Банк России опубликовал проекты двух документов по защите в Национальной платежной системе:
Не буду подробно расписывать документы - они достаточно объемные. Коснусь только применения СКЗИ. Там есть новость хорошая и плохая. Хорошая заключается в том, что СКЗИ не обязана быть класса КС2 и выше; можно и КС1. Плохая новость в том, что СКЗИ должна быть только сертифицированной или имеющей разрешение ФСБ. И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..
Судя по формулировкам, документ уже прошел первичное согласование с ФСБ и ФСТЭК. В первоначальной версии еще были возможно послабления по части применения СКЗИ. На изменение шансов не так много, но у желающих попробовать есть такая возможность. Экспертные заключения по указанным проектам направлять в Главное управление безопасности и защиты информации на e-mail: tsa4@cbr.ru с 24 по 31 мая 2012 года.
- Проект Положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
- Проект Указания Банка России "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".
Не буду подробно расписывать документы - они достаточно объемные. Коснусь только применения СКЗИ. Там есть новость хорошая и плохая. Хорошая заключается в том, что СКЗИ не обязана быть класса КС2 и выше; можно и КС1. Плохая новость в том, что СКЗИ должна быть только сертифицированной или имеющей разрешение ФСБ. И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..
Судя по формулировкам, документ уже прошел первичное согласование с ФСБ и ФСТЭК. В первоначальной версии еще были возможно послабления по части применения СКЗИ. На изменение шансов не так много, но у желающих попробовать есть такая возможность. Экспертные заключения по указанным проектам направлять в Главное управление безопасности и защиты информации на e-mail: tsa4@cbr.ru с 24 по 31 мая 2012 года.
>И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..
ОтветитьУдалитьДля банкоматов можно найти ;)
...И где найти сертифицированные СКЗИ для мобильных платежей
ОтветитьУдалитьмобтелефон плательщика входит в НПС?
мобильный телефон может и не входит, а сервер мобильного банкинга - воплне, там и нужно будет ставить сертифицированную криптографию, после чего все обычные https/ssl клиенты отвалятся
ОтветитьУдалитьРазрешение ФСБ - чем не вариант? Устное, правда.
ОтветитьУдалитьесть решения которые могут принимать ССЛ и гост и негост
ОтветитьУдалитьАлексей, разрешение это долго, немасштабируемо и непрозрачно
ОтветитьУдалитьDoom, есть. Только вот что делать банкам, которые уже построили банкоматную сеть не на ГОСТе? Все менять?
ОтветитьУдалитьСамые интересные нововведения это как раз не требования, а обязательное предоставление _отчетности_ и инспекционные проверки ЦБ.
ОтветитьУдалитьЧто это значит на практике: допустим в отчетности указали итоговый R=0.75. Проверило ЦБ, установило, что R=0.5.
А дальше по выводам инспекционной проверки следует "предоставление недостоверной отчетности ЦБ".
Что может являться (фанфары!) основанием для _лишения_ лицензии кредитной организации.
Занавес.
Случай, конечно, указан пограничный, но чисто технически он теперь возможен...
А руководство ранее было уверено, что за ИБ банк лицензии точно не лишат.
ОтветитьУдалитьО как все повернулось!
Алексей, вы можете порекомендовать банкам типовой свод действий в части ИБ по приведению в соответствие с данным законом?
ОтветитьУдалить