В пятницу Банк России опубликовал проект «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (текст на сайте ЦБ и на портале публикации нормативных актов). Проект подготовлен Департаментом НПС Банка России.
Интересно, что на портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения, этот акт появился только 16-го мая в 17.10 (т.е. в конце рабочей недели) и он сразу попал на третий этап подготовки НПА - "завершение подготовки". Несмотря на то, что обсуждение продлится до 23-го мая, документ выпускается явно в спешке (хотя про него было известно еще в Магнитогорске). Чем-то это напоминает выпуск первой редакции 382-П, которой тоже давали около недели на экспертизу, при этом проект уже был отправлен в Минюст на утверждение. Исходя из того, что новая редакция должна вступить в силу через 180 дней после публикации в "Вестнике Банка России", то произойдет это с января 2015-го года.
Как и говорилось в Магнитогорске, проект редакции 382-П расширен за счет:
Среди нововведений на 30 страниц есть следующие запомнившиеся мне моменты (не все):
Интересно, что на портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения, этот акт появился только 16-го мая в 17.10 (т.е. в конце рабочей недели) и он сразу попал на третий этап подготовки НПА - "завершение подготовки". Несмотря на то, что обсуждение продлится до 23-го мая, документ выпускается явно в спешке (хотя про него было известно еще в Магнитогорске). Чем-то это напоминает выпуск первой редакции 382-П, которой тоже давали около недели на экспертизу, при этом проект уже был отправлен в Минюст на утверждение. Исходя из того, что новая редакция должна вступить в силу через 180 дней после публикации в "Вестнике Банка России", то произойдет это с января 2015-го года.
Как и говорилось в Магнитогорске, проект редакции 382-П расширен за счет:
- требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов, с использованием систем Интернет-банкинга, мобильного банкинга;
- требований к использованию платежных карт, оснащенных микропроцессором;
- факторов, которые должны учитываться при реализации требований 382-П.
Среди нововведений на 30 страниц есть следующие запомнившиеся мне моменты (не все):
- При разработке клиентской части ДБО оператор по переводу денежных средств (ОПДС) обязан контролировать реализацию требований по защите. Разработчики тперь могут столкнуться с новыми требованиями со стороны банков.
- При самостоятельной разработке банковского ПО ОПДС обязан самостоятельно устранять уязимости в нем. Тут впору возрадоваться разработчикам сканеров уязвимостей, включая и сканеров исходных кодов. Если планируемая к принятию РС по жизненному циклу АБС носит рекомендательный характер, то 382-П является обязательным.
- Расширенные требования раздела 2.8.2.
- Рекомендации по Интернет-банкингу (дневные лимиты, используемые устройства, белый список получателей платежей и т.п.) схожи с прошлогодним 146-Т. Вообще раздел по защите ДБО сильно смахивает на 146-Т; разница только в обязательности.
- При передаче ОПДС юрлицам банковского ПО обязательно сопровождать его ПО для контроля целостности. А это у нас уже распространение СКЗИ (а как по другому в России контролировать целостность ПО). А распространение СКЗИ требует лицензии ФСБ. Получается, что ЦБ все банки обязывает получать лицензию ФСБ?..
- Процедура приостановления проведения платежа ОПДС в случае обнаружения признаков мошеннических действий.
- Детализация темы по уведомлению клиентов о рисках ИБ.
- Раздел по ИБ банкоматов сильно схож с 34-Т - классификация мест установки, контроль скиммеров, установка средств защиты, удаленный мониторинг и т.п.
- Новый раздел по платежным карт фиксирует требование по применению EMV-карт с 1.01.2015 и запрет выдачи карт с магнитной полосой после 1-го января 2015-го года.
- Вносится 29 новых показателей оценки, 7 претерпят изменения.
Вот такие изменения. Ждем принятия документа.
ЗЫ. Еще мне непонятна приписка в п.2.3 "Выполнение требований к обеспечению защиты информации при осуществлении переводов денежных средств обеспечивается с учетом параметров и статистики выполняемых операций, связанных с осуществлением переводов денежных средств, количества и характера выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств". Можно было бы предположить, что речь идет об управлении рисками и свободе выбора защитных мер, исходя из рисков (как в том же 17/21-м приказах ФСТЭК), но остальной текст таких вольностей не допускает.
ЗЫ. Еще мне непонятна приписка в п.2.3 "Выполнение требований к обеспечению защиты информации при осуществлении переводов денежных средств обеспечивается с учетом параметров и статистики выполняемых операций, связанных с осуществлением переводов денежных средств, количества и характера выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств". Можно было бы предположить, что речь идет об управлении рисками и свободе выбора защитных мер, исходя из рисков (как в том же 17/21-м приказах ФСТЭК), но остальной текст таких вольностей не допускает.