Pages - Menu

Страницы

25.5.12

ЦБ опубликовал проекты документов по защите НПС

Банк России опубликовал проекты двух документов по защите в Национальной платежной системе:
  • Проект Положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
  • Проект Указания Банка России "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".

Не буду подробно расписывать документы - они достаточно объемные. Коснусь только применения СКЗИ. Там есть новость хорошая и плохая. Хорошая заключается в том, что СКЗИ не обязана быть класса КС2 и выше; можно и КС1. Плохая новость в том, что СКЗИ должна быть только сертифицированной или имеющей разрешение ФСБ. И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..

Судя по формулировкам, документ уже прошел первичное согласование с ФСБ и ФСТЭК. В первоначальной версии еще были возможно послабления по части применения СКЗИ. На изменение шансов не так много, но у желающих попробовать есть такая возможность. Экспертные заключения по указанным проектам направлять в Главное управление безопасности и защиты информации на e-mail: tsa4@cbr.ru с 24 по 31 мая 2012 года.

10 комментариев:

  1. >И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..

    Для банкоматов можно найти ;)

    ОтветитьУдалить
  2. ...И где найти сертифицированные СКЗИ для мобильных платежей

    мобтелефон плательщика входит в НПС?

    ОтветитьУдалить
  3. мобильный телефон может и не входит, а сервер мобильного банкинга - воплне, там и нужно будет ставить сертифицированную криптографию, после чего все обычные https/ssl клиенты отвалятся

    ОтветитьУдалить
  4. Разрешение ФСБ - чем не вариант? Устное, правда.

    ОтветитьУдалить
  5. есть решения которые могут принимать ССЛ и гост и негост

    ОтветитьУдалить
  6. Алексей, разрешение это долго, немасштабируемо и непрозрачно

    ОтветитьУдалить
  7. Doom, есть. Только вот что делать банкам, которые уже построили банкоматную сеть не на ГОСТе? Все менять?

    ОтветитьУдалить
  8. Самые интересные нововведения это как раз не требования, а обязательное предоставление _отчетности_ и инспекционные проверки ЦБ.
    Что это значит на практике: допустим в отчетности указали итоговый R=0.75. Проверило ЦБ, установило, что R=0.5.
    А дальше по выводам инспекционной проверки следует "предоставление недостоверной отчетности ЦБ".
    Что может являться (фанфары!) основанием для _лишения_ лицензии кредитной организации.
    Занавес.
    Случай, конечно, указан пограничный, но чисто технически он теперь возможен...

    ОтветитьУдалить
  9. А руководство ранее было уверено, что за ИБ банк лицензии точно не лишат.
    О как все повернулось!

    ОтветитьУдалить
  10. Алексей, вы можете порекомендовать банкам типовой свод действий в части ИБ по приведению в соответствие с данным законом?

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.