20.7.12

Сколько наборов требований по ИБ ложится на банки после выхода требований по НПС?

На такой простой, казалось бы, вопрос, и ответ должен быть простой. Один, скажет большинство, имея ввиду новое положение Банка России 382-П (плюс 2831-У). Кто-то скажет, что два, имея ввиду еще и СТО БР ИББС. А сколько на самом деле? Гораздо больше.

Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным системам у нас подключается обычный банк? К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим и т.д. И оператор каждой из них может установить свои требования как это делает Visa/MasterCard через PCI Council. Собственно пример с PCI DSS хорошо это иллюстрирует - оператор платежной системы установил собственные требования по защите.

Но это не все. Какие требования устанавливает Банк России по безопасности тех, кто подключается к его платежной системе? 382-П, скажете вы и будете не правы ;-) Открываем 384-П от 29.06.2012 "О платежной системе Банка России". П.1.4 и 1.6 говорят, что "Банк России определяет порядок обеспечения защиты информации в платежной системе Банка России для клиентов Банка России в соответствии с требованиями к защите информации, установленными договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России". Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне возможно, что требования по ИБ в нем базируются на СТО, но все-таки отсылка идет на совершенно иной набор требований, который устанавливает оператор платежной системы.

Все? Нет. А про ст.27.1 ФЗ-164 вы не забыли? Согласно этой статье требования по защите устаналивает Правительство России, которое и сделало это в виде ПП-584. Оно пусть и не детальное, но его требования немного отличаются от требований 382-П. Например, в части приглашения фирм, которые будут проводить контроль соответствия. По ПП-584 это может быть только лицензиат ФСТЭК, а по 382-П - любая организация, в т.ч. и не обладающая лицензиями на деятельность по ТЗКИ.

Все? Опять нет. Почти любой денежный перевод включает в себя персональные данные, которые, по мнению традиционных регуляторов (ФСТЭК, РКН и ФСБ), защищаются не по 382-П и даже не по ПП-584, а по ФЗ-152 и его подзаконным актам.Ну теперь-то все? Ну если не рассматривать некоторые банки, на которых ложатся требования по КВО, и требования необязательных ISO 27xxx, то да.

Подытожим. 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования платежных систем. Ничего не напоминает? Именно в такой ситуации банки были после выхода требований по персданным и именно такое (чуть меньше) количество нормативных требований (ФСТЭК, ФСБ и РКН) послужило причиной включения в СТО БР ИББС требований по персданным, согласование 4-й редакции СТО с регуляторами и выпуск "письма шести", гласившего, если вкратце, что банки, подписавшиеся под СТО, будут проверяться только по СТО, а не по набору разных требований регуляторов.

Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процентов на 80-90, требования всех упомянутых нормативов совпадают. Может пора опять принять "письмо шести", чтобы не обременять банки (да и других участников НПС) дополнительными затратами; в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы всем и особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки ;-(

14 коммент.:

Анонимный комментирует...

+стопицот. Читаешь требования из 382П - очередное дежа-вю - СТО 1.0.
Может лучше СТО скорректировать.

Алексей Лукацкий комментирует...

СТО не может быть нормативным документом, который был обязан разработать ЦБ

Сергей Борисов комментирует...

Требования регулятора не должны противоречить требованиям ПП и ФЗ.
Поэтому такие противоречия надо просто исправить.

Требования по защите ПДн и по защите платежной информации по идее должны различаться. Так как разные цели и особенности обработки.
Просто должны были так сформулировать определения, чтобы платежная информация не относилась к ПДн. Или относилась к 4 категории ПДн.

Если утрясти вопрос, что проверку выполнения требований по защите ПДн выполняет ЦБ, а не ФСТЭК и ФСБ - то проблем вообще никаких нет.

Анонимный комментирует...

2Сергей Борисов
ИМХО коллизий в законодательстве много. Вы скажете ПДн, а я скажу банковская тайна, или врачебная, или адвокатская, или коммерческая и т.д. и т.п. Одна и таже информация попадает под определения различных видов тайн. А требования к защите разные.

Сергей Борисов комментирует...

У нас нет конкретных требований по защите разного вида тайн.
Есть только требования обеспечить безопасность - а какими методами не регламентируется.

Главная проблема - чтобы не пересекались по области действия руководящие документы, регламентирующие именно надо защищать ту или иную информацию.

Ржавский Константин комментирует...

Главная проблема не в пересечении требований, а в выработке единого подхода при организации защиты информации любого вида. Решить её поможет ТОЛЬКО разработка единой методологии в принятии решения на защиту ИНФОРМАЦИИ (без учета видовых различий).

Алексей Лукацкий комментирует...

2Сергей Борисов: У нас как раз требования к защите именно разных тайн. КТ, ПДн, БТ, ГТ, СТ, КСИИ и т.д.

Алексей Лукацкий комментирует...

2Сергей Борисов: а если в платежке идет оплата за лечение конкретного пациента? Это спецкатегория. Какая же она 4-я?

Сергей Борисов комментирует...

А какой у нас стандартный подход при защите информации, если очень ценная информация идет вперемешку с менее ценной информацией - защищаем по максиму.

Сейчас 382-П заточена исключительно на защиту информации при осуществлении платежей.

А что делать с остальными ПДн (которые не в рамках платежей)? Они никак не подпадают под 382-П? И в 382-П нет механизмов для их защиты.

Алексей Лукацкий комментирует...

А чем отличается защита ПДн в платежах от ПДн не в платежах? Ничем. Методы и способы те же.

Сергей Борисов комментирует...

Напрямую документ для Защиты ПДн использовать нельзя.

Необходимо адаптировать все фразы типа
" восстановление информации об остатках денежных средств на банковских счетах, информации об остатках электронных денежных средств и данных держателей платежных карт в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;

сверку выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями при осуществлении расчетов в платежной системе;

выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации."
применительно к ПДн.
+ в документе 382-П четко приписано область действия.

Поэтому просто написать письмо шестерых с указанием руководствоваться 382-П не получится.
Должен быть отдельный документ по ПДн.

Анонимный комментирует...

ИМХО закон о ПДн не нужен. Есть ТК,НК, ГК, законы О ГТ, о банках, о персонифицированном учете, о здоровье и т.д. и т.п. Нет пока закона о служебной тайне. Все виды тайн, регулируемые этими законами, включают ПДн, учитывается отраслевая специфика, и зачем надо было городить отдельный закон - только для Европейской Конвенции?

Сергей Борисов комментирует...

Только до выхода закона о ПДн никто особо не заворачивался защитой.
И обосновать необходимость даже базовых мер защиты бывало непросто.

Анонимный комментирует...

2Сергей Борисов. Ну почему не заморачивались, те, для кого соответствуюая тайна критична для бизнеса защищали ее вкупе с персональными, а те, кто это не делал, после выхода 152 в лучшем случае сделали все формально. В реестре операторов ПДн 200 тыс. из 7 млн., пусть для 300 тыс. уведомление не требуется, получаем 6 млн. 500 тыс. организаций проигнорировали?