25.05.2012

ЦБ опубликовал проекты документов по защите НПС

Банк России опубликовал проекты двух документов по защите в Национальной платежной системе:
  • Проект Положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
  • Проект Указания Банка России "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".

Не буду подробно расписывать документы - они достаточно объемные. Коснусь только применения СКЗИ. Там есть новость хорошая и плохая. Хорошая заключается в том, что СКЗИ не обязана быть класса КС2 и выше; можно и КС1. Плохая новость в том, что СКЗИ должна быть только сертифицированной или имеющей разрешение ФСБ. И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..

Судя по формулировкам, документ уже прошел первичное согласование с ФСБ и ФСТЭК. В первоначальной версии еще были возможно послабления по части применения СКЗИ. На изменение шансов не так много, но у желающих попробовать есть такая возможность. Экспертные заключения по указанным проектам направлять в Главное управление безопасности и защиты информации на e-mail: tsa4@cbr.ru с 24 по 31 мая 2012 года.

10 коммент.:

doom комментирует...

>И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..

Для банкоматов можно найти ;)

Сергей комментирует...

...И где найти сертифицированные СКЗИ для мобильных платежей

мобтелефон плательщика входит в НПС?

dmitry.sturov комментирует...

мобильный телефон может и не входит, а сервер мобильного банкинга - воплне, там и нужно будет ставить сертифицированную криптографию, после чего все обычные https/ssl клиенты отвалятся

Алексей Волков комментирует...

Разрешение ФСБ - чем не вариант? Устное, правда.

Сергей комментирует...

есть решения которые могут принимать ССЛ и гост и негост

Алексей Лукацкий комментирует...

Алексей, разрешение это долго, немасштабируемо и непрозрачно

Алексей Лукацкий комментирует...

Doom, есть. Только вот что делать банкам, которые уже построили банкоматную сеть не на ГОСТе? Все менять?

Turkish комментирует...

Самые интересные нововведения это как раз не требования, а обязательное предоставление _отчетности_ и инспекционные проверки ЦБ.
Что это значит на практике: допустим в отчетности указали итоговый R=0.75. Проверило ЦБ, установило, что R=0.5.
А дальше по выводам инспекционной проверки следует "предоставление недостоверной отчетности ЦБ".
Что может являться (фанфары!) основанием для _лишения_ лицензии кредитной организации.
Занавес.
Случай, конечно, указан пограничный, но чисто технически он теперь возможен...

Turkish комментирует...

А руководство ранее было уверено, что за ИБ банк лицензии точно не лишат.
О как все повернулось!

Шауро Евгений комментирует...

Алексей, вы можете порекомендовать банкам типовой свод действий в части ИБ по приведению в соответствие с данным законом?