Два взгляда ЦБ на управление рисками ИБ в НПС

Два взгляда ЦБ на управление рисками ИБ в НПС
ЦБ опубликовал еще один непростой документ в части выполнения требований ФЗ "О национальной платежной системе". Это Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах (№379-П от 31 мая 2012 года). Я про него уже упоминал вскользь, делясь магнитогорскими впечатлениями. И вот документ из недр Департамента регулирования расчетов родился и даже был принят быстрее проектов ЦБ с требованиями по защите НПС (хотя тут все понятно - 379-П не надо согласовывать с ФСТЭК и ФСБ).

Документ вызвал у меня двойственные чувства. С одной стороны все правильно написано - риски, риск-ориентированный подход, определение приемлемых рисков, непрерывность бизнеса... Но сразу возникает закономерный вопрос - а как 379-П соотносится с проектами по защите информации в НПС? Это документы, которые выпущены одним регулятором, касаются одной темы, но написаны совершенно различным языком. Как будто авторы были с двух разных планет. В целом подход ДРР мне ближе, но документы ГУБЗИ привычнее.

Первый говорит о том, что оператор платежной системы должен провести анализ рисков, определиться с уровнем их приемлемости, самостоятельно выбрать меры для достижения или поддержания этого уровня  Второй начинает примерно с этого же - оператор должен проанализировать угрозы, а потом выбрать защитные меры... но уже из готового списка. Никакой самодеятельности. Никакого принятия рисков (например, отсутствия сертифицированных средств защиты). Все четко и никаких рассуждений. ГУБЗИ все уже решил за операторов НПС, согласовал с регуляторами и зафиксировал в своих документах. Риск-ориентированный подход ДРР совершенно иной - он отдает принятие всех решений на откуп оператору НПС, обрисовывая только общий подход Писать такие документы проще, выполнять тоже, контролировать сложно, т.к. отсутствуют четкие критерии оценки (оператор их выбирает самостоятельно). С другой стороны - это яркий пример дерегулирования отрасли и возможности самостоятельного принятия решений участниками НПС при держании руки на пульсе со стороны отраслевого регулятора.

И как совместить эти два подхода при управлении рисками ИБ в платежной системе? Очень непростая ситуация... Посмотрим, что будет дальше. По словам представителей ЦБ сейчас основная задача - выпустить документы к 1-му июля, чтобы потом их можно было уже обсуждать, оценивать правоприменение и вносить поправки.
законодательство НПС
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь