные последствия для организации (и мы говорим не только о предоставлении отчетности, но о выполнении требований в целом). В последнее время неоднократно поднимался вопрос: что же делать организации, которая приняла у себя СТО БР ИББС? Освобождает ли это от выполнения требований по НПС? Однозначный ответ – нет.

Надо понимать, что в то время, как основные подходы по организации защиты информации для НПС повторяют требования СТО БР ИББС (в силу того, что регулятор у них общий), внедрение последнего не заменяет выполнение требований по защите переводов денежных средств в НПС. Как показывает практика, даже ответственные за информационную безопасность сотрудники кредитных организаций иногда до конца этого не понимают, и происходит своего рода подмена понятий.

Неоднократно в различных источниках проводился сравнительный анализ требований нормативной базы НПС и СТО БР ИББС (в том числе и методик оценок соответствия этим требованиям), который сводился к одному выводу: между этими нормативными актами много общего. При этом в рамках проведения такого анализа не всегда учитывался тот факт, что цели и области действия у них разные.

Методика НПС хотя и является преемницей методики оценки СТО БР ИББС, но по многим показателям упрощена. Это объясняется тем, что у методики НПС более узконаправленная задача – оценка уровня защиты информации в рамках одной определенной деятельности (процессы перевода денежных средств), а не оценка системы обеспечения информационной безопасности в кредитной организации в целом.

Дальнейшие действия: что делать и куда бежать?

Так как же в сложившейся ситуации поступать организациям, на которых распространяется действие Закона о НПС? Ответ один – начать действовать в рамках НПС.

Основное, что надо понять и принять субъектам НПС – процесс выполнения требований и подачи отчетности не так сложен, как может показаться на первый взгляд. Самое главное – начать проводить необходимые работы, а не ждать, пока будут применены «карательные» санкции за невыполнение требований законодательства. Кроме того, если организация – субъект НПС не может самостоятельно справиться с проведением таких работ (из-за отсутствия необходимого опыта, ресурсов и т.д.), законодательство разрешает привлекать на договорной основе специализированные организации, оказывающие консультационные услуги в сфере информационной безопасности. Такие организации имеют соответствующий опыт, ресурсы и все необходимые лицензии для осуществления данной деятельности.

Конечно, для организаций, которые уже приняли СТО БР ИББС и провели работы по приведению в соответствие, значительно проще выполнять требования в рамках НПС, т.к. они уже знакомы с основными подходами и механизмами, предлагаемыми Стандартом (отчасти используемыми и в требованиях в рамках НПС). Такие организации показывают высокий уровень зрелости в области информационной безопасности и следуют последним тенденциям в этой сфере, повышая свой статус на рынке.

Но не стоит отчаиваться и тем, кто еще не начинал проводить работы в области защиты информации. Это могут быть кредитные организации, не посчитавшие нужным принимать Стандарт, или же организации – субъекты НПС, не являющиеся кредитными организациями, на которых Стандарт просто не распространяется. В любой ситуации главное помнить, что осознание проблемы – половина ее решения.

***

В первую очередь, необходимо изучить проблематику, проанализировать применительно к организации установленные требования по защите информации (исходя из видов деятельности в рамках НПС), разработать план дальнейших действий по реализации актуальных требований и начать работы по их выполнению. Это и будет первым шагом навстречу регулятору.


Наверх
Вопрос эксперту
Олег Сухов
Видеонаблюдение, биометрия, системы контроля доступа
Аркадий Агапкин
Системы хранения данных, виртуализация, вычислительные системы
Борис Малахов
ИАС, управление корпоративными данными и НСИ, порталы
Тигран Матинян
ITSM-консалтинг, бизнес-мониторинг
Рустам Хайбуллов
Информационная безопасность
Алексей Киреев
Обслуживание систем и аутсорсинг
Виктор Лукоянов
Системы инженерной инфраструктуры
Константин Соловьев
Корпоративные сети передачи данных, центры обработки данных, технологические сети
  
|  Карта сайта
1-й Волоколамский пр-д, 10, стр. 1, 123060, Москва   Телефон/факс: +7 (495) 721-35-05   эл. почта: info@in-line.ru   Схема проезда
    © 2010-2017  ООО «Инлайн технолоджис»