25.6.12

Краткий обзор 382-П по защите информации в НПС

9 июня Банком России во исполнение ФЗ-161 было утверждено новое "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (интересно, что ссылки на ПП-584 нет), вступающее в силу с 1-го июля 2012 года. Про проект этого положения я уже писал. Теперь хотелось бы уделить чуть больше внимания этому документу. Тем более, что он отличается от проекта (и местами сильно).

Распространяется оно на операторов по переводу денежных средств (например, банки), банковских платежных агентов (субагентов), операторов платежных систем и операторов услуг платежной инфраструктуры. Однако за соблюдением банковскими агентами (субагентами) требований 382-П следит не Банк России, а оператор по переводу денежных средств (что-то похожее, как я понимаю, сделано и в PCI DSS, где Visa/MasterCard следит только за банками, а банки уже следят за ритейлом, подключающимся к банку).Защитаться можно как самостоятельно, так и с привлечением внешних фирм, но только имеющих лицензию на ТЗКИ.

Положение, согласованное с ФСБ и ФСТЭК (под ним стоят подписи Бортникова и Селина), распространяется на защиту большого перечня видов информации:
  • информации об остатках денежных средств на банковских счетах;
  • информации об остатках электронных денежных средств;
  • информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы;
  • информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;
  • информации о платежных клиринговых позициях; информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;
  • ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых при осуществлении переводов денежных средств (далее - криптографические ключи);
  • информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств по защите информации;
  • информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.
Интересен последний пункт. Если следовать буквальному прочтению, то получается, что защита ПДн в рамках переводов денежных средств, подпадает под действие указанного положения 382-П, а не прямых документов ФСТЭК и ФСБ. А это в свою очередь влечет очень интересные следствия, т.к. подходы к защите ЦБ и ФСТЭК/ФСБ "немного" отличаются.

Требования по защите при осуществлении переводов денежных средств включают в себя множество знакомых пользователям СТО БР ИББС пунктов:
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при назначении и распределении функциональных прав и обязанностей лиц, связанных с осуществлением переводов денежных средств;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая 
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от несанкционированного доступа;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании информационно-телекоммуникационной сети Интернет при осуществлении переводов денежных средств;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании СКЗИ;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер защиты информации и технических средств защиты информации, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств;
  • требования к организации и функционированию подразделения (работников), ответственного (ответственных) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности);
  • требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов в области обеспечения защиты информации;
  • требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;
  • требования к определению и реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;
  • требования к оценке выполнения оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • требования к доведению оператором по переводу денежных средств, оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств;
  • требования к совершенствованию оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры защиты информации при осуществлении переводов денежных средств.
Требований немало. Для тех, кто так и не решился  на внедрение СТО БР ИББС, многое будет в новинку. Ну а для тех, кто уже внедрил или нахолится в процессе внедрения Стандарта ЦБ, действительно революционных вещей не будет. За исключением, пожалуй, вопросов отчетности, предусмотренных в Указании Банка России 2831-У, которое мы рассмотрим завтра. Ну и, конечно, немало придется потратиться на документирование всех аспектов защиты НПС. Этому вопросу исторически уделяется немало внимания.

Из наиболее интересных моментов, указанных в 382-П, хочу отметить следующее:
  • С точки зрения защиты от НСД повторяется история СТО - могут быть как сертифицированные, так и несертифицированные СЗИ.
  • Операторы по переводу денежных средств обязаны регулярно информировать клиентов о новых угрозах и рекомендациях по борьбе с ними. К сожалению, не удалось пробить конкретные показатели регулярности, но и это уже немало.
  • Оператор платежной системы самостоятельно определяет необходимость использования СКЗИ, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации. Если СКЗИ нужны, то работы по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" , Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), и технической документацией на СКЗИ.
  • Самое интересное. "В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа". А если нероссийского производства? ПКЗ-2005 на такие СКЗИ не распространяется. Ввозятся такие СКЗИ под разрешение ФСБ (если длина ключей для симметричных СКЗИ свыше 56 бит) и разрешение на ввоз формально означает и разрешение на эксплуатацию. Есть СКЗИ только предназначенные для защиты финансовых транзакций (например, маршрутизатор для банкоматов Cisco 800-PCI) и для них выпускается нотификация, разрешающая свободный ввоз на территорию РФ. Иными словами получается, что в НПС могут применяться любые СКЗИ?!... Надо этот пункт серьезно обдумать, т.к. возможны нюансы. Например, в Приложении 2, в котором приведен перечень требований, проверяемых в рамках оценки соответствия, говорится, что проверяется просто наличие СКЗИ, имеющих сертификат или разрешение ФСБ (без учетах происхождения СКЗИ). Т.е. ждем первых проверок.
  • В топ-менеджменте операторов по переводу денежных средств или операторов услуг платежной инфраструктуры назначаются кураторы по ИБ, которые не должны совпадать с кураторами по ИТ.
  • На оператора платежной системы возлагается большая работа по реагированию на инциденты, разработке методик анализа и реагирования, информирование операторов по переводу и операторов инфраструктуры о выявленных инцидентах и т.д.
  • Оценка соответствия требованиям по ИБ проводится самостоятельно или с приглашением внешних организаций в соответствие с методикой, приведенной в приложении к 382-П (похожа на методику в СТО БР ИББС). При этом требования наличия лицензии на ТЗКИ у такой организации в 382-П нет.
  • Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать оператора платежной системы о том, как они осуществляют защиту информации. В информирование включается информация
    • о степени выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
    • о реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;
    • о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;
    • о результатах проведенных оценок соответствия;
    • о выявленных угрозах и уязвимостях в обеспечении защиты информации.
Контроль за выполнением 382-П осуществляется Банком России. При этом Банк России проводит проверки:
  • операторов платежных систем, являющихся кредитными организациями,
  • операторов услуг платежной инфраструктуры, являющихся кредитными организациями,
  • операторов по переводу денежных средств, являющихся кредитными организациями,
а также инспекционные проверки
  • операторов платежных систем, не являющихся кредитными организациями,
  • операторов услуг платежной инфраструктуры, не являющихся кредитными организациями.
В рамках проверок Банк России запрашивает и получает у операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств документы и информацию, в том числе содержащую персональные данные, о деятельности, связанной с выполнением требований к обеспечению защиты информации при осуществлении переводов денежных средств; требует разъяснения по полученной информации. Информацию и документы о соблюдении правил защиты информации платежными агентами (субагентами) Банк России запрашивает у операторов по переводу денежных средств.

Вот такой документ; один из нескольких разработанных в рамках законодательства об НПС и определяющих требования по защите информации.

2 коммент.:

Artem Ageev комментирует...

А можно ссылку на само положение?

dmitry.sturov комментирует...

http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=131473