На такой простой, казалось бы, вопрос, и ответ должен быть простой. Один, скажет большинство, имея ввиду новое положение Банка России 382-П (плюс 2831-У). Кто-то скажет, что два, имея ввиду еще и СТО БР ИББС. А сколько на самом деле? Гораздо больше.
Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным системам у нас подключается обычный банк? К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим и т.д. И оператор каждой из них может установить свои требования как это делает Visa/MasterCard через PCI Council. Собственно пример с PCI DSS хорошо это иллюстрирует - оператор платежной системы установил собственные требования по защите.
Но это не все. Какие требования устанавливает Банк России по безопасности тех, кто подключается к его платежной системе? 382-П, скажете вы и будете не правы ;-) Открываем 384-П от 29.06.2012 "О платежной системе Банка России". П.1.4 и 1.6 говорят, что "Банк России определяет порядок обеспечения защиты информации в платежной системе Банка России для клиентов Банка России в соответствии с требованиями к защите информации, установленными договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России". Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне возможно, что требования по ИБ в нем базируются на СТО, но все-таки отсылка идет на совершенно иной набор требований, который устанавливает оператор платежной системы.
Все? Нет. А про ст.27.1 ФЗ-164 вы не забыли? Согласно этой статье требования по защите устаналивает Правительство России, которое и сделало это в виде ПП-584. Оно пусть и не детальное, но его требования немного отличаются от требований 382-П. Например, в части приглашения фирм, которые будут проводить контроль соответствия. По ПП-584 это может быть только лицензиат ФСТЭК, а по 382-П - любая организация, в т.ч. и не обладающая лицензиями на деятельность по ТЗКИ.
Все? Опять нет. Почти любой денежный перевод включает в себя персональные данные, которые, по мнению традиционных регуляторов (ФСТЭК, РКН и ФСБ), защищаются не по 382-П и даже не по ПП-584, а по ФЗ-152 и его подзаконным актам.Ну теперь-то все? Ну если не рассматривать некоторые банки, на которых ложатся требования по КВО, и требования необязательных ISO 27xxx, то да.
Подытожим. 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования платежных систем. Ничего не напоминает? Именно в такой ситуации банки были после выхода требований по персданным и именно такое (чуть меньше) количество нормативных требований (ФСТЭК, ФСБ и РКН) послужило причиной включения в СТО БР ИББС требований по персданным, согласование 4-й редакции СТО с регуляторами и выпуск "письма шести", гласившего, если вкратце, что банки, подписавшиеся под СТО, будут проверяться только по СТО, а не по набору разных требований регуляторов.
Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процентов на 80-90, требования всех упомянутых нормативов совпадают. Может пора опять принять "письмо шести", чтобы не обременять банки (да и других участников НПС) дополнительными затратами; в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы всем и особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки ;-(
Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным системам у нас подключается обычный банк? К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим и т.д. И оператор каждой из них может установить свои требования как это делает Visa/MasterCard через PCI Council. Собственно пример с PCI DSS хорошо это иллюстрирует - оператор платежной системы установил собственные требования по защите.
Но это не все. Какие требования устанавливает Банк России по безопасности тех, кто подключается к его платежной системе? 382-П, скажете вы и будете не правы ;-) Открываем 384-П от 29.06.2012 "О платежной системе Банка России". П.1.4 и 1.6 говорят, что "Банк России определяет порядок обеспечения защиты информации в платежной системе Банка России для клиентов Банка России в соответствии с требованиями к защите информации, установленными договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России". Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне возможно, что требования по ИБ в нем базируются на СТО, но все-таки отсылка идет на совершенно иной набор требований, который устанавливает оператор платежной системы.
Все? Нет. А про ст.27.1 ФЗ-164 вы не забыли? Согласно этой статье требования по защите устаналивает Правительство России, которое и сделало это в виде ПП-584. Оно пусть и не детальное, но его требования немного отличаются от требований 382-П. Например, в части приглашения фирм, которые будут проводить контроль соответствия. По ПП-584 это может быть только лицензиат ФСТЭК, а по 382-П - любая организация, в т.ч. и не обладающая лицензиями на деятельность по ТЗКИ.
Все? Опять нет. Почти любой денежный перевод включает в себя персональные данные, которые, по мнению традиционных регуляторов (ФСТЭК, РКН и ФСБ), защищаются не по 382-П и даже не по ПП-584, а по ФЗ-152 и его подзаконным актам.Ну теперь-то все? Ну если не рассматривать некоторые банки, на которых ложатся требования по КВО, и требования необязательных ISO 27xxx, то да.
Подытожим. 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования платежных систем. Ничего не напоминает? Именно в такой ситуации банки были после выхода требований по персданным и именно такое (чуть меньше) количество нормативных требований (ФСТЭК, ФСБ и РКН) послужило причиной включения в СТО БР ИББС требований по персданным, согласование 4-й редакции СТО с регуляторами и выпуск "письма шести", гласившего, если вкратце, что банки, подписавшиеся под СТО, будут проверяться только по СТО, а не по набору разных требований регуляторов.
Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процентов на 80-90, требования всех упомянутых нормативов совпадают. Может пора опять принять "письмо шести", чтобы не обременять банки (да и других участников НПС) дополнительными затратами; в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы всем и особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки ;-(
