2 мая, 2012, BIS Journal №2(5)/2012

Вопросы обеспечения информационной безопасности Национальной платежной системы


Курило Андрей

доцент, председатель Комитета по информационной безопасности НП НСФР, кандидат технических наук (Финансовый университет при Правительстве РФ)

Тематическое заседание №1 Уральского форума (IV Межбанковской конференции по информационной безопасности банков) 14 Февраля 2012 года

Первый день Уральского форума, программа которого занимает несколько дней, поневоле оказывается самым насыщенным и «установочным». Тематическое заседание № 1, посвящённое обеспечению информационной безопасности Национальной платёжной системы, открыли доклады ведущих отраслевых регуляторов. Целый ряд выступлений сделали представители Банка России, различных его подразделений и региональных отделений, а также поставщиков продукции и услуг.

Доклад представителя ФСБ России В.М. Простова был посвящён реализации требований по использованию средств криптографической защиты информации в Национальной платёжной системе, а начальника управления ФСТЭК России А.В. Куца – ходу разработки положения об обеспечении защиты информации всеми операторами переводов денежных средств.

От Банка России было несколько докладчиков. Зам. начальника ГУБиЗИ А.П. Курило выступил с докладом, посвящённым вопросам обеспечения информационной безопасности НПС. Начальник отдела методологии обеспечения безопасности информационных ресурсов В.П. Харламоврассказал о требованиях Банка России к обеспечению защиты информации при осуществлении переводов денежных средств.

Выступавшие акцентировали внимание на позитивном сдвиге: федеральный закон «О национальной платёжной системе» от 27 июня 2011 года № 161-ФЗ впервые наделил Банк России правом нормативного регулирования информационной безопасности в банковской сфере. Ранее Банк России готовил рекомендации, в том числе в виде отраслевого стандарта информационной безопасности, не обладая правом надзорной деятельности и контроля исполнения.

Главный инженер отдела методологии обеспечения безопасности информационных ресурсов Банка России А.О. Выборнов сообщил о требованиях главного отраслевого регулятора к организации контроля за соблюдением норм обеспечения защиты информации при переводах денежных средств. Начальник управления регулирования расчётов через платёжные системы Департамента регулирования расчётов Банка России П.А. Тамаров дал анализ роли и места информационной безопасности в обеспечении бесперебойной работы платёжной системы.

Отмечалось, что со вступлением в силу закона о Национальной платежной системе Банк России получил определенную возможность влиять на обеспечения безопасности новых участников и новых сервисов, таких как расчеты интернет-деньгами, мобильные платежи и другие подобные услуги. В настоящее время идет активная работа с банковским сообществом по определению конкретных мер, разработка нормативных документов по обеспечению безопасности в национальной платежной системе.

О различных аспектах обеспечения информационной безопасности участников платёжной системы на местах поведали представители региональных отделений Банка России.

Начальник Главного управления Банка России по Волгоградской области А.И. Широкий проанализировал ряд вопросов обеспечения безопасности доступа к платёжной системе Банка России. Председатель Национального банка Республики Мордовия А.П. Тренькин рассмотрел особенности реализации требований отраслевого стандарта безопасности СТО БР ИБСС – 1.0 в кредитных организациях региона.

Выступление председателя Некоммерческого партнёрства АБИСС П.В. Гениевского было посвящено использованию механизмов саморегулирования компаниями и специалистами – участниками национальной платёжной системы, оказывающим услуги другим её участникам.

Аудитория заслушала выступления представителей индустрии платёжных карт. Руководитель Департамента управления рисками VISA Int. О.Б. Скородумов дал сравнительный анализ практики регулирования безопасности платёжных систем в странах юго-восточной Европы. Об обеспечении информационной безопасности в ходе реализации отечественного проекта Универсальной электронной карты доложил заместитель директора по безопасности, начальник управления безопасности ОАО «УЭК» В.К. Звейник.

Руководители и ведущие специалисты компаний, предлагающих решения по различным аспектам обеспечения информационной безопасности кредитно-финансовых организаций, представили свои новые продукты. Начальник отдела построения систем управления информационной безопасности ООО «КАБЕСТ» В.М. Кузнецов поделился опытом создания системы обеспечении информационной безопасности (СОИБ) головного офиса и филиалов банка, отвечающей требованиям отраслевого стандарта. Заместитель генерального директора по развитию компании ЭЛВИС-ПЛЮС СВ. Вихорев осветил особенности защиты персональных данных операторами-аутсорсерами в свете закона о НПС.

Всё более широкое использование электронных платежей способствует высоким темпам развития кредитно-финансовой сферы, расширению охвата населения соответствующими услугами. Снижения темпов не предвидится, однако повышение уровня угроз вынуждает кредитные организации, предоставляющие недостаточно защищенные финансовые услуги, сделать выбор: или повышать информационную безопасность, или быть вытесненными с рынка.

Пока что объективными факторами, тормозящими развитие национальной платёжной системы, остаются плохие каналы связи и недоступность интернета в отдельных регионах страны, необходимость в приобретения дорогостоящей вычислительной техники и средств её защиты. Субъективные негативные факторы – низкая осведомлённость населения не только о преимуществах новых технологий услуг, но и о правилах информационной безопасности, отсутствие привычки их соблюдать.

Для снижения рисков безопасности дистанционных электронных финансовых услуг необходимо создать нормативно-правовой механизм оперативного блокирования похищенных денежных средств. Далее, нужно увеличить эффективность обмена кредитными организациями сведениями о новых видах угроз, действиях злоумышленников и опыте борьбы с ними. Банкам следует повысить уровень информационной защиты дистанционных сервисов, заботиться и о повышении грамотности клиентов, многократно напоминая им о соблюдении правил информационной безопасности.

Докладчики отмечали, что в настоящее время в собственной платежной системе Банка России достигнут требуемый уровень защищенности. Имеющие место инциденты носят разовый характер и, как правило, после принятия защитных мер больше не повторяются. Главная задача – сопровождать динамику изменения защищаемого объекта поддержанием должного уровня безопасности, в том числе превентивной выработкой мер противодействия прогнозируемым угрозам.