• ГЛАВНАЯ
  • Корпоративные новости
  • Публикации
  • Интервью
  • TV
  • Постскриптум
  • О проекте
  • Архив номеров
  • Контакты и реклама
    •
    Антиподы золота
    Евгений Козлов: «Мы умеем продавать жильё без льготной ипотеки»
    ИИ или страховой агент?
    Finversia-TV
    ×
    1. Главная
    2. Публикации
    3. Комплексный подход к обеспечению соответствия требованиям ИБ НПС

    Комплексный подход к обеспечению соответствия требованиям ИБ НПС A A= A+

    15.02.2014

    Александр БодрикАлександр Бодрик

    Консультант Отдела продвижения и поддержки продаж R-Style,

    эксперт по информационной безопасности

    С 2009 года Александр Бодрик профессионально занимается вопросами управления информационными рисками и обеспечением соответствия лучшим международным практикам и требованиям регуляторов, аудитами и проектами в области ИБ для ведущих мировых компаний нефтегазового сектора, ведущих российских компаний розничного и финансового секторов. Принимал участие в построении системы информационной безопасности Олимпиады 2014 в Сочи. Обладатель сертификатов ITIL Expert

    (IT Infrastructure Library Expert), OGC; CISA (Certified Information Systems Auditor), ISACA; CCSK (Certificate of Cloud Security Knowledge), Cloud Security Alliance. Участник международных профессиональных объединений - Ассоциация аудита и контроля информационных систем (ISACA), Ассоциация специалистов

    по расследованию мошенничества (ACFE), Международная ассоциация безопасности промышленных корпораций (ASIS). Области профессионального интереса – управление продуктами, стратегией и операционной моделью функции информационной безопасности.

    В компании R-Style Александр занимается продвижением и поддержкой продаж комплексных проектов по информационной безопасности.

    Комплексный подход к обеспечению соответствия требованиям ИБ НПС

    Внедрение системы управления требованиями к ИБ в НПС позволяет ликвидировать избыточные меры и снизить стоимость владения системой мер соответствия.

    2014 год знаменателен для служб информационной безопасности банков тем,

    что с 1 января вступили в силу строгие и самые резонансные требования Банка России

    к информационной безопасности национальной платежной системы (далее – ИБ НПС).

    Первое – фактически безусловное возмещение клиентам похищенных средств,

    второе – необходимость регулярно предоставлять Банку России отчетность

    по выполнению требований, предъявляемых к защите информации.

    Соответственно, встает задача полномасштабного внедрения требований

    по информационной безопасности национальной платежной системы. Казалось бы, задача знакомая, ведь сами требования во многом схожи с нормами отраслевого стандарта, уже ставшим классикой банковской безопасности. Но те из них, которые предъявляются Федеральным законом «О национальной платёжной системе» ФЗ-161, Указанием Банка России 2831-У от 6 июля 2012 года и Положением Банка России 382-П от 9 июля 2012 года, имеют ряд кардинальных отличий от требований комплекса СТО БР ИББС. Однако при должном подходе выполнение требований к ИБ НПС не несёт дополнительных рисков, а, скорее, открывает новые возможности.

    Прежде всего, требования к ИБ НПС применимы только к банковским платёжным технологическим процессам, в отличие от СТО БР ИББС, нормы которого относятся, в первую очередь, к кредитной организации в целом, и к банковским технологическим платёжным и банковским технологическим информационным процессам, в частности. Это обстоятельство, в сочетании с наличием закрытых списков видов платёжных процессов и операторов платежных систем, позволяет рационализировать затраты на соответствие.

    Решение – провести обстоятельную инвентаризацию платёжных процессов и поддерживающих их ИТ-активов (know your processes & assets). По результатам этой процедуры можно разумно ограничить объём проекта по достижению соответствия предъявляемым к системе требованиям.

    Кроме того, следует учитывать, что, в отличие от СТО БР ИББС, требования к ИБ банка

    в НПС формируются не только одним «мегарегулятором» – Банком России. Их также,

    по сути, предъявляет каждый оператор платежной системы, а таких у среднего банка могут быть десятки. Это приводит к существенному росту нагрузки на банковские финансовые и человеческие ресурсы.

    Чтобы оптимизировать в этих условиях использование ресурсов, разумно применить принцип know your regulators & requirements («знай своих регуляторов и их требования»), то есть необходимо выстраивать профили соответствия в зависимости от того, кто их предъявляет. Например, «базовый профиль» – для всех платёжных процессов, и дополнительно – профили соответствия требованиям каждой из платёжных систем, участником которых является кредитная организация.

    Каждый из операторов платежных систем – участников НПС предъявляет свои требования к ИБ кредитных организаций. Вот их перечень, составленный на основании данных, полученных в ходе практической работы компании R-Style с банком из ТОП-50:

    • Visa;

    • MasterCard;

    • Western Union;

    • Золотая корона;

    • Юнистрим;

    • Contact;

    • Анелик.

    С самого начала формирования современной банковской системы РФ комплексные требования по информационной безопасности, содержащиеся в PCI DSS и СТО БР ИББС, были не обязательными, но рекомендательными. Трудно припомнить случаи каких-либо санкций или штрафов за их невыполнение. Но требования к ИБ НПС, содержащиеся в федеральном законодательстве и нормативных документах Банка России, стали обязательными для существенной части бизнес-процессов банковской системы – вот в чём ключевое отличие новой ситуации.

    Другой существенный, новый фактор – система контроля за выполнением участниками НПС требований к ИБ. В неё включена регулярная отчетность по установленным формам об инцидентах и степени соответствия требованиям, предъявляемым к ИБ организации участника. Кредитные организации обязаны предоставлять регулятору такую отчётность, а Департамент банковского надзора и Территориальные управления Банка России уполномочены проверять, как соблюдаются требования к ИБ НПС.

    Учитывая обязательность требований к ИБ НПС и строгий контроль их выполнения, для кредитных организаций становится рациональным реализовать проект достижения соответствия, используя принцип know your compliance («знай свое соответствие»).

    То есть нужно выстроить автоматизированный процесс управления соответствием требованиям к ИБ, чтобы, проходя проверки, минимизировать риск применения санкций и ухудшения отношений с Департаментом банковского надзора Банка России.

    Для действенной организации процесса управления соответствием лучше всего использовать известные практики внутреннего контроля – матрицы процессов, активов, регуляторов и требований, что позволит формализовать процесс управления соответствием и эффективно измерять его результативность и эффективность.

    Следующий шаг – автоматизация процесса с целью получения информации о соответствии практически в режиме реального времени, в том числе, по филиалам, дополнительным офисам и представительствам, также и региональным.

    Учитывая все вышеперечисленные особенности выполнения требований к ИБ НПС, оптимальный подход к реализации проекта достижения соответствия следующий:

    • инвентаризация текущих соглашений с платёжными системами согласно определению ФЗ-161 и наличию системы в реестре Банка России;

    • инвентаризация платежных процессов (согласно Постановлению Банка России № 384-П и бизнес-процессам организации) и поддерживающих платежные процессы ИТ-активов;

    • определение перечня операторов платёжных систем – контрагентов (на основе реестра операторов платежных систем, которые ведёт Банк России, и договоров кредитной организации) и группировка их требований в профили соответствия;

    • составление матрицы соответствия платёжных процессов требованиям платёжных систем контрагентов и матрицы активов и требований;

    • проведение оценки соответствия на основе профилей соответствия;

    • анализ результатов оценки соответствия, выработка технологических и организационных мер соответствия для проблемных областей;

    • оценка сроков и стоимости внедрения мер соответствия, выработка дорожной карты достижения соответствия;

    • проектирование и внедрение мер соответствия;

    • постановка задачи на внедрение / доработку системы автоматизированного контроля соответствия;

    • проектирование и внедрение / доработка системы автоматизированного контроля соответствия.

    Внедрение процесса управления требованиями, несмотря на его очевидную необходимость, всё же остается сложным и дорогостоящим проектом.

    С другой стороны, впервые в истории отечественной банковской отрасли появляются действительно обязательные отраслевые требования к информационной безопасности с угрозой не призрачного штрафа, но реального ухудшения отношений с государственным регулятором – Банком России. Вплоть до отзыва банковской лицензии.

    Выполнение этих требований с применением современного подхода также позволит в перспективе помочь соблюдать законодательство по защите персональных данных.

    Такая возможность открывается при интеграции требований по информационной безопасности персональных данных в единую целостную систему управления требованиями, позволяя ликвидировать избыточные меры и снизить стоимость владения всей системой мер обеспечения соответствия.

    * * *

    Все это позволяет надеяться не только на краткосрочное улучшение уровня информационной безопасности платежной индустрии и повышение защищенности клиентов, но и на появление мотивации руководства кредитных организаций

    к инвестициям в информационную безопасность, достижение соответствия требованиям и стабильность банковской системы в целом.

    Finversia-TV

    Корпоративные новости

    Все новости »