26.06.2012

Краткий обзор 2831-У по отчетности в области защиты информации в НПС

9 июня Банк России еще один нормативный акт - Указание 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". Оно устанавливает формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств (далее - отчетность), сроки предоставления отчетности и методики составления отчетности.

Указание 2831-У устанавливает 2 новых формы отчетности:
  • 0403202 - "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств". Предоставляется не позднее тридцати рабочих дней со дня завершения проведения оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года №382-П.
  • 0403203 - "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (устанавливается для операторов услуг платежной инфраструктуры и операторов по переводу денежных средств). Предоставляется ежемесячно не позднее десятого рабочего дня месяца, следующего за отчетным или не позднее десяти рабочих дней со дня получения письменного требования Банка России.
В отчете по форме 0403202 указываются значения показателей EV1пс и EV2пс, итоговый показатель Rпс, а также сведения об осуществлении оценки соответствия самостоятельно отчитывающимся оператором или сторонней организацией на договорной основе.

К инцидентам по форме 0403203 относятся:
  • воздействие программного кода, приводящее к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), результатом которого является нарушение предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств;
  • реализация воздействий на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), с целью создания условий невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств;
  • нарушение конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами;
  • компрометация ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
  • осуществление переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами, вследствие нарушения конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами или вследствие компрометации ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств; 
  • воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, оформленных в рамках применяемой формы безналичных расчетов, распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;
  • невозможность предоставления услуг по переводу денежных средств в платежной системе в течение трех часов и более. 
Сама форма отчета проста:


Вот такое указание подготовил ЦБ. Если раньше, внедрение СТО сопровождалось только фактом уведомления ЦБ о введении приказом комплекса стандартов, то сейчас важно указывать не только факт присоединения и уровень соответствия, но и ежемесячно отчитываться об инцидентах с ИБ у себя и в подотчетных платежных агентах (субагентах). Это позволит Банку России выявлять тех операторов НПС, которые завышают уровень своего соответствия или относятся к защите информации в НПС спустя рукава; для галочки. Отчетность по инцидентам должна показать реальное положение дел (если конечно банки не будут скрывать эти сведения). Но для борьбы с этим есть другое положение ЦБ, о котором мы поговорим уже завтра.

3 коммент.:

Николай комментирует...

Отчеты 0403202 и 0403203 предоставляются в ЦБ или в процессинг например или в саму платежную систему?
Сроков нет на проведение оценки ИБ собственными силами, => 0403202 не отправляешь пока не сделаешь оценку...
Ежемесячные с какой даты отправлять?

yuyup комментирует...

Вопрос все же в том, когда отправлять 1-ую отчетность, из тер управления ЦБ пока эл. формы никто не предоставил((

yuyup комментирует...

Вопрос все же в том, когда отправлять 1-ую отчетность, из тер управления ЦБ пока эл. формы никто не предоставил((