СОИБ. Отчетность о защите информации в ПС

СОИБ. Отчетность о защите информации в ПС

Как Вы наверное знаете, Банк России ведет активную нормотворческую деятельность в области защиты Национальной платежной системы. Недавно были разработан и утвержден ряд документов. Все документы по теме НПС перечислены тут .

Сегодня хотелось бы рассмотреть « УказаниеЦБ РФ 2831-У от 9 июня 2012 года "Об отчетности по обеспечению защиты информациипри осуществлении переводовденежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (зарегистрировано Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, опубликовано “Вестник Банка России” от 22 июня 2012 года № 32, вступает в силу с 1 июля 20120 года)»

Указание устанавливает формы, сроки и методики подготовки отчетности.
2 формы по ИБ:
·        форма 0403202"Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств"
·        форма 0403203"Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Отчетность по форме 0403202 не позднее 30 рабочих дней со для завершения оценки соответствия. В соответствии с положением БР № 382-П от 09.06.2012 сама оценка делается раз в 2 года или по требованию БР.
БР интересуют следующие показатели: EV1ПС (требования по обеспечению ИБ), EV2ПС (требования по управлению ИБ), RПС (минимум предыдущих),  кто проводил оценку.
Так как банку не захочется показывать в БР низкие оценки и попасть в область повышенного внимания БР, то можно успеть провести предварительную оценку уже сейчас, принять меры по повышению уровня ИБ, провести повторную оценку и отправить её в БР.
Ситуация осложняется отсутствием средств автоматизации расчета оценки. Хотелось бы увидеть от разработчиков варианты таких средства в ближайшее время, чтобы Банк успел выявить наиболее слабые области и с них начать работу по совершенствованию ИБ.

Отчетность по форме 0403203 не позднее 10 рабочего дня месяца следующего за отчетным или требования БР.   То есть первый отчет надо отправить не позднее 14 августа 2012 года.
К интересующим БР инцидентам относятся:
·        положительное воздействие вирусов
·        положительная атака на отказ в обслуживании
·        сбой в платежной системе более 3х часов
·        нарушение конфиденциальности ключей, паролей и т.п.
·        несанкционированные владельцами переводы денег
Другие инциденты, нарушение банковской тайны или конфиденциальности ПДн, БР не интересуют.
Отчеты Банков отправляются в электронном виде аналогично другой банковской отчетности. Отчеты других организаций принимаются до 1 июля 2013 года на бумажном носителе + электронном носителе. Надо учитывать, что курьерская доставка отнимет несколько рабочих дней от установленных 10.
Нулевой отчет тоже надо отправлять.
Банкам, не ведущим централизованной базы инцидентов посоветую срочно её создать.
При этом оператор по переводу денежных средств должен отчитываться ещё и за платежных агентов, субагентов. До которых ещё надо довести необходимость регистрации инцидентов и отправки информации оператору по переводу денежных средств. Так что начинать заниматься этим вопросом надо прямо сейчас.
Так-же ожидаю, что должны появится автоматизированные средства управления инцидентами для Банков.  Это для любой организации полезная вещь, а для банков теперь – просто необходимость.

Другие свежие документы по теме НПС подробно рассматривались в блоге Лукацкого и Емельянникова .


СОИБ инциденты аудит Банк России
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!