21 февраля, 2013, BIS Journal №1(8)/2013

Уверенно продвигаясь к саморегулированию


Гениевский Павел

Председатель НП «АБИСС» (Некоммерческое партнерство «Сообщество пользователей стандартов по информационной безопасности АБИСС» (НП «АБИСС»))

Проведённая НП «АБИСС» работа и намеченные преобразования позволят строго контролировать качество услуг в области информационной безопасности

В минувшем 2012 году в деятельности Некоммерческого партнерства «Сообщество пользователей стандартов по информационной безопасности АБИСС» (НП «АБИСС») произошло очередное расширение сферы деятельности, связанное со вступлением в силу ряда положений федерального закона ФЗ- 161 «О национальной платёжной системе». Это не стало неожиданностью для членов НП «АБИСС»: мы предвидели изменения и сделали всё, чтобы заранее подготовиться к новым условиям работы.

СФЕРА ДЕЯТЕЛЬНОСТИ И ВЗАИМОДЕЙСТВИЕ С «РЕГУЛЯТОРАМИ»

Перемены были обусловлены, главным образом, изменениями порядка государственного регулирования Банком России деятельности кредитно-финансовых организаций в соответствии с ФЗ-161 «О национальной платёжной системе». Адаптироваться к новым реалиям НП «АБИСС» помог накопленный в последние годы опыт работы в условиях изменяющейся законодательной базы и появления новых отраслевых регуляторов.

Когда в 2006 году по инициативе Банка России организовывалось Сообщество «ABISS», его главной целью было оказание кредитным организациям методологической помощи в обеспечении информационной безопасности, в первую очередь — в выполнении требований отраслевого стандарта, подготовленного Банком России.

Известно, что в период после выхода федерального закона ФЗ-152 «О персональных данных», государственное регулирование вопросов информационной безопасности в кредитных организациях претерпело серьёзные изменения. Кроме Банка России, в нём стали принимать участие и другие ведомства и организации: Роскомнадзор контролирует выполнение ФЗ-152 и защиту субъектов персональных данных, а ФСБ России и ФСТЭК России — использование криптографических и иных технических средств защиты информации.

В связи с этим по инициативе Банка России требования по информационной безопасности были интегрированы и сформулированы в форме входящих в Комплекс стандартов СТО БР ИББС единых требований и рекомендаций, согласованных со всеми ведомствами. Предполагалось, что кредитная организация, выполняя требования этих документов, выполняет требования всех регуляторов.

Указанные изменения потребовали соответствующей реорганизации структуры и принципов работы Сообщества ABISS. В результате Сообщество было преобразовано в Некоммерческое партнёрство «Сообщество пользователей стандартов по информационной безопасности АБИСС» (далее — Партнёрство, либо НП «АБИСС»). Которое в настоящее время является некоммерческой организацией, основанной на принципах добровольного объединения её членов — субъектов предпринимательской и профессиональной деятельности, оказывающих профессиональные услуги в области обеспечения информационной безопасности для кредитных и других организаций — участников национальной платёжной системы Российской Федерации.

Вступившие в силу положения федерального закона ФЗ-161 и Постановления Правительства РФ № 584 от 13 июня 2012 года «Об утверждении Положения о защите информации в платёжной системе» впоследствии были конкретизированы подзаконными нормативно-правовыми актами.

И прежде всего речь идёт о двух основополагающих документах Банка России от 9 июня 2012 года:

  • Положении 382-П, сформулировавшем требования к защите информации при переводах денежных средств и порядок контроля их выполнения;
  • Указании 2831-У, которое определило порядок предоставления соответствующей отчётности.

Кроме того, никто не отменял обязанности кредитных организаций и процессинговых центров, работающих с международными платёжными системами Visa и Master Card, выполнять требования стандарта PCI DSS, которые, как известно, обновляются каждые 3 года.

Учитывая эти обстоятельства, в 2012 году сфера деятельности НП «АБИСС» претерпела очередные корректировки и была существенно расширена, т.к. оказание методологической помощи и поддержки потребовалось уже более широкой аудитории. Не только банкам, но и другим финансовым организациям, в том числе участникам национальной и международной платёжных систем.

ИТОГИ ПРОШЕДШЕГО ГОДА

Основной целью деятельности Партнёрства является объединение его членов для реализации стандартов и правил, направленных на обеспечение информационной безопасности, а также разработка и помощь членам Партнёрства в реализации стандартов и правил предпринимательской деятельности в области обеспечения информационной безопасности. Исходя из этого, деятельность НП «АБИСС» осуществлялась по следующим основным направлениям:

  • создание инфраструктуры, обеспечивающей выполнение членами Партнёрства на высоком профессиональном уровне аудиторской и консультационной деятельности;
  • организация системы и проведение экспертных проверок качества работы членов Партнерства, контроль за соблюдением ими законодательства и установленных требований;
  • организация взаимодействия с органами государственной власти различных уровней и регулирующими организациями;
  • организация подготовки, переподготовки и аттестации профессиональных кадров в сфере стандартов систем информационной безопасности и их аудита.

Весь прошедший год НП «АБИСС» работало над развитием рабочих взаимоотношений и с Банком России, и с другими государственными регуляторами и разработчиками стандартов информационной безопасности, как российскими, так и международными.

В 2012 году Партнёрство принято в состав технического комитета №122 «Стандарты финансовых операций», действующего под эгидой Банка России. Представители Партнёрства стали активными членами профильного подкомитета №1, занимающегося вопросами информационной безопасности. НП «АБИСС» аккредитовано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в качестве экспертной организации, привлекаемой к проведению мероприятий при осуществлении государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства России в области персональных данных, а также выполнения ряда работ, связанных с технической защитой информационных систем персональных данных.

Отлажено взаимодействие с Payment Card Industry Security Standards Council (PCI Council), благодаря которому, стартовала и практически завершена работа по официальному переводу на русский язык стандарта PCI DSS и сопутствующих ему документов. Русский перевод было решено создавать по уже отработанной в PCI Council схеме, как это было сделано при организации аналогичных работ, связанных с переводом стандарта на немецкий, испанский, португальский и другие языки. По заказу Банка России НП «АБИСС» выступило оператором перевода, заключило соответствующий договор, по которому профессиональные переводчики PCI Council осуществили перевод всего пакета документов на русский язык.

К согласованию перевода была привлечена сформированная НП «АБИСС» рабочая группа, в которую с российской стороны вошли ведущие эксперты кредитных организаций, QSA-аудиторы, а также эксперты ТК 122 и «Ассоциации российских членов Европей» (АРЧЕ). На заседании, которое состоялось 11 декабря 2012 года, были рассмотрены результаты экспертизы представленных PCI Council документов, высказаны, обсуждены и сведены воедино замечания к ним, даны предложения по корректировке, которые были направлены в PCI Council. Официальные версии этих документов в ближайшее время появятся на русскоязычной страничке портала PCI Council, которая создается в настоящее время.

В соответствии со стратегией Партнёрства приоритетное внимание уделяется работе с кредитными организациями. Однако, учитывая реалии формирования и развития национальной платёжной системы России, мы открыты не только для кредитных организаций, которым уже помогаем, но и для её новых участников.

Среди достижений прошедшего 2012 года — создание и начало работы специального информационного портала НП «АБИСС».

Данный портал предназначен для проведения оценки соответствия требованиям Положения ЦБ РФ № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» и документирования полученных результатов.

Портал осуществляет методологическую поддержку кредитных и некредитных организаций — участников НПС. Размещены необходимые информационные материалы, также реализована возможность получения консультаций эксперта по вопросам, связанным с Положением №382-П. Это очень популярный сервис нашего портала, и воспользоваться им могут все участники НП «АБИСС», которых на сегодняшний день более полусотни.

Рост количества участников Партнёрства и интерес к сотрудничеству с нами понятен. Кредитным организациям, другим участникам национальной платёжной системы часто приходится сталкиваться с новыми требованиями государственных регуляторов, с различными вопросами их выполнения, поэтому потребность в консультациях специалистов как никогда высока.

НАШИ ПЛАНЫ

Перечисленные мероприятия и порядок работы НП «АБИСС», на наш взгляд, создают предпосылки преобразования Некоммерческого партнерства в саморегулируемую организацию — (СРО). Такое преобразование, несомненно, будет способствовать дальнейшему улучшению качества осуществляемых членами партнерства работ, повысит их ответственность перед заказчиками профессиональных услуг, а также государственными контролирующими и регулирующими органами.

Таким образом, сегодняшние перспективы НП «АБИСС» — приобретение статуса саморегулируемой организации. СРО по существу можно сравнить с европейскими цехами, объединяющими работников одной профессии. Обычаи и традиции каждого цеха требовали от его членов конкретных профессиональных знаний и умений, соблюдения профессиональных и этических норм. Цех самостоятельно вырабатывал требования к профессиональной деятельности (регулирование) и осуществлял надзор за выполнением этих требований (контроль), чтобы никто не испортил репутацию мастера, члена цеха перед клиентами. Также цех защищал права своих членов перед другими субъектами экономики и государством. Эти функции, но на несколько другом уровне, может выполнять СРО.

Один из основных признаков СРО — единство отрасли производства или профессиональной деятельности определённого вида, т.е. все члены СРО должны осуществлять предпринимательскую и (или) профессиональную деятельность одного определённого вида.

В перспективе мы видим себя как аналогичную саморегулируемую организацию в области предоставления услуг по информационной безопасности, объединяющую субъектов предпринимательской деятельности. НП «АБИСС» последовательно выполняет требования к СРО, предусмотренные федеральным законом Ф3-315 «О саморегулируемых организациях».

Первым специальным требованием к СРО является наличие минимального количества её членов — не менее 25 субъектов предпринимательской деятельности или не менее 100 субъектов профессиональной деятельности.

Вторым обязательным требованием к СРО являются принятые в строго легитимном порядке и в установленной федеральным законодательством и внутренними нормативными актами форме обязательные стандарты и правила предпринимательской и профессиональной деятельности. Под ними понимаются требования к осуществлению предпринимательской или профессиональной деятельности, обязательные для выполнения всеми членами будущей СРО.

Третьим требованием является наличие дополнительной имущественной ответственности СРО, что обеспечивается наличием компенсационного фонда СРО и коллективного либо индивидуального страхования ответственности членов СРО.

Ряд предъявляемых требований уже успешно реализован. Кроме того, создан Комитет по контролю качества, который является специализированным органом. Комитет осуществляет контроль за соблюдением членами Некоммерческого партнерства, а в дальнейшем и СРО, требований стандартов и правил предпринимательской деятельности, а также осуществляет рассмотрение дел о применении к нарушителям мер дисциплинарного воздействия.

Следует отметить, что строгая система контроля качества, действуя в соответствии с передовой мировой практикой, гарантирует соответствие стандартам работ, выполняемых организациями- участниками. Такой контроль осуществляется, в частности, глобальным форумом PCI Council в отношении квалифицированных аудиторов участников международных платёжных систем по стандарту PCI DSS. Также — национальными государственными органами аккредитации профессиональных участников рынка услуг в области информационной безопасности (например, UKAS в Великобритании), осуществляющими аудит выполнения требований международного стандарта ISO 27001.

Таким образом, существует либо прямой государственный контроль качества услуг, либо через саморегулируемые организации. Для регистрации в качестве СРО НП «АБИСС» необходимо получить свидетельство или выписку из реестра СРО профильного ведомства, подтверждающую соответствие требованиям ФЗ-315.

До сих пор в России был только контроль со стороны государства через лицензирование за техническими аспектами защиты информации. Прецедентов саморегулирования услуг в сфере менеджмента систем информационной безопасности не было. Контроль и надзор за качеством предоставления таких услуг не входят в сферу ответственности какого-либо одного государственного органа. Этот вопрос требует дополнительной проработки и обсуждения как среди членов Партнерства, так и с заинтересованными федеральными органами исполнительной власти.

Осенью 2012 года Президент Российской Федерации В.В. Путин отмечал важность использования механизмов саморегулирования в различных отраслях. Передача государственными органами ряда функций саморегулируемым организациям позволяет повышать эффективность работы отрасли, одновременно экономя бюджетные деньги. Мы считаем, что использование саморегулирования в области оказания услуг по обеспечению информационной безопасности также продемонстрирует свою высокую эффективность.