ЦБ опубликовал еще один непростой документ в части выполнения требований ФЗ "О национальной платежной системе". Это Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах (№379-П от 31 мая 2012 года). Я про него уже упоминал вскользь, делясь магнитогорскими впечатлениями. И вот документ из недр Департамента регулирования расчетов родился и даже был принят быстрее проектов ЦБ с требованиями по защите НПС (хотя тут все понятно - 379-П не надо согласовывать с ФСТЭК и ФСБ).
Документ вызвал у меня двойственные чувства. С одной стороны все правильно написано - риски, риск-ориентированный подход, определение приемлемых рисков, непрерывность бизнеса... Но сразу возникает закономерный вопрос - а как 379-П соотносится с проектами по защите информации в НПС? Это документы, которые выпущены одним регулятором, касаются одной темы, но написаны совершенно различным языком. Как будто авторы были с двух разных планет. В целом подход ДРР мне ближе, но документы ГУБЗИ привычнее.
Первый говорит о том, что оператор платежной системы должен провести анализ рисков, определиться с уровнем их приемлемости, самостоятельно выбрать меры для достижения или поддержания этого уровня Второй начинает примерно с этого же - оператор должен проанализировать угрозы, а потом выбрать защитные меры... но уже из готового списка. Никакой самодеятельности. Никакого принятия рисков (например, отсутствия сертифицированных средств защиты). Все четко и никаких рассуждений. ГУБЗИ все уже решил за операторов НПС, согласовал с регуляторами и зафиксировал в своих документах. Риск-ориентированный подход ДРР совершенно иной - он отдает принятие всех решений на откуп оператору НПС, обрисовывая только общий подход Писать такие документы проще, выполнять тоже, контролировать сложно, т.к. отсутствуют четкие критерии оценки (оператор их выбирает самостоятельно). С другой стороны - это яркий пример дерегулирования отрасли и возможности самостоятельного принятия решений участниками НПС при держании руки на пульсе со стороны отраслевого регулятора.
И как совместить эти два подхода при управлении рисками ИБ в платежной системе? Очень непростая ситуация... Посмотрим, что будет дальше. По словам представителей ЦБ сейчас основная задача - выпустить документы к 1-му июля, чтобы потом их можно было уже обсуждать, оценивать правоприменение и вносить поправки.
Документ вызвал у меня двойственные чувства. С одной стороны все правильно написано - риски, риск-ориентированный подход, определение приемлемых рисков, непрерывность бизнеса... Но сразу возникает закономерный вопрос - а как 379-П соотносится с проектами по защите информации в НПС? Это документы, которые выпущены одним регулятором, касаются одной темы, но написаны совершенно различным языком. Как будто авторы были с двух разных планет. В целом подход ДРР мне ближе, но документы ГУБЗИ привычнее.
Первый говорит о том, что оператор платежной системы должен провести анализ рисков, определиться с уровнем их приемлемости, самостоятельно выбрать меры для достижения или поддержания этого уровня Второй начинает примерно с этого же - оператор должен проанализировать угрозы, а потом выбрать защитные меры... но уже из готового списка. Никакой самодеятельности. Никакого принятия рисков (например, отсутствия сертифицированных средств защиты). Все четко и никаких рассуждений. ГУБЗИ все уже решил за операторов НПС, согласовал с регуляторами и зафиксировал в своих документах. Риск-ориентированный подход ДРР совершенно иной - он отдает принятие всех решений на откуп оператору НПС, обрисовывая только общий подход Писать такие документы проще, выполнять тоже, контролировать сложно, т.к. отсутствуют четкие критерии оценки (оператор их выбирает самостоятельно). С другой стороны - это яркий пример дерегулирования отрасли и возможности самостоятельного принятия решений участниками НПС при держании руки на пульсе со стороны отраслевого регулятора.
И как совместить эти два подхода при управлении рисками ИБ в платежной системе? Очень непростая ситуация... Посмотрим, что будет дальше. По словам представителей ЦБ сейчас основная задача - выпустить документы к 1-му июля, чтобы потом их можно было уже обсуждать, оценивать правоприменение и вносить поправки.
"Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах" посвящено не рискам ИБ, а рискам в целом.
ОтветитьУдалитьТо есть это документ не ИБшный.
Отсюда и различия в подходах.
Соответственно в Банке ИБ-шникам надо руководствоваться требованиями по защите.
А отделу рисков - требованиями положения об анализе рисков.
Ну а риски ИБ куда попадают? Особенно в контексте наличия в СТО отдельного документа по оценке рисков
ОтветитьУдалить