27 января на сайте ФСТЭК размещен проект Постановления Правительства "Об утверждении Положения о защите информации в национальной платежной системе". Документ получился достаточно высокоуровневый и серьезных ляпов в нем нет. Основная его цель - установить общие подзоды, которые будут раскрываться в нормативных документах Банка России, которые сейчас также готовятся. Каксаясь документов ЦБ хочется сразу отметить, что построены они будут на базе принципов СТО БР ИББС. Так что от СТО все равно не уйти тем, кто до сих пор не принял решение о принятии СТО.
Наибольший интерес представляет 6-й пункт, перечисляющий требования по защите информации, которые должны быть реализованы в НПС. Из наиболее интересных там прописаны (остальные типичны и уже хорошо известны):
Не все удалось включить в проект данного постановления, но ключевые моменты там учтены. Что хорошо, нет жесткого требования оценки соответствия применяемых средств защиты, ни слова об аттестации и лицензировании (лицензия нужна только от тех, кого участник НПС привлекает для защиты информации).
Что мне нравится в Банке России, так это их реально регулирующая роль в области ИБ. Была неразбериха с СТО и требованиями ФСТЭК/ФСБ по персданным - появилось "письмо шести". Пусть и статус у него не такой высокий, но хоть какое-то джентльменское соглашение. У тех же операторов связи и документы по персданным есть (причем они местами даже интереснее будут), но Минкомсвязи не сделало ничего, чтобы признать эти документы и согласовать письмо, аналогичное "письму шести". Теперь операторы связи вынуждены самостоятельно решать все проблемы с персданными, кто во что горазд. И вот теперь ЦБ регулирует тему защиты информации в НПС. ФСТЭК выпустила общие требования, а ЦБ будет их детализировать, опять же, базируясь на своем СТО. И ФСТЭК молодцы - не стали гнуть свою линию, а оставили разработку детальных требований отраслевому регулятору, который понимает в специфику платежных систем. Наверное таки должно быть. Если уж мы вынуждены жить с главенствующей ролью ФСТЭК и ФСБ в области ИБ, то такой их симбиоз с отраслевыми регуляторами можно только приветствовать.
Наибольший интерес представляет 6-й пункт, перечисляющий требования по защите информации, которые должны быть реализованы в НПС. Из наиболее интересных там прописаны (остальные типичны и уже хорошо известны):
- требования к управлению рискаминарушения требований к защите информации в платежной системе, определению методик анализа рисков и проведению анализа рисков нарушения требований к защите информации
- требования к информированиюучастников платежной системы об инцидентах, связанных с нарушениями требований к защите информации
Не все удалось включить в проект данного постановления, но ключевые моменты там учтены. Что хорошо, нет жесткого требования оценки соответствия применяемых средств защиты, ни слова об аттестации и лицензировании (лицензия нужна только от тех, кого участник НПС привлекает для защиты информации).
Что мне нравится в Банке России, так это их реально регулирующая роль в области ИБ. Была неразбериха с СТО и требованиями ФСТЭК/ФСБ по персданным - появилось "письмо шести". Пусть и статус у него не такой высокий, но хоть какое-то джентльменское соглашение. У тех же операторов связи и документы по персданным есть (причем они местами даже интереснее будут), но Минкомсвязи не сделало ничего, чтобы признать эти документы и согласовать письмо, аналогичное "письму шести". Теперь операторы связи вынуждены самостоятельно решать все проблемы с персданными, кто во что горазд. И вот теперь ЦБ регулирует тему защиты информации в НПС. ФСТЭК выпустила общие требования, а ЦБ будет их детализировать, опять же, базируясь на своем СТО. И ФСТЭК молодцы - не стали гнуть свою линию, а оставили разработку детальных требований отраслевому регулятору, который понимает в специфику платежных систем. Наверное таки должно быть. Если уж мы вынуждены жить с главенствующей ролью ФСТЭК и ФСБ в области ИБ, то такой их симбиоз с отраслевыми регуляторами можно только приветствовать.
