01.03.2016

Уральский форум: изменения 382-П в долгосрочной перспективе

Продолжая тему, начатую в прошлой заметке, сегодня мне хотелось бы поговорить о планах Банка России по изменению 382-П. На Уральском форуме таких изменений было озвучено два - в краткосрочной и долгосрочной перспективе. Начну со второго.

Кто читал 382-П, тот знает, что это непростой документ с точки зрения его структуры и построения. Большое число требований по защите информации при осуществлении переводов денежных средств, ориентация на широкий круг участников Национальной платежной системы... Это приводит к тому, что почти каждый абзац 382-П начинается со слов "оператор по переводу денежных средств, оператор услуг платежной инфраструктуры, банковский платежных агент (субагент) должен...". И так порядка двух страниц текста, у которого еще и отсутствует нормальная нумерация. И вдруг "оператор по переводу денежных средств, оператор услуг платежной инфраструктуры должен...". Заметили разницу? Сходу, наверное, нет. После двух страниц повтора глаз замыливается и вы уже не обращаете внимание на то, что из абзаца исчез "банковский платежных агент (субагент)". И так все несколько десятков страниц подробных технических требований по тому, как защищать платежную систему.


Если сравнить 382-П с ПП-584, который также посвящен вопросам защиты информации в платежных системах, то мы сразу увидим разницу. ПП-584 содержит всего 10 требований по защите, детализация которых остается за кадром. И несмотря на то, что 382-П касается защиты информации преимущественно при традиционных банковских взаимоотношениях, текст этого нормативного акта достаточно большой. А ведь если вспомнить, что ЦБ в прошлом году озвучил планы по унификации всех требований по защите в рамках 382-П, то в нем, как минимум, не хватает требований по защите платежных карт (где ты "русский PCI DSS"), полноценных требований по защите банкоматов, требований по антифроду и раскрытия многих других вопросов ИБ кредитных организаций и других участников НПС. Если все это добавить в текст 382-П читать и воспринимать его станет вообще невозможно.

Отсюда и возникает идея, которую в долгосрочной перспективе и хочет реализовать ЦБ, - убрать из 382-П все глубоко технические моменты по защите информации, оставив в нем только концептуальные вещи. А куда же тогда убрать "технику"? Правильно, для этого и предназначен ГОСТ, о котором я писал в предыдущей заметке. В итоге получается очень даже логичная конструкция:
  1. ФЗ-161 определяет необходимость защиты информации при осуществлении переводов денежных средств в рамках НПС.
  2. Положения Банка России определяют основные организационно-правовые и технологические моменты в защите информации.
  3. Детальная техническая проработка отдается на откуп национальным стандартам, имеющим обязательный статус применения.
Такая трехуровневая иерархия имеет ряд преимуществ. Во-первых, мы можем под новые технологии перевода денежных средств (банкоматы и POS-терминалы, ДБО, карты, NFC, мобильные платежи и т.п.) разрабатывать свои стандарты, не меняя вышестоящих документов. Во-вторых, на один и тот же стандарт мы можем ссылаться из разных документов второго уровня. Например, вопросы защиты в НПС у нас регулирует не только 382-П, но и 437-П для организаторов торгов. Или, например, недавно вступившее в силу положение Банка России 482-П "О порядке расчёта величины кредитного риска на основе внутренних рейтингов". Оно не касается напрямую информационной безопасности, но обязывает банки для повышения качества данных, используемых при расчете величины кредитного риска, реализовывать набор защитных мероприятий. Как понять, что надо сделать, если в 482-П, как и в 437-П, просто перечислены названия защитных мер (а по сути это названия блоков защитных мер из 382-П)? Наличие трехуровневой схемы решает и эту проблему.

Вообще, я с этой идеей ношусь уже достаточно давно. Я в первый раз ее озвучивал еще в 2008-м году на InfoSecurity Russia, но к ней мало кто прислушался. Только сейчас, по сути, регуляторы приходят к такой модели. Та же ФСТЭК реализует схожий подход - "ФЗ-149 -> приказ №17 -> методические рекомендации".


Очевидно, что реализовано это изменение будет не быстро. Оно должно случиться вместе с принятием ГОСТов Банка России, то есть, не ранее чем через 2-3 года. Но когда это произойдет, будет очень даже неплохо. Будет заложена основа для дальнейшего развития нормативных актов ЦБ в области информационной безопасности.