Национальный банк Республики Беларусь разрабатывает проект государственной программы развития системы безналичных расчётов по розничным платежам на 20132015 годы, выполнение которой должно довести их долю от 25 до 50% розничной торговли. Опыт белорусских специалистов по обеспечению информационной безопасности кредитно-финансовой сферы и платёжных систем может быть интересен и полезен для российских коллег.
СТРУКТУРА БАНКОВСКОЙ СИСТЕМЫ
Государственным регулятором, Национальным банком Республики Беларусь, по состоянию на 1 ноября 2012 года зарегистрировано 32 банка. Межбанковские расчёты обеспечивает платёжная система Республики Беларусь – BISS, которая насчитывает 35 участников: все 32 зарегистрированных банка, сам Национальный банк Республики Беларусь, Межгосударственный банк (Москва) и Банк развития Республики Беларусь. Национальной платёжной системой в области банковских пластиковых карт является система «Белкарт».
НОРМАТИВНО-ПРАВОВАЯ БАЗА
Нормативно-правовую базу обеспечения информационной безопасности банков и платёжных систем составляют «Концепция национальной безопасности Республики Беларусь», законы Республики Беларусь «Об информации, информатизации и защите информации», «О государственных секретах», «Об электронном документе и электронной цифровой подписи», а также Указы Президента Республики Беларусь.
Отдельные правовые нормы защиты информации содержатся в Гражданском и Уголовном кодексах РБ, указах Президента РБ, постановлениях Совета Министров РБ (например, в постановлении от 26 мая 2009 года №675 «О некоторых вопросах защиты информации»), а также в руководящих документах Национального банка, нормативных правовых актах министерств и иных республиканских органов государственного управления.
Так, например, законом Республики Беларусь «Об информации, информатизации и защите информации» регулируются общественные отношения, возникающие при обработке, распространении и пользовании информацией, а также создании и использовании информационных технологий, организации и обеспечении защиты информации.
Закон Республики Беларусь «Об электронном документе и электронной цифровой подписи» устанавливает правовые основы применения электронных документов, определяет основные требования, предъявляемые к электронным документам. А также – правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе является равнозначной собственноручной подписи в документе на бумажном носителе.
ТРИ ГРУППЫ СТАНДАРТОВ
Особую часть нормативно-правового обеспечения информационной безопасности составляют технические нормативные правовые акты – стандарты и технические кодексы установившейся практики.
Первая группа стандартов в своей основе – международные стандарты, принятые и используемые в качестве национальных. Это стандарты серии 34.101 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий». Стандарты устанавливают общие подходы к формированию требований и оценке безопасности информационных технологий.
В стандартах определены виды требований безопасности, содержится их систематизированный каталог, а также критерии и уровни оценки безопасности информационных технологий. По этим параметрам оценивается правильность использования средств безопасности и стойкость механизмов защиты.
Вторая группа стандартов нормирует криптографическую защиту информации. Это стандарты СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хеширования», СТБ 1176.2-99 «Информационная технология. Защита информации. Процедуры выработки и проверки электронной цифровой подписи» и другие. Ими руководствуются при разработке средств криптографической защиты для гарантии криптостойкости ЭЦП.
Третья группа - серия стандартов СТБ ISO/IEC 27000, содержащих лучшие практики и рекомендации для создания, развития и эксплуатации систем управления информационной безопасностью (СУИБ) предприятия. Эта серия – белорусские аналоги международных стандартов, определяющих требования к СУИБ, управление рисками, метрики и измерения, а также порядок внедрения. Данные стандарты применимы для всех типов организаций – государственных и некоммерческих организаций, а также для коммерческих предприятий.
Рассмотренная нормативно-правовая база деятельности по обеспечению информационной безопасности является основой построения систем защиты информации. В соответствии с действующими нормами должны разрабатываться и применяться внутренние локальные нормативные правовые акты организаций, регламентирующие вопросы управления информационной безопасностью – регламенты, инструкции, положения.
ЗАЩИТА ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ
Совместным письмом Национального банка Республики Беларусь и Министерства внутренних дел РБ № 33-24/609 от 15 декабря 2011 года и № 14/5115 от 29 декабря 2011 года в банки был направлен Свод рекомендаций по противодействию мошенничеству в области электронных платежей (далее – Рекомендации).
Эти рекомендации были разработаны рабочей группой по противодействию мошенничеству в области электронных платежей, созданной в соответствии с распоряжениями Председателя Правления Национального банка Республики Беларусь № 1056 от 31 декабря 2010 года и № 213 от 25 марта 2011 года. В состав рабочей группы были включены представители Национального банка и других банков Республики Беларусь, Министерства внутренних дел Республики Беларусь, ОАО «Банковский процессинговый центр», ООО «Мастеркард» (Москва), Украинского регионального офиса международной платёжной системы VISA (Киев).
Рекомендации по противодействию мошенничеству в сфере электронных платежей разработаны по следующим направлениям:
организация взаимодействия между банками, процессинговыми центрами и органами Министерства внутренних дел в случае выявления мошенничества с банковскими пластиковыми карточками;
обеспечение безопасного функционирования программно-технической инфраструктуры банков, ОАО БПЦ, ООО «ВЕБ ПЭЙ» и аналогичных организаций, участвующих в обработке интернет-транзакций с использованием банковских пластиковых карточек;
оценка надёжности интернет-магазинов, подключаемых белорусскими банками-эквайерами; т противодействие мошенничеству при совершении расчетов в сети интернет по банковским пластиковым карточкам;
оформление банками документов, позволяющих подтверждать ущерб, причиненный резидентам иностранных государств в результате мошенничества в области интернет-эквайринга на территории Республики Беларусь.
Целями рекомендаций являются:
апробация на практике мероприятий и требований, направленных на предупреждение преступных посягательств;
обеспечение чёткого взаимодействия между банками, организациями и органами Министерства внутренних дел РБ при проведении следственных мероприятий.
Применение рекомендаций в практической деятельности указанных субъектов хозяйствования и органов МВД РБ позволяет накопить опыт, на основе которого совершенствуются действующие и разрабатываются новые отраслевые нормативные правовые акты, в том числе технические.
КОНТРОЛЬ, НАДЗОР И ИНФРАСТРУКТУРА
Функции государственного контроля и надзора за выполнением банками и платёжными системами установленных требований к обеспечению информационной безопасности Банковский кодекс РБ возлагает на Национальный банк Республики Беларусь. Другим государственным регулятором в этой области – использование средств криптографической защиты информации, электронной подписи и защиты персональных данных – является Оперативный аналитический центр при Президенте РБ – ОАЦ (http://oac.gov.by).
Среди объектов контрольно-надзорной деятельности – рынок продуктов и услуг решений для обеспечения информационной безопасности финансовой сферы. В Беларуси он представлен несколькими десятками фирм разной формы собственности, деятельность которых ведётся на основе выданных лицензий. Список фирм, имеющих соответствующие лицензии, представлен на сайте ОАЦ.
Подготовка − обучение и повышение квалификации специалистов в сфере информационной безопасности для кредитно-финансовых организаций и платёжных систем осуществляется главным образом Белорусским государственным университетом и Белорусским государственным университетом информатики и радиоэлектроники
Существует программа обучения по специальностям, связанным с обеспечением информационной безопасности и защитой информации, которая согласована и утверждена Советом Министров РБ. Эта программа достаточно широкая, она включает обучение и подготовку кадров в том числе и для банковской системы. Ряд функций в учебном процессе выполняют фирмы – поставщики продуктов и услуг в области информационной безопасности.
В Республике Беларусь проводятся разнообразные отраслевые деловые мероприятия по тематике информационной безопасности финансового сектора и электронных расчётов. Из последних значимых мероприятий – прошедший 21–22 ноября 2012 года в Минске IX форум «БанкИТ'12» (http://bankit.by), организованный Национальным банком Республики Беларусь, Научно-технологической ассоциацией «Инфопарк» и Ассоциацией белорусских банков.
В форуме приняли участие более 1150 представителей банков, 1Т-компаний, государственных органов и других организаций. Участники представляли Беларусь, Россию, Украину, Казахстан, Армению, Латвию, Литву, Бельгию, Великобританию, Германию и Польшу.
Довольно широкий круг мероприятий проводится совместно с Банком России, в сотрудничестве с органами ЕврАзЭС и Союзного государства.
* * *
В своём выступлении на форуме «БанкИТ'12» Председатель Правления Национального банка РБ Надежда Андреевна Ермакова отметила: «Банковская система Беларуси является лидером по внедрению современных информационных технологий в обслуживании клиентов. 2012 год проходил под девизом расширения сферы применения систем дистанционного банковского обслуживания, в том числе за счёт развития единого расчетного информационного пространства и расширения практики использования безналичных расчетов».