Работа по актуализации нормативно-правовой базы обеспечения информационный безопасности банков, платёжных систем и других организаций кредитно-финансовой сферы является одним из главных направлений деятельности Банка России. Каких изменений следует ожидать в ближайшее время участникам отрасли? Об этом говорилось, в частности, на конференции «Информационная безопасность платежных систем. PCI DSS Russia 2016», летней сессии Уральского форума, проведенной 1 июня в Москве.
Изменения предстоят на трёх уровнях – в федеральном законодательстве, в системе стандартизации и в регулирующих документах Банка России. Все готовящиеся нововведения направлены на решение назревшей проблематики, повышение уровня информационной безопасности кредитно-финансовой отрасли, включая клиентские сервисы.
ИЗМЕНЕНИЯ ФЕДЕРАЛЬНОГО ЗАКОНОДАТЕЛЬСТВА
На уровне федерального законодательства в ближайшие два года предстоит обновление некоторых позиций ФЗ-161 от 27 июня 2011 года «О национальной платёжной системе». Будут уточнены возможности приостановки сомнительных платежей и возврата денежных средств, санкцию на перевод которых клиент оспорил.
Второе изменение в ФЗ-161 – детализация условий применения систем антифрода. Речь идёт не о предоставлении кредитным организациям каких-то дополнительных прав. Просто в федеральном законодательстве будет создана правовая база обязательного использования уже отработанных на практике и показавших высокую результативность механизмов противодействия мошенничествам в сфере электронных платежей.
Будет сформулировано определение систем автоматизированного анализа платёжных поручений и транзакций. Использование систем антифрода превратится для кредитных организаций в обязанность. Подразумевается выработка, на основании анализа, критериев признания сомнительными платёжных поручений и транзакций, а также алгоритмов действий в подобных случаях. Средством проверки подлинности является взаимодействие с клиентом для получения от него дополнительных подтверждений.
Второе изменение в ФЗ-161 должно позволить кредитным организациям создать сервис обмена информацией, который минимизировал бы возможности мошенничеств в сфере электронных платежей. Сотрудники подразделений информационной безопасности банков неоднократно указывали на действующие нормы, которые препятствуют легальному осуществлению такой деятельности. Например, межбанковскому обмену информацией о так называемых дропах – важных участников «цепочек» вывода похищенных денежных средств. Чтобы устранить этот правовой пробел, в ФЗ-161 будут внесены соответствующие изменения.
Далее, возможности межбанковского обмена информацией, связанной с мошенничествами, будут конкретизированы в нормативных документах Банка России. Эти полномочия будут предоставлены главному отраслевому государственному регулятору готовящимися изменениями в Федеральный закон от 10 июля 2002 года №86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
Как известно, федеральное законодательство ограничивает полномочия Банка России регулировать защиту информации сферой переводов денежных средств субъектами национальной платёжной системы. Практика поставила вопрос о расширении государственного регулирования информационной безопасности на другие типы организаций кредитно-финансовой сферы и на прочие виды их деятельности. Проекты необходимых для этого изменений в федеральном законодательстве подготовлены, проходят согласования и готовятся к принятию.
Ещё одним важным фактором обновления регулирующей нормативной деятельности Банка России является Федеральный закон от 29 июня 2015 года № 162-ФЗ «О стандартизации в Российской Федерации», который вступает в силу в ближайшее времяуже вступил в силу. Появляется Благодаря ему появилась возможность в ведомственных нормативных актах делать ссылки на национальные стандарты, вменяя обязательное выполнение их рекомендательных положений.
ОБНОВЛЕНИЕ ПРИНЦИПОВ СТАНДАРТИЗАЦИИ
Какие перемены обусловливают эти новые обстоятельства? В настоящее время действует отраслевой комплекс стандартов обеспечения информационной безопасности Банка России ? СТО БР ИББС. Пока это стандарт организации (СТО), но ведётся активная работа по его переработке, для придания статуса национального стандарта.
Предполагается, что проект национального стандарта обеспечения информационной безопасности будет выложен для публичного ознакомления к концу этого лета. Этот документ в определенной перспективе заменит соответствующие отраслевые стандарты, действующие в настоящее время. Только он будет содержать более конкретный набор требований, связанный с системами защиты информации. И будет распространяться на деятельность как кредитных, так и не кредитных финансовых организаций.
Новый национальный стандарт сам по себе будет иметь рекомендательный характер, но Банк России своими нормативными документами может сделать его обязательным для подведомственных организаций. Соответствующим образом будет скорректирована нормативная база Банка России, в первую очередь Положение 382-П. Подготовительная работа идёт полным ходом.
В перспективе все требования, связанные с применением организационных способов и технических методов защиты информации деятельности кредитно-финансовых организаций, будут сведены в национальный ГОСТ – государственный стандарт. В нормативных актах Банка России планируется оставить только требования к организационным вопросам создания и функционирования системы защиты информации. А также к экономическим мерам, обеспечивающим безопасность банковских технологий и бизнес-процессов.
В частности, будут изменены нормы, содержащиеся в Положении Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за над соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». В этом документе планируется оставить технологические меры и правила защиты информации при осуществлении переводов денежных средств. А нормы обеспечения безопасности платёжных систем всех типов должны будут формулироваться уже на уровне национальных стандартов.
РАЗВИТИЕ ВЕДОМСТВЕННОЙ НОРМАТИВНОЙ БАЗЫ
Какие ещё нормы информационной безопасности для кредитно-финансовой сферы будут задаваться национальными стандартами? Будут разработаны эффективные оценки соответствия заданным нормам, ? в более отдалённой перспективе, в 2017 – 2018 годах. Система оценки соответствия будут включать организацию контроля соблюдения требований, распространяясь как на кредитные, так и на не кредитные финансовые организации. После соответствующих изменений в нормативных актах Банка России результаты оценки соответствия смогут использоваться в ходе проведения мероприятий по контролю обеспечения безопасности указанными организациями.
Подытоживая, можно так описать будущий порядок оценки соответствия. Национальные стандарты будут устанавливать технические нормы обеспечения информационной безопасности организациями кредитно-финансовой сферы. Нормативными документами Банка России эти нормы будут для подведомственных организаций превращены в обязательные к принятию. Далее, будет разработана система оценки соответствия деятельности отраслевых организаций этим требованиям. Согласно установленному порядку внешние исполнители станут проводить эту оценку соответствия кредитными и не кредитными финансовыми организациями. Результаты такой оценки будут учитываться при осуществлении государственными регулирующими органами надзорных мероприятий.
Срок осуществления перечисленных преобразований отраслевой нормативно-правовой базы − в перспективе до 2018 года. Этапы таковы. Разработка национальных стандартов должна быть проведена в этом, 2016 году. Создание систему системы оценки, программы мониторинга и контроля соответствия национальным стандартам запланировано на следующий, 2017-й год. Параллельно должны быть расширены полномочия Банка России по регулированию различных видов деятельности не кредитныхнекредитных финансовых организаций, вВключая подготовку нормативных документов, в том числе обязывающих применения положения определённых национальных стандартов.
Среди ближайших целей − разработка национального стандарта обеспечения информационной безопасности, применимого к кредитно-финансовой сфере. В качестве основы используются действующие документы стандартизации, разработанные Банком России. В первую очередь, документы, регламентирующие обеспечение функциональной безопасности на протяжении жизненного цикла. К участию в этой работе приглашаются широкий круг экспертов информационной безопасности кредитно-финансовых организаций, инициатива только приветствуется.
Также в самом скором времени должны быть внесён ряд изменений в Положение №382-П, нацеленных на улучшение защищённости автоматизированных систем, банковских, платёжных и используемых для переводов денежных средств, расширение использования безопасных технологий. Для повышения уровня безопасности планируется обязать операторов переводов проводить оценку защищенности IT-инфраструктуры автоматизированных систем, включая программное обеспечение. Будет прописано проведение контрольных мероприятий. Таковы основные изменения нормативной базебазы, которые запланированы на ближайшее время.