Пока мы, в очередной раз, наблюдали за тем, как немотивированные футболисты во главе с обиженным на всех тренером сливали воду в Варшаве, жизнь шла своим чередом.
На сайте Правительства Российской Федерации появилось подписанное 13 июня 2012 года его Председателем Постановление № 584 «Об утверждении Положения о защите информации в платежной системе» , которое вступает в силу с 1 июля 2012 г.
Как и предусмотрено п.1 ст.27 ФЗ «О национальной платежной системе», Положение устанавливает требования к защите информации:
·о средствах и методах обеспечения информационной безопасности,
·о персональных данных,
·об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе.
Самый главный вопрос, возникающий при изучении Положения, - тот же, что и был к ФЗ «О национальной платежной системе»: требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены Банком России, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – «иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации»? Если последнее, то защиту каких сведений будет определять Банк России?
Требования к защите информации с 1 июля 2012 года, как это предусмотрено ФЗ «О национальной платежной системе», должны включаться операторами в правила платежных систем и предусматривать в обязательном порядке (располагаю не в том порядке, как это указано в Положении, а исходя из своего понимания логики действий):
·наличие структурного подразделения по защите информации (службы информационной безопасности) или специально назначенного должностного лица, ответственного за организацию защиты информации;
·риск-ориентированный подход к обеспечению безопасности, что вполне соответствует обязательности создания системы управления рисками в платежной системе;
·определение угроз безопасности информации и анализ уязвимости информационных систем;
·наличие системы защиты информации в информационных системах;
·обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования (тонкая аллюзия на необходимость защиты при передаче данных через интернет?);
·применение средств защиты информации; определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;
·наличие у операторов и агентов локальных правовых актов, устанавливающих порядок реализации требований к защите информации;
·обязанности по выполнению требований к защите информации в должностных обязанностях работников, участвующих в обработке информации;
·выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;
·организация, проведение контроля и оценка выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года (самостоятельно или с привлечением лицензиата в области ТЗКИ).
Следующая неожиданность: перечень средств защиты выглядит исчерпывающим (традиционных слов «и другие», «и иные» в тексте Положения нет) и включает в себя:
·шифровальные (криптографические) средства,
·средства защиты информации от несанкционированного доступа,
·средства антивирусной защиты,
·средства межсетевого экранирования,
·системы обнаружения вторжений,
·средства контроля (анализа) защищенности.
Все! Требования об обязательности оценки соответствия СЗИ нет! Читаем еще раз внимательно. Нет такого требования. А вот что это значит – пока совершенно непонятно. Если с защитой персональных данных при осуществлении платежей есть некоторая ясность – меры обеспечения их безопасности определены специальным законодательством, которое в совокупности фактически требует обязательной сертификации СЗИ, то как быть с «иной информацией, подлежащей обязательной защите в соответствии с законодательством Российской Федерации» и что это за информация вообще, будет выясняться, как обычно, по ходу правоприменения.
Фраза «Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации» похоже, является намеком на то, что деятельность по ТЗКИ по-прежнему является лицензируемой.
Последний пункт Положения предусматривает, что применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации. Т.е. опять – только общие слова и, как следствие, неизбежные бесконечные дискуссии специалистов о допустимости использования SSLи TLS, реализующих RSAи прочую заморскую «непонять», электронных средств платежей зарубежной разработки со встроенной в них криптографиейо том, как не нарушить закон при трансграничном переводе денежных средстви т.д.
Порядок действий оператора платежной системы при реализации требований закона и вводимого в действие Положения представляется следующим. Оператор:
1.Назначает у себя структурное подразделение (возлагает на службу информационной безопасности) или должностное лицо, ответственное за организацию защиты информации в платежной системе.
2.В соответствии с выбранной организационной моделью управления рисками в платежной системе (ст.28 закона) определяет свою зону ответственности за риски, связанные с информационной безопасностью, выявляет и обрабатывает риски на основании моделирования угроз и выявления уязвимостей (не забываем про не антропогенные угрозы!) и/или получает информацию о необходимости обработки рисков, выявленных операторами услуг платежной инфраструктуры и участниками платежной системы, а также расчетным центром, если функции по оценке и управлению рисками переданы ему.
3.Самостоятельно (при наличии лицензии на ТЗКИ) или с привлечением лицензиата проектирует систему защиты информации в своей информационной системе, обеспечивающую снижение выявленных рисков до приемлемого уровня и нейтрализацию актуальных угроз безопасности с использованием набора средств защиты, перечисленных в Положении. При этом оператор помнит о возможности перехвата информации при осуществлении электронных платежей через сети связи общего пользования и интернет (а как иначе их осуществлять) и поднимает для этого криптографические протоколы, в том числе несертифицированные, если может обосновать законность их ввоза и использования.
4.Исходя из результатов обработки рисков и наличия актуальных угроз, в первую очередь – исходящих от его собственного персонала, устанавливает правила доступа к средствам обработки информации и определяет используемые для этого средства.
5.Разрабатывает пакет локальных нормативных документов, описывающих все сделанное выше, в том числе - распределяющих и описывающих обязанности конкретных пользователей системы.
6.Организует мониторинг за выполнением установленных правил, выявление инцидентов и систему реагирования на них, причем документирует результаты этой работы не реже 1 раза в 2 года, привлекая при необходимости лицензиатов в области ТЗКИ (мы помним о том, что в соответствии с Постановлением Правительства № 79 контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации – лицензируемый вид деятельности).
Вот так, примерно. Ничего или почти ничего нового, за исключением заявленного риск-ориентированного подхода. Схема знакома, опробована и закреплена в большом количестве актов. За работу, товарищи участники платежной системы!
