Сколько наборов требований по ИБ ложится на банки после выхода требований по НПС?

Сколько наборов требований по ИБ ложится на банки после выхода требований по НПС?
На такой простой, казалось бы, вопрос, и ответ должен быть простой. Один, скажет большинство, имея ввиду новое положение Банка России 382-П (плюс 2831-У). Кто-то скажет, что два, имея ввиду еще и СТО БР ИББС. А сколько на самом деле? Гораздо больше.

Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным системам у нас подключается обычный банк? К БЭСП, МЭР, ВЭР Банка России. К Анелику, CONTACT, Western Union, Юнистрим и т.д. И оператор каждой из них может установить свои требования как это делает Visa/MasterCard через PCI Council. Собственно пример с PCI DSS хорошо это иллюстрирует - оператор платежной системы установил собственные требования по защите.

Но это не все. Какие требования устанавливает Банк России по безопасности тех, кто подключается к его платежной системе? 382-П, скажете вы и будете не правы ;-) Открываем 384-П от 29.06.2012 "О платежной системе Банка России". П.1.4 и 1.6 говорят, что "Банк России определяет порядок обеспечения защиты информации в платежной системе Банка России для клиентов Банка России в соответствии с требованиями к защите информации, установленными договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России". Т.е. не 382-П и не СТО БР ИББС, а некий договор обмена. Вполне возможно, что требования по ИБ в нем базируются на СТО, но все-таки отсылка идет на совершенно иной набор требований, который устанавливает оператор платежной системы.

Все? Нет. А про ст.27.1 ФЗ-164 вы не забыли? Согласно этой статье требования по защите устаналивает Правительство России, которое и сделало это в виде ПП-584. Оно пусть и не детальное, но его требования немного отличаются от требований 382-П. Например, в части приглашения фирм, которые будут проводить контроль соответствия. По ПП-584 это может быть только лицензиат ФСТЭК, а по 382-П - любая организация, в т.ч. и не обладающая лицензиями на деятельность по ТЗКИ.

Все? Опять нет. Почти любой денежный перевод включает в себя персональные данные, которые, по мнению традиционных регуляторов (ФСТЭК, РКН и ФСБ), защищаются не по 382-П и даже не по ПП-584, а по ФЗ-152 и его подзаконным актам.Ну теперь-то все? Ну если не рассматривать некоторые банки, на которых ложатся требования по КВО, и требования необязательных ISO 27xxx, то да.

Подытожим. 382-П, СТО БР ИББС, PCI DSS, ПП-584, ФЗ-152, плюс требования платежных систем. Ничего не напоминает? Именно в такой ситуации банки были после выхода требований по персданным и именно такое (чуть меньше) количество нормативных требований (ФСТЭК, ФСБ и РКН) послужило причиной включения в СТО БР ИББС требований по персданным, согласование 4-й редакции СТО с регуляторами и выпуск "письма шести", гласившего, если вкратце, что банки, подписавшиеся под СТО, будут проверяться только по СТО, а не по набору разных требований регуляторов.

Мне кажется, сейчас вновь настал тот момент, когда регуляторам надо сесть за стол переговоров и начать обсуждать этот непростой вопрос. По сути, процентов на 80-90, требования всех упомянутых нормативов совпадают. Может пора опять принять "письмо шести", чтобы не обременять банки (да и других участников НПС) дополнительными затратами; в первую очередь на оформление локальных нормативных актов и оценку соответствия? Это помогло бы всем и особенно регуляторам, мнение о которых в последнее время все больше склоняется в сторону карательно-негативной оценки ;-(
законодательство ФСТЭК Роскомнадзор PCI DSS НПС ФСБ персональные данные Банк России
Alt text

Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!