19.05.2014

Банк России выпустил проект новой редакции 382-П

В пятницу Банк России опубликовал проект «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (текст на сайте ЦБ и на портале публикации нормативных актов). Проект подготовлен Департаментом НПС Банка России.

Интересно, что на портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения, этот акт появился только 16-го мая в 17.10 (т.е. в конце рабочей недели) и он сразу попал на третий этап подготовки НПА - "завершение подготовки".  Несмотря на то, что обсуждение продлится до 23-го мая, документ выпускается явно в спешке (хотя про него было известно еще в Магнитогорске). Чем-то это напоминает выпуск первой редакции 382-П, которой тоже давали около недели на экспертизу, при этом проект уже был отправлен в Минюст на утверждение. Исходя из того, что новая редакция должна вступить в силу через 180 дней после публикации в "Вестнике Банка России", то произойдет это с января 2015-го года.

Как и говорилось в Магнитогорске, проект редакции 382-П расширен за счет:
  • требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов, с использованием систем Интернет-банкинга, мобильного банкинга;
  • требований к использованию платежных карт, оснащенных микропроцессором;
  • факторов, которые должны учитываться при реализации требований 382-П.

Среди нововведений на 30 страниц есть следующие запомнившиеся мне моменты (не все):
  • При разработке клиентской части ДБО оператор по переводу денежных средств (ОПДС) обязан контролировать реализацию требований по защите. Разработчики тперь могут столкнуться с новыми требованиями со стороны банков.
  • При самостоятельной разработке банковского ПО ОПДС обязан самостоятельно устранять уязимости в нем. Тут впору возрадоваться разработчикам сканеров уязвимостей, включая и сканеров исходных кодов. Если планируемая к принятию РС по жизненному циклу АБС носит рекомендательный характер, то 382-П является обязательным.
  • Расширенные требования раздела 2.8.2.
  • Рекомендации по Интернет-банкингу (дневные лимиты, используемые устройства, белый список получателей платежей и т.п.) схожи с прошлогодним 146-Т. Вообще раздел по защите ДБО сильно смахивает на 146-Т; разница только в обязательности.
  • При передаче ОПДС юрлицам банковского ПО обязательно сопровождать его ПО для контроля целостности. А это у нас уже распространение СКЗИ (а как по другому в России контролировать целостность ПО). А распространение СКЗИ требует лицензии ФСБ. Получается, что ЦБ все банки обязывает получать лицензию ФСБ?..
  • Процедура приостановления проведения платежа ОПДС в случае обнаружения признаков мошеннических действий.
  • Детализация темы по уведомлению клиентов о рисках ИБ.
  • Раздел по ИБ банкоматов сильно схож с 34-Т - классификация мест установки, контроль скиммеров, установка средств защиты, удаленный мониторинг и т.п.
  • Новый раздел по платежным карт фиксирует требование по применению EMV-карт с 1.01.2015 и запрет выдачи карт с магнитной полосой после 1-го января 2015-го года.
  • Вносится 29 новых показателей оценки, 7 претерпят изменения.
Вот такие изменения. Ждем принятия документа.

ЗЫ. Еще мне непонятна приписка в п.2.3 "Выполнение требований к обеспечению защиты информации при осуществлении переводов денежных средств обеспечивается с учетом параметров и статистики выполняемых операций, связанных с осуществлением переводов денежных средств, количества и характера выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств". Можно было бы предположить, что речь идет об управлении рисками и свободе выбора защитных мер, исходя из рисков (как в том же 17/21-м приказах ФСТЭК), но остальной текст таких вольностей не допускает.

16 коммент.:

Sergey Shustikov комментирует...

Вопрос: относятся ли обычные магазинные POS-терминалы к "платежным терминалам" из обновленного п. 2.2, которые далее в п. 2.18.1 названы вместе с банкоматами термином "ТУ ДБО"? Если да, то, видимо, для магазинов нужна новая роль в экосистеме 161-ФЗ? И если да, то получается, что сайт Интернет-магазина тоже становится "ТУ ДБО"?

Уточнение: насколько я понял из формулировки, то с 01.01.2015 запрещается эмитировать не карты с магнитной полосой, а карты ТОЛЬКО с магнитной полосой.

Dmitry Osipov комментирует...

п. 2.19 вызывает очень много вопросов.

Формулировка "осуществляет переводы ДС" распространяет этот пункт не только на эмиссию карт, но и на приём. Формально, эквайер не должен принимать такие карты к оплате. Идея мне нравится, однако каким образом эквайер может определить, когда была выпущена карта? На карте есть только дата кончания действия, дата выпуска отсутствует.

Антон Зайнуллин комментирует...

При передаче ОПДС юрлицам банковского ПО обязательно сопровождать его ПО для контроля целостности. А это у нас уже распространение СКЗИ (а как по другому в России контролировать целостность ПО). А распространение СКЗИ требует лицензии ФСБ. Получается, что ЦБ все банки обязывает получать лицензию ФСБ?..

Возник вопрос, а где конкретно сказано, что хэш-функция относится к СКЗИ? В ПКЗ-2005 я такого не увидел. То есть почему при разработке и использовании средства контроля целостности на основе контрольного суммирования необходимо получать лицензию ФСБ? Разве необходимо использование исключительно ГОСТовой хэш-функции? Если да, то где это написано?

Алексей Лукацкий комментирует...

Sergey: Платежный терминал - устройство для приема платежным агентом от плательщика денежных средств, функционирующее в автоматическом режиме без участия уполномоченного агента платежного агента.

Алексей Лукацкий комментирует...

Антон: п.2б ПП-313 подойдет?

Средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации

Антон Зайнуллин комментирует...

А лицензия на распространение необходима в случае когда для контроля целостности будет использоваться чей-то продукт. А если самим реализовывать такой механизм, то означает ли, что необходим пункт лицензии на разработку СКЗИ? Означает ли это необходимость такой лицензии, если это дело не будет сертифицироваться?

Алексей Лукацкий комментирует...

А это уже вопросы к ЦБ. Чем они думали, когда принимали такие требования. Но менять их не будут

Антон Зайнуллин комментирует...

Спасибо, Алексей!

Sergey Shustikov комментирует...

Алексей, исходя из этого требования POS-терминалы и их виртуальные аналоги - платежные формы сайтов интернет-магазинов не входят в понятие "платежный терминал", как минимум потому что магазин не является платежным агентом.

Следовательно, возникает ситуация, когда 382-П согласно добавленному в 2.2 абзацу: "...требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением платежных карт..." и уже имеющемуся в перечне защищаемых данных абзацу: "...информации, необходимой для удостоверения клиентами права распоряжения денежными
средствами, в том числе данных держателей платежных карт..." однозначно распространяется на индустрию платежных карт целиком (скоуп в это части становится аналогичен PCI DSS), но при этом не предъявляет требования к самому большому по объему и самому опасному по происхождению рисков сегменту этого скоупа - к торгово-сервисным предприятиям (наземным магазинам, электронной коммерции, букингам и т. д.).

Sergey Shustikov комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

А это нормально :-) ЦБ вообще не всегда умеет регулировать то, с чем сам не сталкивается. Именно поэтому у них такой слабый раздел по ДБО, который еще и тянули с принятием. И почти полное отсутствие раздела по картам. У них же самих этого нет и они не знают, как это регулировать. Да еще и устанавливать требования к ритейлу они не могут - те им не подчиняются.

ЗЫ. Но насчет невозможности натянуть на магазин понятие платежного агента я бы поспорил :-)

Sergey Shustikov комментирует...

Кстати, это определение платежного терминала из 103-ФЗ, который целиком посвящен "столбикам". В 161-ФЗ я определения платежного терминала не нашел. Если принимать во внимание 103-ФЗ, тогда обычные POS-терминалы однозначно не попадают под 382-П в новой редакции и это очень комично: технологически транзакция с банкомата и с POS-терминала ничем не отличается. Почему в первом случае надо обеспечивать её безопасность, а во втором - нет?

Sergey Shustikov комментирует...

Натянуть определние? Хм... все магазины страны с "радостью" узнают, что они теперь - банковские платежные агенты со всеми вытекающими в виде спецсчетов и т. д.

Sergey Shustikov комментирует...

Не особо то оно и натягивается, согласно 103-ФЗ:

- платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, осуществляющие деятельность по приему платежей физических лиц. Платежным агентом является оператор по приему платежей либо платежный субагент;
- оператор по приему платежей - платежный агент - юридическое лицо, заключившее с поставщиком договор об осуществлении деятельности по приему платежей физических лиц;
- платежный субагент - платежный агент - юридическое лицо или индивидуальный предприниматель, заключившие с оператором по приему платежей договор об осуществлении деятельности по приему платежей физических лиц;
- поставщик - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, получающие денежные средства плательщика за реализуемые товары (выполняемые работы, оказываемые услуги) в соответствии с настоящим Федеральным законом, а также юридическое лицо или индивидуальный предприниматель, которым вносится плата за жилое помещение и коммунальные услуги в соответствии с Жилищным кодексом Российской Федерации, а также органы государственной власти и органы местного самоуправления, учреждения, находящиеся в их ведении, получающие денежные средства плательщика в рамках выполнения ими функций, установленных законодательством Российской Федерации.
- платежный терминал - устройство для приема платежным агентом от плательщика денежных средств, функционирующее в автоматическом режиме без участия уполномоченного лица платежного агента.

Магазин тут в лучшем случае попадает под определение поставщика, который к "платежному терминалу" никакого отношения не имеет.

Sergey Shustikov комментирует...

Насчет невозможности регулирования ритейла со стороны ЦБ - его можно сделать опосредованным. ЦБ может возложить на банки обязанность контролировать соблюдение 382-П магазинами, как сейчас банки контролируют кассовую дисциплину и валютные операции юридических лиц.

Michael комментирует...

Как ни странно - зацепил в основном пункт про контроль целостности.
1. Контроль целостности можно делать "условно организационными мерами". Там написано про инструкцию... Если все, что защищает от навязывания считать СКЗИ, то определитель номера телефона - СКЗИ.
2. Если делать ссылку на общедоступный источник (как написано в проекте), то можно не получать лицензию на распространение, даже если не утруждать себя и тупо использовать СКЗИ.
3. Главный вопрос: как обеспечивать/гарантировать целостность и доступность информации на общедоступном источнике, используемом для проверки целостности. Думаю, должны быть требования - видимо для следующего релиза 382-П. Фактически - это уже требования к облачным сервисам.