EnglishVKTelegram
  • О компании
  • Пресс-центр
  • Решения и услуги
  • Отрасли
  • Проекты
  • Карьера
    • Публикации
    «BIS Journal – Информационная безопасность банков», № 3, 2013

    Анна Прудникова. «Первый шаг навстречу регулятору»

    Анна Прудникова

    Хорошо сформулированная проблема – это наполовину решенная проблема.
    Чарльз Франклин Кеттеринг

    Настоящее и будущее СТО БР

    Сегодня вряд ли найдется организация банковской системы, не слышавшая о СТО БР ИББС (Стандарт) и не имеющая представления, о чем идет в нем речь. По состоянию на 1 апреля 2013 года уведомление о принятии Стандарта в Банк России направили 535 кредитных организаций, из них 288 – по Москве и Московской области.

    Действующая в настоящее время версия Стандарта выпущена в 2010 году, спустя два года после предыдущей версии. Предполагалось, что в 2012 году на основании предшествующей тенденции Стандарт будет переработан, однако новая версия выпущена не была. Это объясняется тем, что требования Стандарта взаимосвязаны с требованиями по защите персональных данных, которые по состоянию на 2012 год находились в стадии доработки. Сейчас все изменения в законодательство внесены, и возникает вопрос дальнейшего развития Стандарта. По словам Банка России, на ближайший год планируется проведение работ по совершенствованию комплекса документов СТО БР ИББС, из чего можно предположить, что в ближайшее время мы увидим новую, переработанную версию Стандарта.

    Требования СТО БР ИББС являются рекомендательными, и принимать/не принимать Стандарт каждый решает сам. На наш взгляд, тем организациям, которые еще окончательно не решили принять Стандарта, в свете складывающейся ситуации лучше сосредоточиться в первую очередь на выполнении обязательных требований законодательства, а именно: требований в рамках функционирования национальной платежной системы (НПС).

    Требования по НПС: можно ли обойти?

    Новое законодательство о НПС определяет понятие НПС и выдвигает к ее субъектам обязательные требования по проведению анализа и комплексного пересмотра деятельности с учетом новых условий. После того как был выпущен Федеральный закон «О национальной платежной системе» (Закон о НПС), область действия которого распространяется не только на кредитные организации (как в случае со СТО БР ИББС), но и на все организации, участвующие в процессах перевода денежных средств (собственно субъекты НПС), о нем было сказано и написано немало. В комплект нормативных документов, регулирующих функционирование в рамках НПС по информационной безопасности, также входят Постановление Правительства и документы Банка России.

    В соответствии с Законом о НПС Банк России теперь наделен правами нормативного регулирования информационной безопасности субъектов НПС, т.е. становится регулятором в этом вопросе и официально имеет возможность влиять на обеспечение защиты информации при оказании организациями любых видов услуг по переводу денежных средств. Основным требованием, вызывающим проблемы у субъектов НПС, является требование по предоставлению отчетности регулятору об уровне соответствия требованиям по информационной безопасности. Собственно, оно и призвано заставить их исполнять требования по защите информации (внедрять технические и организационные меры) и на регулярной основе проводить аудит текущего состояния системы информационной безопасности в рамках оформления соответствующих отчетов. На настоящий момент лишь малая доля субъектов НПС (по информации АБИСС, таких организаций всего 5) подала отчетность в Банк России. Преобладающее большинство заняло выжидательную позицию, Одни ждут прямого указания от Банка России, другие находятся в стадии проведения подготовительных работ для приведения в соответствие, третьи простоне понимают, как заполнять отчетные формы. Такой подход не совсем верен, сложившаяся ситуация достаточно серьезна, и невыполнение требований законодательства влечет негативные последствия для организации (и мы говорим не только о предоставлении отчетности, но о выполнении требований в целом). В последнее время неоднократно поднимался вопрос: что же делать организации, которая приняла у себя СТО БР ИББС? Освобождает ли это от выполнения требований по НПС? Однозначный ответ – нет.

    Надо понимать, что в то время, как основные подходы по организации защиты информации для НПС повторяют требования СТО БР ИББС (в силу того, что регулятор у них общий), внедрение последнего не заменяет выполнение требований по защите переводов денежных средств в НПС. Как показывает практика, даже ответственные за информационную безопасность сотрудники кредитных организаций иногда до конца этого не понимают, и происходит своего рода подмена понятий.

    Неоднократно в различных источниках проводился сравнительный анализ требований нормативной базы НПС и СТО БР ИББС (в том числе и методик оценок соответствия этим требованиям), который сводился к одному выводу: между этими нормативными актами много общего. При этом в рамках проведения такого анализа не всегда учитывался тот факт, что цели и области действия у них разные.

    Методика НПС хотя и является преемницей методики оценки СТО БР ИББС, но по многим показателям упрощена. Это объясняется тем, что у методики НПС более узконаправленная задача – оценка уровня защиты информации в рамках одной определенной деятельности (процессы перевода денежных средств), а не оценка системы обеспечения информационной безопасности в кредитной организации в целом.

    Дальнейшие действия: что делать и куда бежать?

    Так как же в сложившейся ситуации поступать организациям, на которых распространяется действие Закона о НПС? Ответ один – начать действовать в рамках НПС.

    Основное, что надо понять и принять субъектам НПС – процесс выполнения требований и подачи отчетности не так сложен, как может показаться на первый взгляд. Самое главное – начать проводить необходимые работы, а не ждать, пока будут применены «карательные» санкции за невыполнение требований законодательства. Кроме того, если организация – субъект НПС не может самостоятельно справиться с проведением таких работ (из-за отсутствия необходимого опыта, ресурсов и т.д.), законодательство разрешает привлекать на договорной основе специализированные организации, оказывающие консультационные услуги в сфере информационной безопасности. Такие организации имеют соответствующий опыт, ресурсы и все необходимые лицензии для осуществления данной деятельности.

    Конечно, для организаций, которые уже приняли СТО БР ИББС и провели работы по приведению в соответствие, значительно проще выполнять требования в рамках НПС, т.к. они уже знакомы с основными подходами и механизмами, предлагаемыми Стандартом (отчасти используемыми и в требованиях в рамках НПС). Такие организации показывают высокий уровень зрелости в области информационной безопасности и следуют последним тенденциям в этой сфере, повышая свой статус на рынке.

    Но не стоит отчаиваться и тем, кто еще не начинал проводить работы в области защиты информации. Это могут быть кредитные организации, не посчитавшие нужным принимать Стандарт, или же организации – субъекты НПС, не являющиеся кредитными организациями, на которых Стандарт просто не распространяется. В любой ситуации главное помнить, что осознание проблемы – половина ее решения.

    ***

    В первую очередь, необходимо изучить проблематику, проанализировать применительно к организации установленные требования по защите информации (исходя из видов деятельности в рамках НПС), разработать план дальнейших действий по реализации актуальных требований и начать работы по их выполнению. Это и будет первым шагом навстречу регулятору.