Комплексный подход к обеспечению соответствия требованиям ИБ НПС

Комплексный подход к обеспечению соответствия требованиям ИБ НПС

2014 год знаменателен для служб информационной безопасности банков тем, что с 1 января вступили в силу строгие и самые резонансные требования Банка России к информационной безопасности национальной платежной системы (далее – ИБ НПС). Первое – фактически безусловное возмещение клиентам похищенных средств, второе – необходимость регулярно предоставлять Банку России отчетность по выполнению требований, предъявляемых к защите информации.

Соответственно, встает задача полномасштабного внедрения требований по информационной безопасности национальной платежной системы. Казалось бы, задача знакомая, ведь сами требования во многом схожи с нормами отраслевого стандарта, уже ставшим классикой банковской безопасности. Но те, которые предъявляются Федеральным законом «О национальной платёжной системе» ФЗ-161, Указанием Банка России 2831-У от 6 июля 2012 года и Положением Банка России 382-П от 9 июля 2012 года, имеют ряд кардинальных отличий от требований комплекса СТО БР ИББС. Однако при должном подходе выполнение требований к ИБ НПС не несёт дополнительных рисков, а, скорее, открывает новые возможности.

Прежде всего, требования к ИБ НПС применимы только к банковским платёжным технологическим процессам, в отличие от СТО БР ИББС, нормы которого относятся, в первую очередь, к кредитной организации в целом, и к банковским технологическим платёжным и банковским технологическим информационным процессам, в частности. Это обстоятельство, в сочетании с наличием закрытых списков видов платёжных процессов и операторов платежных систем, позволяет рационализировать затраты на соответствие. Решение – провести обстоятельную инвентаризацию платёжных процессов и поддерживающих их IT-активов (know your processes & assets), по результатам которой можно разумно ограничить объём проекта по достижению всей системой соответствия предъявляемым требованиям.

Кроме того, следует учитывать, что, в отличие от СТО БР ИББС, требования к ИБ банка в НПС формируются не только одним «мегарегулятором» – Банком России. Их также, по сути, предъявляет каждый оператор платежной системы, а таких у среднего банка могут быть десятки. Это приводит к существенному росту нагрузки на банковские финансовые и человеческие ресурсы.

Чтобы оптимизировать в этих условиях использование ресурсов, разумно применить принцип know your regulators & requirements («знай своих регуляторов и их требования»), то есть необходимо выстраивать профили соответствия в зависимости от того, кто их предъявляет. Например, «базовый профиль» – для всех платёжных процессов, и дополнительно – профили соответствия требованиям каждой из платёжных систем, участником которых является кредитная организация.

Каждый из операторов платежных систем – участников НПС предъявляет свои требования к ИБ кредитных организаций. Вот их перечень, составленный на основании данных, полученных в ходе практической работы компании R-Style с банком из ТОП-50:

• Visa;
• MasterCard;
• Western Union;
• Золотая корона;
• Юнистрим;
• Contact;
• Анелик.

С самого начала формирования современной банковской системы РФ комплексные требования по информационной безопасности, содержащиеся в PCI DSS и СТО БР ИББС, были не обязательными, но рекомендательными. Трудно припомнить случаи каких-то санкций или штрафов за их невыполнение. Но требования к ИБ НПС, содержащиеся в федеральном законодательстве и нормативных документах Банка России, стали обязательными для существенной части бизнес-процессов банковской системы – вот в чём ключевое отличие новой ситуации.

Другой существенный, новый фактор – система контроля за выполнением участниками НПС требований к ИБ. В неё включена регулярная отчетность по установленным формам об инцидентах и степени соответствия требованиям, предъявляемым к ИБ организации-участника. Кредитные организации обязаны предоставлять регулятору такую отчётность; а Департамент банковского надзора и Территориальные управления Банка России уполномочены проверять, как соблюдаются требования к ИБ НПС.

Учитывая обязательность требований к ИБ НПС и строгий контроль их выполнения, для кредитных организаций становится рациональным реализовать проект достижения соответствия, используя принцип know your compliance («знай свое соответствие»). То есть нужно выстроить автоматизированный процесс управления соответствием требованиям к ИБ, чтобы, проходя проверки, минимизировать риск применения санкций и ухудшения отношений с Департаментом банковского надзора Банка России.

Для эффективной организации процесса управления соответствием лучше всего использовать известные практики внутреннего контроля – матрицы процессов, активов, регуляторов и требований, что позволит формализовать процесс управления соответствием и эффективно измерять его результативность и эффективность. Следующий шаг – автоматизация процесса с целью получения информации о соответствии практически в режиме реального времени, в том числе, по филиалам, дополнительным офисам и представительствам, также и региональным.

Учитывая все вышеперечисленные особенности выполнения требований к ИБ НПС, оптимальный подход к реализации проекта достижения соответствия следующий:

• инвентаризация текущих соглашений с платёжными системами согласно определению ФЗ-161 и наличию системы в реестре Банка России;
• инвентаризация платежных процессов (согласно Постановлению Банка России № 384-П и бизнес- процессам организации) и поддерживающих платежные процессы IT- активов;
• определение перечня операторов платёжных систем – контрагентов (на основе реестра операторов платежных систем, которые ведёт Банк России, и договоров кредитной организации) и группировка их требований в профили соответствия;
• составление матрицы соответствия платёжных процессов требованиям платёжных систем контрагентов и матрицы активов и требований;
• проведение оценки соответствия на основе профилей соответствия;
• анализ результатов оценки соответствия, выработка технологических и организационных мер соответствия для проблемных областей;
• оценка сроков и стоимости внедрения мер соответствия, выработка дорожной карты достижения соответствия;
• проектирование и внедрение мер соответствия;
• постановка задачи на внедрение / доработку системы автоматизированного контроля соответствия;
• проектирование и внедрение / доработка системы автоматизированного контроля соответствия.

Внедрение процесса управления требованиями, несмотря на его очевидную необходимость, всё же остается сложным и дорогостоящим проектом. С другой стороны, впервые в истории отечественной банковской отрасли появляются действительно обязательные отраслевые требования к информационной безопасности, с угрозой не призрачного штрафа, но реального ухудшения отношений с государственным регулятором Банком России. Вплоть до отзыва банковской лицензии.

Выполнение этих требований с применением современного подхода также позволит в перспективе помочь соблюдать законодательство по защите персональных данных. Такая возможность открывается при интеграции требований по информационной безопасности персональных данных в единую целостную систему управления требованиями, позволяя ликвидировать избыточные меры и снизить стоимость владения всей системой мер обеспечения соответствия.

Все это позволяет надеяться не только на краткосрочное улучшение уровня информационной безопасности платежной индустрии и повышение защищенности клиентов, но и на появление мотивации руководства кредитных организаций к инвестициям в информационную безопасность, достижение соответствия требованиям и стабильность банковской системы в целом.