19.08.2013

Новая версия указания Банка России по отчетности по инцидентам ИБ

2 недели отсутствия... Думал что кто-нибудь разродится обзором вышедшей с пару месяцев назад новой редакции Указания Банка России №2831-У, которая была введена указанием 3024-У, но видимо все в отпусках или просто руки не дошли. Устраним данный недостаток.

Указание 2831-У всегда выделялось на фоне других нормативных актов в области ИБ в РФ. Оно, пожалуй, единственное устанавливало требования по обязательной отчетности по инцидентам в области информационной безопасности, которые некоторые участники Национальной платежной системы должны ежемесячно направлять операторам платежных систем, включая и Банк России. Будучи запущенным более года назад, оно стало первым блином Банка России, который поставил перед собой задачу получать реальную картину об инцидентах ИБ, их причинах и последствиях. Однако у первой версии 2831-У был ряд недостатков, среди которых отсутствие формализации ответов, непозволяющее адекватно анализировать статистику, и недостаток сведений о суммах похищенных или готовящихся к похищению финансовых средств. Эти недостатки и устранены в новой редакции 2831-У. Также был уточнен список ролей НПС, которые должны подавать отчетность (с указанием частоты подачи).

При изучении Приложения, которое и определяет новое содержание форм отчетности, обратите внимание на следующие особенности:

  • отчетность теперь составляется по текущему и прошедшим отчетным периодам
  • бОльшее число параметров для заполнения
  • необходим контроль инцидентов, произошедших у клиентов
  • часть сведений по инцидентам с платежными картами дублируются с 258-й формой отчетности
  • требуется указывать суммы похищенных и готовящихся к похищению денежных средств (это в свою очередь позволит наконец-то показать ИБ в финансовом выражении)
  • помимо похищаемых денежных средств потребуется также оценивать и масштаб иных убытков, возникших в рамках инцидента (простои, замена оборудования, оплата услуг контрагентов, вплоть до упущенной выгоды).
Помимо позитивных моментов новая 203-я отчетность несет с собой и ряд негативных, на мой взгляд. В первую очередь это увеличение бюрократической работы, возникающей при увеличении числа контролируемых параметров. При условии, что аналогичная отчетность должна готовиться и для других операторов платежных систем, в которых участвует отчитывающийся, необходимо средство автоматизации данной работы и новый персонал, который будет это все делать.


ЗЫ. Новая версия указания вступает в силу в течение 180 дней после опубликования его в "Вестнике Банка России" (читай, с нового 2014-го года).