14 Февраля, 2014

Комплексный подход к обеспечению соответствия требованиям ИБ на НПС

Abodrik
ВНЕДРЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ ТРЕБОВАНИЯМИ К ИБ В НПС ПОЗВОЛЯЕТ ЛИКВИДИРОВАТЬ ИЗБЫТОЧНЫЕ МЕРЫ И СНИЗИТЬ СТОИМОСТЬ ВЛАДЕНИЯ СИСТЕМОЙ МЕР СООТВЕТСТВИЯ

для «BIS Journal» №1(12)/2014
2014 год знаменателен для служб информационной безопасности банков тем, что с 1 января вступили в силу строгие и самые резонансные требования Банка России к информационной безопасности национальной платежной системы (далее – ИБ НПС).Первое – фактически безусловное возмещение клиентам похищенных средств, второе – необходимость регулярно предоставлять Банку России отчетность по выполнению требований, предъявляемых к защите информации.Соответственно, встает задача полномасштабного внедрения требований по информационной безопасности национальной платежной системы.Казалось бы, задача знакомая, ведь сами требования во многом схожи с нормами отраслевого стандарта, уже ставшим классикой банковской безопасности. Но те, которые предъявляются Федеральным законом «О национальной платёжной системе» ФЗ-161, Указанием Банка России 2831-У от 6 июля 2012 года и Положением Банка России 382-П от 9 июля 2012 года, имеют ряд кардинальных отличий от требований комплекса СТО БР ИББС.Однако при должном подходе выполнение требований к ИБ НПС не несёт дополнительных рисков, а, скорее, открывает новые возможности.Прежде всего, требования к ИБ НПС применимы только к банковским платёжным технологическим процессам, в отличие от СТО БР ИББС, нормы которого относятся, в первую очередь, к кредитной организации в целом, и к банковским технологическим платёжным и банковским технологическим информационным процессам, в частности. Это обстоятельство, в сочетании с наличием закрытых списков видов платёжных процессов и операторов платежных систем, позволяет рационализировать затраты на соответствие. Решение – провести обстоятельную инвентаризацию платёжных процессов и поддерживающих их IT-активов (know your processes & assets), по результатам которой можно разумно ограничить объём проекта по достижению всей системой соответствия предъявляемым требованиям.Кроме того, следует учитывать, что, в отличие от СТО БР ИББС, требования к ИБ банка в НПС формируются не только одним «мегарегулятором» – Банком России. Их также, по сути, предъявляет каждый оператор платежной системы, а таких у среднего банка могут быть десятки. Это приводит к существенному росту нагрузки на банковские финансовые и человеческие ресурсы.Чтобы оптимизировать в этих условиях использование ресурсов, разумно применить принцип know your regulators & requirements («знай своих регуляторов и их требования»), то есть необходимо выстраивать профили соответствия в зависимости от того, кто их предъявляет. Например, «базовый профиль» – для всех платёжных процессов, и дополнительно – профили соответствия требованиям каждой из платёжных систем, участником которых является кредитная организация.Каждый из операторов платежных систем – участников НПС предъявляет свои требования к ИБ кредитных организаций. Вот их перечень, составленный на основании данных, полученных в ходе практической работы компании R_Style с банком из ТОП_50:
  • Visa;
  • MasterCard;
  • Western Union;
  • Золотая корона;
  • Юнистрим;
  • Contact;
  • Анелик.
С самого начала формирования современной банковской системы РФ комплексные требования по информационной безопасности, содержащиеся в PCI DSS и СТО БР ИББС, были не обязательными, но рекомендательными. Трудно припомнить случаи каких-то санкций или штрафов за их невыполнение. Но требования к ИБ НПС, содержащиеся в федеральном законодательстве и нормативных документах Банка России, стали обязательными для существенной части бизнес-процессов банковской системы – вот в чём ключевое отличие новой ситуации.Другой существенный, новый фактор – система контроля за выполнением участниками НПС требований к ИБ. В неё включена регулярная отчетность по установленным формам об инцидентах и степени соответствия требованиям, предъявляемым к ИБ организации участника. Кредитные организации обязаны предоставлять регулятору такую отчётность; а Департамент банковского надзора и Территориальные управления Банка России уполномочены проверять, как соблюдаются требования к ИБ НПС.Учитывая обязательность требований к ИБ НПС и строгий контроль их выполнения, для кредитных организаций становится рациональным реализовать проект достижения соответствия, используя принцип know your compliance («знай свое соответствие»).То есть нужно выстроить автоматизированный процесс управления соответствием требованиям к ИБ, чтобы, проходя проверки, минимизировать риск применения санкций и ухудшения отношений с Департаментом банковского надзора Банка России.Для эффективной организации процесса управления соответствием лучше всего использовать известные практики внутреннего контроля – матрицы процессов, активов, регуляторов и требований, что позволит формализовать процесс управления соответствием и эффективно измерять его результативность и эффективность. Следующий шаг – автоматизация процесса с целью получения информации о соответствии практически в режиме реального времени, в том числе, по филиалам, дополнительным офисам и представительствам, также и региональным.Учитывая все вышеперечисленные особенности выполнения требований к ИБ НПС, оптимальный подход к реализации проекта достижения соответствия следующий:
  • инвентаризация текущих соглашений с платёжными системами согласно определению ФЗ-161 и наличию системы в реестре Банка России;
  • инвентаризация платежных процессов (согласно Постановлению Банка России № 384-П и бизнес-процессам организации) и поддерживающих платежные процессы IT-активов;
  • определение перечня операторов платёжных систем – контрагентов (на основе реестра операторов платежных систем, которые ведёт Банк России, и договоров кредитной организации) и группировка их требований в профили соответствия;
  • составление матрицы соответствия платёжных процессов требованиям платёжных систем контрагентов и матрицы активов и требований;
  • проведение оценки соответствия на основе профилей соответствия;
  • анализ результатов оценки соответствия, выработка технологических и организационных мер соответствия для проблемных областей;
  • оценка сроков и стоимости внедрения мер соответствия, выработка дорожной карты достижения соответствия;
  • проектирование и внедрение мер соответствия;
  • постановка задачи на внедрение / доработку системы автоматизированного контроля соответствия;
  • проектирование и внедрение / доработка системы автоматизированного контроля соответствия.
Внедрение процесса управления требованиями, несмотря на его очевидную необходимость, всё же остается сложным и дорогостоящим проектом.С другой стороны, впервые в истории отечественной банковской отрасли появляются действительно обязательные отраслевые требования к информационной безопасности, с угрозой не призрачного штрафа, но реального ухудшения отношений с государственным регулятором Банком России. Вплоть до отзыва банковской лицензии.Выполнение этих требований с применением современного подхода также позволит в перспективе помочь соблюдать законодательство по защите персональных данных. Такая возможностьоткрывается при интеграции требований по информационной безопасности персональных данных в единую целостную систему управления требованиями, позволяя ликвидировать избыточные меры и снизить стоимость владения всей системой мер обеспечения соответствия. * * *Все это позволяет надеяться не только на краткосрочное улучшение уровня информационной безопасности платежной индустрии и повышение защищенности клиентов, но и на появление мотивации руководства кредитных организаций к инвестициям в информационную безопасность, достижение соответствия требованиям и стабильность банковской системы в целом. Источник: «BIS Journal» №1(12)/2014
или введите имя

CAPTCHA