За последний месяц вышло целых 3 нормативных акта, которые касаются вопросов ИБ и распространяются на финансовые организации. Не буду глубоко погружаться в каждый из них, но о каждом немного напишу в рамках одной заметки.
3-го июля был подписан 173-й ФЗ "О внесении изменений в Федеральный закон "О национальной платежной системе" и отдельные законодательные акты Российской Федерации", который среди прочего определяет ряд новых терминов и среди них "платежное приложение", "поставщик платежного приложения" и "платежный агрегатор".
К двум новым субъектам ФЗ-161 теперь предъявляются новые требования в области кибербезопасности. Платежные приложения, которые используют операторы по переводу денежных средств должны соответствовать требованиям к защите информации при осуществлении переводов денежных средств. Можно было бы предположить, что под термин "платежное поручение" попадут и системы ДБО или "клиент-банк", но в законе и в своих разъяснениях Банк России дает понять, что речь идет только о тех приложениях, которые разработаны организациями, которые привлекаются кредитной организацией для проведения платежей. В пояснительной записке в качестве примера приводятся имена Apple Pay, Samsung Pay и MirPay. Опираясь на определение, я бы еще отнес к такого рода система и облачные ДБО, которые используют некоторые банки сегодня. Вообще это странная формулировка, так как требования 27-й статьи ФЗ-161 применяются к участникам НПС, а не к приложениям. Думаю, что тут речь идет о последних правках в 382-П, которые требуют сертификации платежных приложений на отсутствие НДВ или выполнения в их отношении анализа защищенности в соответствие с ОУД4.
Аналогичная норма, по выполнению требований к защите информации, применяется и к банковским платежным агентам и субагентам, а также к платежным агрегаторам, которых может привлекать кредитная организация для приема денежных средств от физлиц.
2-го августа был принят 264-й ФЗ "Федеральный закон от 02.08.2019 N 264-ФЗ "О внесении изменений в Федеральный закон "О национальной платежной системе" и Федеральный закон "О Центральном банке Российской Федерации (Банке России)". Он направлен "против" иностранных платежных систем, заставляя их соблюдать требования, применяющиеся к российским платежным системам. Среди прочего в законе есть такой пункт: "Информационные системы операторов по переводу денежных средств, с использованием которых осуществляется прием электронных средств платежа и обмен информацией с иностранными поставщиками платежных услуг, информационные системы операторов услуг информационного обмена, с использованием которых осуществляется взаимодействие с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации." Иными словами, те системы кредитных организаций, которые взаимодействуют с иностранными платежными системами должны выполнять требования 235-го и 239-го приказов ФСТЭК независимо от результатов категорирования. Кстати, до 1-го сентября 2019-го года в ФСТЭК надо отправить перечень объектов КИИ.
Также требования Банка России по защите информации должны соблюдать операторы услуг информационного обмена (новая сущность в законе), операторы по переводу денежных средств при приеме электронных средств платежа и иностранные поставщики платежных услуг.
Кроме того, операторы иностранных платежных систем должны иметь установленные правила защиты информации, а Банк России имеет право установить требования по защите информации при использовании трансграничного перевода денежных средств. Вспоминая, как Банк России "рисовал" себе картинку про НПС, можно увидеть, что последним пунктом ЦБ как раз закрыл последний ранее незакрытый кусок в виде SWIFT (когда выпустит требования).
В 382-П, 683-П, 684-П, а также ГОСТ 57580.1 было требование о том, что платежные приложения должны быть сертифицированы в ФСТЭК по требованиям безопасности или в отношении которых проведен анализ уязвимостей на соответствие ОУД4. Вот собственно требования, по которым должна проходить сертификация, и прописаны в этом почти 150-тистраничном документе, проект которого выложен на сайте ТК122 (доступен только для членов технического комитета по стандартизации). Я не буду раскрывать подробности этого документа, но работа у разработчиков и испытательных лабораторий предстоит непростая и к 1-му января 2020-го года (этот срок прописан, как минимум, в 382-П) они точно не успеют провести сертификацию (там есть и иные препоны, связанные уже с самой системой сертификации ФСТЭК). Поэтому сейчас стоило бы воспользоваться оставшимися пятью месяцами и начал бы проводить анализ уязвимостей по ОУД4 (или требовать этого от разработчиков).
Вот такая тройка нормативных актов. И пусть на улице холодновато (в Москве, как минимум), то работка по реализации этих требований предстоит жарковатая...
Платежных приложения Apple Pay и облачные ДБО должны быть сертифицированы
3-го июля был подписан 173-й ФЗ "О внесении изменений в Федеральный закон "О национальной платежной системе" и отдельные законодательные акты Российской Федерации", который среди прочего определяет ряд новых терминов и среди них "платежное приложение", "поставщик платежного приложения" и "платежный агрегатор".
К двум новым субъектам ФЗ-161 теперь предъявляются новые требования в области кибербезопасности. Платежные приложения, которые используют операторы по переводу денежных средств должны соответствовать требованиям к защите информации при осуществлении переводов денежных средств. Можно было бы предположить, что под термин "платежное поручение" попадут и системы ДБО или "клиент-банк", но в законе и в своих разъяснениях Банк России дает понять, что речь идет только о тех приложениях, которые разработаны организациями, которые привлекаются кредитной организацией для проведения платежей. В пояснительной записке в качестве примера приводятся имена Apple Pay, Samsung Pay и MirPay. Опираясь на определение, я бы еще отнес к такого рода система и облачные ДБО, которые используют некоторые банки сегодня. Вообще это странная формулировка, так как требования 27-й статьи ФЗ-161 применяются к участникам НПС, а не к приложениям. Думаю, что тут речь идет о последних правках в 382-П, которые требуют сертификации платежных приложений на отсутствие НДВ или выполнения в их отношении анализа защищенности в соответствие с ОУД4.
Аналогичная норма, по выполнению требований к защите информации, применяется и к банковским платежным агентам и субагентам, а также к платежным агрегаторам, которых может привлекать кредитная организация для приема денежных средств от физлиц.
Те, кто работает с МПС, обязаны выполнять требования ФСТЭК
2-го августа был принят 264-й ФЗ "Федеральный закон от 02.08.2019 N 264-ФЗ "О внесении изменений в Федеральный закон "О национальной платежной системе" и Федеральный закон "О Центральном банке Российской Федерации (Банке России)". Он направлен "против" иностранных платежных систем, заставляя их соблюдать требования, применяющиеся к российским платежным системам. Среди прочего в законе есть такой пункт: "Информационные системы операторов по переводу денежных средств, с использованием которых осуществляется прием электронных средств платежа и обмен информацией с иностранными поставщиками платежных услуг, информационные системы операторов услуг информационного обмена, с использованием которых осуществляется взаимодействие с иностранными поставщиками платежных услуг, должны соответствовать требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации." Иными словами, те системы кредитных организаций, которые взаимодействуют с иностранными платежными системами должны выполнять требования 235-го и 239-го приказов ФСТЭК независимо от результатов категорирования. Кстати, до 1-го сентября 2019-го года в ФСТЭК надо отправить перечень объектов КИИ.
Также требования Банка России по защите информации должны соблюдать операторы услуг информационного обмена (новая сущность в законе), операторы по переводу денежных средств при приеме электронных средств платежа и иностранные поставщики платежных услуг.
Кроме того, операторы иностранных платежных систем должны иметь установленные правила защиты информации, а Банк России имеет право установить требования по защите информации при использовании трансграничного перевода денежных средств. Вспоминая, как Банк России "рисовал" себе картинку про НПС, можно увидеть, что последним пунктом ЦБ как раз закрыл последний ранее незакрытый кусок в виде SWIFT (когда выпустит требования).
Профиль защиты для платежных приложений
В 382-П, 683-П, 684-П, а также ГОСТ 57580.1 было требование о том, что платежные приложения должны быть сертифицированы в ФСТЭК по требованиям безопасности или в отношении которых проведен анализ уязвимостей на соответствие ОУД4. Вот собственно требования, по которым должна проходить сертификация, и прописаны в этом почти 150-тистраничном документе, проект которого выложен на сайте ТК122 (доступен только для членов технического комитета по стандартизации). Я не буду раскрывать подробности этого документа, но работа у разработчиков и испытательных лабораторий предстоит непростая и к 1-му января 2020-го года (этот срок прописан, как минимум, в 382-П) они точно не успеют провести сертификацию (там есть и иные препоны, связанные уже с самой системой сертификации ФСТЭК). Поэтому сейчас стоило бы воспользоваться оставшимися пятью месяцами и начал бы проводить анализ уязвимостей по ОУД4 (или требовать этого от разработчиков).
Вот такая тройка нормативных актов. И пусть на улице холодновато (в Москве, как минимум), то работка по реализации этих требований предстоит жарковатая...
Алексей, скажите, а будут ли данные поправки каким-то образом затрагивать libra?
ОтветитьУдалитьАлексей, правильно ли я понимаю, что и Google Pay может тоже попасть под обязательное соответствие данным требованиям?
ОтветитьУдалитьЕсли я правильно понимаю, то с точки зрения частных лиц ничего изменится вроде не должно, ибо 152-ФЗ явно декларирует отсутствие необходимости в сертифицированных СЗИ для персонального использования.
А вот с точки зрения платежных центров - вроде бы надо будет проводить оценку соответствия? Или я где-то ошибаюсь? Спасибо.
Алексей, Добрый день! На основании чего вы упоминаете облачные ДБО, вот же разъяснения https://asros.ru/ru/actualdoc/view/889 от ЦБ и вы их сами упоминали в чатике "ИБ в Финсекторе" . В чем подвох?
ОтветитьУдалитьРазъяснения на asros говорят все-таки об обычных ДБО, а я специально выделил облачные, которые предоставляются разработчиком (это ключевое). Но я не истина в последней инстанции - этот вопрос тоже можно инициировать для запроса в ЦБ
ОтветитьУдалитьС точки зрения частных лиц эти законы никак не влияют на них. Но могут повлиять на используемые ими сервисы. Если последние не смогут их выполнить, они могут быть запрещены в России
ОтветитьУдалить