4 июля, 2013

Результаты положительны, перспективы обширны


Верхось Анна

Корреспондент (BIS Journal)

Общее собрание НП «АБИСС» подвело итоги предшествующей деятельности и очертило горизонты предстоящей работы

Очередное общее собрание членов Некоммерческого партнерства «Сообщество пользователей стандартов по информационной безопасности АБИСС» прошло 20 июня 2013 года. На мероприятии, которое проходило в офисе KPMG, расположенном  на 31 этаже одной из башен Москва-Сити, был принят целый рад стратегически важных  и перспективных решений, существенно расширяющих сферы деятельности Некоммерческого Партнерства и направления его работы.

 

РАЗВИТИЕ ВЗАИМОДЕЙСТВИЯ С БАНКОМ РОССИИ

С отчётом о деятельности НП «АБИСС» в 2012/2013 году выступил председатель партнёрства Павел Гениевский. Одной из приоритетных задач организации за отчетный период с 23 июня 2012 года по 19 июня 2013 года являлась деятельность по обеспечению эффективного взаимодействия между членами Партнерства и всеми заинтересованными участниками отрасли – кредитными и некредитными организациями, регулирующими и контрольными органами.

В частности, в январе 2013 года в Банке России прошла встреча представителей НП «АБИСС» с руководством Департамента регулирования расчетов и Главного управления безопасности и защиты информации, в рамках которой был обсужден ряд вопросов, касающихся возможных направлений и порядка взаимодействия НП «АБИСС» с Банком России.

В настоящее время не существует регламента взаимодействия, в связи с чем используются прямые контакты с представителями подразделений Банка России, а участие Банка России в мероприятиях НП «АБИСС» определяется в каждом конкретном случае по соответствующему запросу Партнерства. Это обусловлено тем, что Банком России осуществляется пересмотр принципов и порядка взаимодействия с общественными организациями, ассоциациями,  союзами и т.д.

По словам Павла Гениевского, организация отлаженного взаимодействия с Банком России является приоритетной задачей, поставленной членами и участниками Партнерства на 2013-2014 год.

РАСШИРЕНИЕ НАПРАВЛЕНИЙ РАБОТЫ

В докладе Павел Гениевский также рассказал о созданных профильных комитетах НП «АБИСС» и направлениях их деятельности. Комитет по адаптации международных стандартов будет заниматься изучением и переработкой международных стандартов в области информационной безопасности. Комитет по страхованию рисков нарушения информационной безопасности займётся разработкой стандартов, правил и методик предпринимательской деятельности в области страхования рисков ИБ; Комитет  по контролю за качеством деятельности организаций-аудиторов будет осуществлять внешний контроль своих членов.

С целью повышения эффективности взаимодействия всех участников НП «АБИСС» начало оказывать методологическую помощь кредитным организациям – участникам партнерства, связанную с оценкой соответствия их Положению N382-П Банка России. В частности, разработан и активирован портал, на котором кредитные и не кредитные организации могут провести оценку своего соответствия и документирование её результатов. Доступ к порталу бесплатный для всех организаций, присоединившихся к НП «АБИСС». Кроме того, здесь же размещена большая подборка информационных материалов о №382-П и реализована возможность получения консультаций экспертов.

В отчетном периоде НП «АБИСС» уделяло много внимания обучению, которое проводилось учебными центрами, входящими в состав Партнерства по согласованным программам. Всего за отчетный период было обучено 82 специалиста.

PCI DSS – ТЕПЕРЬ И НА РУССКОМ

Отдельным пунктом своего выступления докладчик выделил работу, проводимую НП «АБИСС» совместно с PCI SSC (Payment Card Industry Security Standards Council − Советом по стандартам безопасности индустрии платёжных карт) и Банком России по переводу на русский язык документов, входящих в состав стандарта PCI DSS. В настоящий момент переведено и опубликовано на официальном сайте PCI SSC 10 основных документов.

По оценке Павла Гениевского, это очень важный шаг в развитии отношений с Советом PCI SSC: 95% замечаний рабочей группы НП «АБИСС» были учтены при подготовке русскоязычной версии. Наличие же официального перевода стандарта позволит более корректно интегрировать по мере необходимости его положения в документы Банка России.

В перспективах дальнейшего сотрудничества НП «АБИСС» с Советом по стандартам безопасности индустрии платёжных карт – поддержка перевода новых версий стандарта PCI DSS , в частности, версии 3.0, выход которой на английском языке ожидается в ноябре 2013 года, а также возможности обучения для российской аудитории.

ПРИОРИТЕТЫ РАЗВИТИЯ

Участникам собрания Павлом Гениевским были представлены на утверждение основные приоритетные задачи и план работы АБИСС на 2013/2014 годы, среди которых, оказание методологической поддержки участникам Партнерства (кредитным и некредитным организациям – участникам национальной платежной системы Российской Федерации в части реализация следующих требований, направленных на обеспечение информационной безопасности:

  • требования к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств и документирования полученных результатов (Положение ЦБ РФ № 382-П, Указание ЦБ РФ 2831-У);
  • требования к обеспечению информационной безопасности организаций банковской системы Российской Федерации. (Стандарт Банка России СТО БР ИББС-1.0 – 2010);
  • требования по обеспечению безопасности персональных данных в соответствие с законом «О персональных данных», а также нормативных актов и разъясняющих документов регуляторов;
  • требования к стандартам безопасности данных и процедуры оценки безопасности в индустрии платежных карт (Стандарт PCI DSS).

Также членам Партнерства предлагается содействие в оказании услуг оценки соответствия, консалтинга и обучения. Как и прежде, НП «АБИСС» будет осуществлять внешний контроль качества своих членов, предоставляющих эти услуги.

Как сообщил Павел Гениевский, в краткосрочных планах НП «АБИСС» ? получение статуса саморегулируемой организации. Для этого во время собрания были предложены и утверждены необходимые изменения в Устав Партнерства.

 

BIS-КОММЕНТАРИЙ

Павел ГЕНИЕВСКИЙ,
председатель «Сообщества пользователей стандартов по информационной безопасности АБИСС» ?  НП «АБИСС»

? Павел Владимирович, с чем, на Ваш взгляд, связано то, что несколько компаний не подтвердили свое членство в НП «АБИСС»? Есть ли статистика количеста реальных проектов, которые были реализованы благодаря содействию парнёрства за 2012/2013 год?

? Эти 2 вопроса действительно связаны. Наша организация создавалась как площадка, позволяющая связать все заинтересованные в решении вопросов безопасности стороны – регуляторов, кредитные и не кредитные организации, компании-интеграторы. Напомню, что все члены партнёрства делятся на 3 группы: аудиторы, консультанты и учебные центры, они оказывают методологическую поддержку  кредитными не кредитным организациям – другим участникам НП «АБИСС».

Я пока могу говорить о статистике только такого вида деятельности как приведение деятельности банков в соответствие требованиям СТО БР Банка России. Поясню почему: на момент, когда между всеми регуляторами было подписано «Письмо шестерых»1, у всех представителей нашего партнерства были проекты. Это письмо стало неактуальным  после появления ФЗ-161. Тогда мы пропагандировали идею о том, что отчёт о работе, проделанной по оценке соответствия СТО БР участниками АБИСС, признаётся всеми 4 регуляторами и учитывается при их проверках.

Но позднее часть рекомендательных требований были воспроизведены в Положении N382-П и стали обязательными, а надзор за исполнением был поручен Департаменту регулирования расчетов Банка России. Ситуация изменилась – проекты выполнения рекомендательных требований стандарта Банка России отошли на второй план, а на первый план для банков вышла необходимость выполнять обязательные требования.

Если смотреть нашу статистику, то в 2008-2009 годах число проектов, связанных с выполнением рекомендательных требований СТО БР ИББС составляло порядка 300. Когда появилось Положение 382-П, банки заняли выжидательную позицию. И количество заказов на этот вид работ у части компаний, входящих в состав НП «АБИСС», резко уменьшилось.

Сегодня 23 компании подтвердили свои квалификационные требования, предъявляемые к членам НП «АБИСС», несколько компаний написали псиьмо о добровольном выходе из  состава нашей некоммерческой организации. И есть кандидаты, которые хотят  вступить в наше партнёрство. Это означает не только то, что рынок заказов по СТО БР ИБСС  как основополагающего стандарта восстанавливается. Но также и то, что добавляются работы по другим направлениям – выполнения требований №382-П, PCI DSS и защиты персональных данных.

НП «АБИСС», выступая гарантом качества услуг, предоставляемых заказчику, по-прежнему рекомендует банкам при анализе рыночных предложений или проведении тендеров обращать внимание на компании, входящие в наше Партнёрство. Потому что действующая у нас система контроля качества гарантирует профессиональность их услуг.

Интересно, что сейчас наблюдается рост числа некоммерческих организаций, которые тоже начинают работать  в сфере информационной безопасности. Думаю, это говорит о том, что мы идем в правильном направлении, выбранная нами организационная форма некоммерческого парнёрства действительно работает.

? А для чего понадобился статус саморегулирующейся организации?

− Сразу подчеркну, что это − не изменение формы деятельности. Некоммерческое партнёрство может просто работать как некоммерческая организация, а может получить статус саморегулируемой организации − СРО. К СРО больше доверия, потому что в них усиливается контроль за участниками. Появляется страхование рисков, комитет по контролю за качеством, комитет по дисциплинарным мерам воздействиям. Для конечного заказчика некоммерческое партнерство, имеющее статус СРО, более привлекательно.

Андрей ДРОЗДОВ,
старший менеджер Управления информационными рисками КПМГ, член Комитета по адаптации международных стандартов НП «АБИСС»

? В каком виде, на ваш взгляд, Банк России будет интегрировать стандарт PCI DSS? Включит ли он его нормы в пакет своих документов?

? Как известно, это международный стандарт, требования которого обязательны для всех организаций, которые работают с международными платёжными системами независимо от того, в какой стране они расположены. Все сроки, которые ранее давались организациям на приведение их деятельности в соответствие с этим стандартом, прошли. Сейчас не только банки должны соответствовать требованиям PCI DSS, но и торговые организации, которые работают с пластиковыми картами

Должен заметить, что официальная русская версия стандарта появилась очень кстати, и интерес Банка России к ней понятен. С одной стороны, это возможность ссылаться на хорошую проверенную международную практику при разработке других документов и политик, с другой −  возможно и прямое использование его норм в той или иной форме.

Кстати, недавно в СМИ прошло сообщение, что в скором времени в нашей стране начнется строительство центра обработки транзакций международных  платёжных систем, работающих на территории России. В этой связи требования к безопасности, которые предъявляет этот стандарт, становятся ещё более актуальными.

? Как вы считаете, чего больше всего ожидают сейчас банки в области информационной безопасности? Ждут ли очередных нововведений от регулятора?

? Основные изменения со стороны Банка России уже сделаны. Акценты расставлены: СТО БР ИБСС – это, условно говоря, «произвольная» программа, а Положение N382-П – «обязательная». Сейчас ожидается развитие требований N382-П. Скорей всего, до конца этого года Банк России предложит новую редакцию, где будут уточнены требования и даны уточненные указания по выполнению этого положения.

Ключевые документы, конкретизирующие ФЗ-161 «О национальной платёжной системе» и ФЗ-,152 “О персональных данных”  в части информационной безопасности, приняты. Думаю, что в ближайшее время будут появляться  методические рекомендации по их исполнению, и, возможно, новые редакции, как, например, Положение N382-П. 

 


1 «Письмо шестерых» - комплекс отраслевых документов Центрального Банка РФ по приведению деятельности организаций банковской системы РФ в соответствие с требованиями законодательства в области персональных данных; был подписан 28 июня 2010 года  Банком России, ФСБ России, ФСТЭК России, Роскомнадзором, Ассоциацией российских банков и Ассоциацией региональных банков России.

 

 

Смотрите также

Подпишись на новости!
Подписаться