Ау, банкиры! До отчета перед Банком России об оценке соответствия осталось меньше полугода

Ау, банкиры! До отчета перед Банком России об оценке соответствия осталось меньше полугода
Помните старую песенку: «Странно и смешно наш устроен мир»? Вот уж действительно – странно и смешно. Коллеги активно продолжают обсуждение начатой 6 с лишним лет назад темы персональных данных, придумывая все новые повороты сюжета. Вот и до рублевой, и до вербальной оценки вреда субъекту вчера добрались.
Сегодня перед профессионалами, работающими в финансовой сфере, стоит гораздо более насущная, срочная и сложная задача – оценка соответствия требованиям защиты информации в платежной системе. Появилась пара-тройка сообщений с констатацией факта выхода указания Банка России от 05.06.2013 № 3007-У , тему вяло пообсуждали, отметив, что на все про все есть полгода – до 10 января 2014 года оценку надо закончить и направить отчет в Банк России. Тема тихо угасла.
Между тем, по опыту наших проектов по оценке соответствия, работы там – выше крыши, причем привлекать придется практически все структурные подразделения банка, что, как обычно, бизнесу мало нравится и приводит к появлению дополнительного временного лага.
Первые две важнейшие задачи: определить состав объектов инфраструктуры, подпадающих под положение Банка России № 382-П , и детально сравнить приложение № 2 к нему с внутренними банковскими нормативными документами.
Автоматизированная банковская система (АБС) и система дистанционного банковского обслуживания (ДБО, клиент-банк) положению должны удовлетворять без вопросов, и не забудьте про системы обмена электронными сообщениями с Банком России (они, конечно же, удовлетворяют, но вот все ли сделал банк с точки зрения обеспечения безопасности работы в них?). А дальше все зависит от того, что за банк и какова топология его информационной системы.
Все 137 требований, сформулированных в приложении № 2 к 382-П, обязательны для всех подсистем, используемых для перевода денежных средств. Дали клиенту возможность выполнять операции со смартфона или голосом по телефону – будьте добры навести порядок и там.
Соотнесение внутренних локальных актов банка с 382-П – тоже задача весьма не тривиальная. Придется решать сложную головоломку: распространить требования Положения на всю подсистему информационной безопасности банка или часть требований применять только к объектам инфраструктуры, используемой для перевода денежных средств. Тем, кто уже приводил свое хозяйство в соответствие с СТО БР ИББС, будет, конечно, легче – почти все есть и в стандарте, но легче при одном существенном условии – работа была реальной, добротно сделанной, а не для галочки.
Почему я считаю, что распространить все требования 382-П на всю инфраструктуру банка может и не получиться? Потому что часть из них – крайне жесткие, и их реализация потребует очень больших ресурсов, как людских, так и финансовых.
Сразу отмечу, что небольшие банки, где нет самостоятельной службы информационной безопасности, разделенной с ИТ-подразделением, сразу окажутся в очень сложном положении (только не пишите в комментах, что таких банков нет. Плавали, знаем, и их не мало).
Они автоматически получат 3 нулевых оценки при расчете EV1ПСи аж 14(!) при расчете EV2ПС.Согласитесь, условия для старта совсем не комфортные. Корректирующий коэффициент k2 сразу станет минимально возможным – 0,7, и рассчитывать на итоговую высокую оценку вряд ли придется.
Кстати, со службой ИБ в документе есть, на мой взгляд, один казус. В пункте 102, касающемся информирования службы об инцидентах, появляются слова «в случае ее наличия», что дает надежду оставить выполнение этого требования без оценки. Между тем во всех остальных 16 пунктах, касающихся службы, вопрос ставится императивно: осуществляет контроль, осуществляет планирование, согласовывает и т.д. А пункт 82 вообще тверд, как алмаз: «Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают формирование службы информационной безопасности, а также определяют во внутренних документах цели и задачи деятельности этой службы».
Особые проблемы возникают у банков, привлекающих платежных агентов и субагентов. На них ложится головная боль за обеспечение выполнения агентами (субагентами) требований к обеспечению защиты информации. Правда, это требование в приложение № 2 не вошло и при оценке учитываться вроде бы не должно, но как Банк России будет подходить к вопросу только время покажет.
И главное, что тоже почему-то не очень обсуждается. А что будет, если ничего не делать?
Теперь защита информации попала в область банковского надзора, потому ответ – в ст.74 ФЗ «О Центральном банке Российской Федерации (Банке России)»: штраф в размере до 300 тысяч рублей (0,1 процента минимального размера уставного капитала) либо ограничение проведения кредитной организацией отдельных операций на срок до шести месяцев. В данном случае, видимо, операций по переводу денежных средств.
А вы все говорите: «Персональные данные, персональные данные!».
Банки, ау!

P.S. Не забудьте про обязательность повышения осведомленности персонала в области информационной безопасности и памятки клиентам, использующим системы ДБО. К ним тоже требований много. 
оценка соответствия ДБО платежная система 3007-У 382-П Банк России
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.