Новый адрес INLINE Technologies: Волоколамский пр-д, 10, стр. 1, БЦ «Диапазон»
INLINE Technologies
Eng

Публикации

«BIS Journal – Информационная безопасность банков», № 3, 2013

Анна Прудникова: «Первый шаг навстречу регулятору»

 Анна Прудникова

Хорошо сформулированная проблема – это наполовину решенная проблема

Чарльз Франклин Кеттеринг

Настоящее и будущее СТО БР

Сегодня вряд ли найдется организация банковской системы, не слышавшая о СТО БР ИББС (Стандарт) и не имеющая представления, о чем идет в нем речь. По состоянию на 1 апреля 2013 года уведомление о принятии Стандарта в Банк России направили 535 кредитных организаций, из них 288 – по Москве и Московской области.

Действующая в настоящее время версия Стандарта выпущена в 2010 году, спустя два года после предыдущей версии. Предполагалось, что в 2012 году на основании предшествующей тенденции Стандарт будет переработан, однако новая версия выпущена не была. Это объясняется тем, что требования Стандарта взаимосвязаны с требованиями по защите персональных данных, которые по состоянию на 2012 год находились в стадии доработки. Сейчас все изменения в законодательство внесены, и возникает вопрос дальнейшего развития Стандарта. По словам Банка России, на ближайший год планируется проведение работ по совершенствованию комплекса документов СТО БР ИББС, из чего можно предположить, что в ближайшее время мы увидим новую, переработанную версию Стандарта.

Требования СТО БР ИББС являются рекомендательными, и принимать/не принимать Стандарт каждый решает сам. На наш взгляд, тем организациям, которые еще окончательно не решили принять Стандарта, в свете складывающейся ситуации лучше сосредоточиться в первую очередь на выполнении обязательных требований законодательства, а именно: требований в рамках функционирования национальной платежной системы (НПС).

Требования по НПС: можно ли обойти?

Новое законодательство о НПС определяет понятие НПС и выдвигает к ее субъектам обязательные требования по проведению анализа и комплексного пересмотра деятельности с учетом новых условий. После того как был выпущен Федеральный закон «О национальной платежной системе» (Закон о НПС), область действия которого распространяется не только на кредитные организации (как в случае со СТО БР ИББС), но и на все организации, участвующие в процессах перевода денежных средств (собственно субъекты НПС), о нем было сказано и написано немало. В комплект нормативных документов, регулирующих функционирование в рамках НПС по информационной безопасности, также входят Постановление Правительства и документы Банка России.

В соответствии с Законом о НПС Банк России теперь наделен правами нормативного регулирования информационной безопасности субъектов НПС, т.е. становится регулятором в этом вопросе и официально имеет возможность влиять на обеспечение защиты информации при оказании организациями любых видов услуг по переводу денежных средств. Основным требованием, вызывающим проблемы у субъектов НПС, является требование по предоставлению отчетности регулятору об уровне соответствия требованиям по информационной безопасности. Собственно, оно и призвано заставить их исполнять требования по защите информации (внедрять технические и организационные меры) и на регулярной основе проводить аудит текущего состояния системы информационной безопасности в рамках оформления соответствующих отчетов. На настоящий момент лишь малая доля субъектов НПС (по информации АБИСС, таких организаций всего 5) подала отчетность в Банк России. Преобладающее большинство заняло выжидательную позицию, Одни ждут прямого указания от Банка России, другие находятся в стадии проведения подготовительных работ для приведения в соответствие, третьи простоне понимают, как заполнять отчетные формы. Такой подход не совсем верен, сложившаяся ситуация достаточно серьезна, и невыполнение требований законодательства влечет негативные последствия для организации (и мы говорим не только о предоставлении отчетности, но о выполнении требований в целом). В последнее время неоднократно поднимался вопрос: что же делать организации, которая приняла у себя СТО БР ИББС? Освобождает ли это от выполнения требований по НПС? Однозначный ответ – нет.

Надо понимать, что в то время, как основные подходы по организации защиты информации для НПС повторяют требования СТО БР ИББС (в силу того, что регулятор у них общий), внедрение последнего не заменяет выполнение требований по защите переводов денежных средств в НПС. Как показывает практика, даже ответственные за информационную безопасность сотрудники кредитных организаций иногда до конца этого не понимают, и происходит своего рода подмена понятий.

Неоднократно в различных источниках проводился сравнительный анализ требований нормативной базы НПС и СТО БР ИББС (в том числе и методик оценок соответствия этим требованиям), который сводился к одному выводу: между этими нормативными актами много общего. При этом в рамках проведения такого анализа не всегда учитывался тот факт, что цели и области действия у них разные.

Методика НПС хотя и является преемницей методики оценки СТО БР ИББС, но по многим показателям упрощена. Это объясняется тем, что у методики НПС более узконаправленная задача – оценка уровня защиты информации в рамках одной определенной деятельности (процессы перевода денежных средств), а не оценка системы обеспечения информационной безопасности в кредитной организации в целом.

Дальнейшие действия: что делать и куда бежать?

Так как же в сложившейся ситуации поступать организациям, на которых распространяется действие Закона о НПС? Ответ один – начать действовать в рамках НПС.

Основное, что надо понять и принять субъектам НПС – процесс выполнения требований и подачи отчетности не так сложен, как может показаться на первый взгляд. Самое главное – начать проводить необходимые работы, а не ждать, пока будут применены «карательные» санкции за невыполнение требований законодательства. Кроме того, если организация – субъект НПС не может самостоятельно справиться с проведением таких работ (из-за отсутствия необходимого опыта, ресурсов и т.д.), законодательство разрешает привлекать на договорной основе специализированные организации, оказывающие консультационные услуги в сфере информационной безопасности. Такие организации имеют соответствующий опыт, ресурсы и все необходимые лицензии для осуществления данной деятельности.

Конечно, для организаций, которые уже приняли СТО БР ИББС и провели работы по приведению в соответствие, значительно проще выполнять требования в рамках НПС, т.к. они уже знакомы с основными подходами и механизмами, предлагаемыми Стандартом (отчасти используемыми и в требованиях в рамках НПС). Такие организации показывают высокий уровень зрелости в области информационной безопасности и следуют последним тенденциям в этой сфере, повышая свой статус на рынке.

Но не стоит отчаиваться и тем, кто еще не начинал проводить работы в области защиты информации. Это могут быть кредитные организации, не посчитавшие нужным принимать Стандарт, или же организации – субъекты НПС, не являющиеся кредитными организациями, на которых Стандарт просто не распространяется. В любой ситуации главное помнить, что осознание проблемы – половина ее решения.

***

В первую очередь, необходимо изучить проблематику, проанализировать применительно к организации установленные требования по защите информации (исходя из видов деятельности в рамках НПС), разработать план дальнейших действий по реализации актуальных требований и начать работы по их выполнению. Это и будет первым шагом навстречу регулятору.


Наверх
Вопрос эксперту
Аркадий Агапкин
Системы хранения данных, виртуализация, вычислительные системы
Александр Зайцев
Корпоративные сети передачи данных, центры обработки данных, технологические сети
Виктор Лукоянов
Системы инженерной инфраструктуры
Алексей Киреев
Обслуживание систем и аутсорсинг
Борис Малахов
ИАС, управление корпоративными данными и НСИ, порталы
Владислав Запоев
Центры обработки обращений, системы контроля операторов контакт-центра
  
|  Карта сайта
1-й Волоколамский пр-д, 10, стр. 1, 123060, Москва   Телефон/факс: +7 (495) 721-35-05   эл. почта: info@in-line.ru   Схема проезда
    © 2010-2017  ООО «Инлайн технолоджис»