30.01.2012

Защита НПС по версии ФСТЭК

27 января на сайте ФСТЭК размещен проект Постановления Правительства "Об утверждении Положения о защите информации в национальной платежной системе". Документ получился достаточно высокоуровневый и серьезных ляпов в нем нет. Основная его цель - установить общие подзоды, которые будут раскрываться в нормативных документах Банка России, которые сейчас также готовятся. Каксаясь документов ЦБ хочется сразу отметить, что построены они будут на базе принципов СТО БР ИББС. Так что от СТО все равно не уйти тем, кто до сих пор не принял решение о принятии СТО.

Наибольший интерес представляет 6-й пункт, перечисляющий требования по защите информации, которые должны быть реализованы в НПС. Из наиболее интересных там прописаны (остальные типичны и уже хорошо известны):
  • требования к управлению рисками нарушения требований к защите информации в платежной системе, определению методик анализа рисков и проведению анализа рисков нарушения требований к защите информации
  • требования к информированию участников платежной системы об инцидентах, связанных с нарушениями требований к защите информации
Среди применяемых средств защиты должны быть как минимум шифровальные средства защиты информации, средства межсетевого экранирования, антивирусной защиты, обнаружения вторжений и анализа защищенности (от сканеров безопасности теперь никуда не деться).

Не все удалось включить в проект данного постановления, но ключевые моменты там учтены. Что хорошо, нет жесткого требования оценки соответствия применяемых средств защиты, ни слова об аттестации и лицензировании (лицензия нужна только от тех, кого участник НПС привлекает для защиты информации).



Что мне нравится в Банке России, так это их реально регулирующая роль в области ИБ. Была неразбериха с СТО и требованиями ФСТЭК/ФСБ по персданным - появилось "письмо шести". Пусть и статус у него не такой высокий, но хоть какое-то джентльменское соглашение. У тех же операторов связи и документы по персданным есть (причем они местами даже интереснее будут), но Минкомсвязи не сделало ничего, чтобы признать эти документы и согласовать письмо, аналогичное "письму шести". Теперь операторы связи вынуждены самостоятельно решать все проблемы с персданными, кто во что горазд. И вот теперь ЦБ регулирует тему защиты информации в НПС. ФСТЭК выпустила общие требования, а ЦБ будет их детализировать, опять же, базируясь на своем СТО. И ФСТЭК молодцы - не стали гнуть свою линию, а оставили разработку детальных требований отраслевому регулятору, который понимает в специфику платежных систем. Наверное таки должно быть. Если уж мы вынуждены жить с главенствующей ролью ФСТЭК и ФСБ в области ИБ, то такой их симбиоз с отраслевыми регуляторами можно только приветствовать.

8 коммент.:

Rus16 комментирует...

А как же п.6:
...в том числе прошедших в установленном порядке процедуру оценки соответствия;
Я думаю, что вряд ли законодатель в рамках НАЦИОНАЛЬНОЙ платежной системы разрешит использовать несертифицированные СЗИ.

Сергей комментирует...

Алексей, объясните бестолковому, что такое "требования к защите информации о средствах и методах обеспечения информационной безопасности..." (в тексте закона так же). Мне понятны требования к защите ПДн, КТ, БТ, ГТ и т.п., Я согласен, что информация о том, как я защищаю тайны, не для широкого распространения в части конкретной реализации, но тут театр обсурда, особенно "без права ознакомления"

Алексей Лукацкий комментирует...

Rus16: "В том числе" не тождественное множество всем средствам защиты. Эта фраза подразумевает возможность применения и несертифицированных средств защиты, например, при подключении к международным платежным системам. Но фраза построена так "грамотно", что там сам черт ногу сломит.

Сергею: Никто не знает ;-) В закон эта формулировка попала и теперь никто не может ее поменять в подзаконных актах. Я предлагал поменять эту фразу, но не прошло.

Шауро Евгений комментирует...

А когда будут "низкоуровневые" требования?

Алексей Лукацкий комментирует...

Они написаны - сейчас к юристам ЦБ пойдут.

doom комментирует...

Можно я по-другому выделение поставлю?


требования к управлению рисками нарушения требований к защите информации в платежной системе

Это что за зверь такой?
Я-то, наивный, полагал, что риск - это нечто связанное с угрозой ИБ и ущербом и все такое... А тут оказывается риск требования нарушить...

LAY комментирует...

Это что за зверь такой?
Я-то, наивный, полагал, что риск - это нечто связанное с угрозой ИБ и ущербом и все такое... А тут оказывается риск требования нарушить...


А разве Доступность, Конфиденциальность, Целостность, требования Законодательства (ДКЦЗ) - не "классическая четверка"?

doom комментирует...

2 LAY
Угу. И теперь мы знаем, какое из 4-х наиболее важное :)