История возникновения законодательства о Национальной платежной системе (далее – НПС) покрыта мраком, и существует немало версий его появления. Кто-то утверждает, что это развитие законопроекта о Национальной системе платежных карт, который лоббировался, но неудачно, нашими силовиками. Последние якобы озабочены тем, что данные о транзакциях российских граждан, осуществляющих покупки по платежным картам, уходят за границу – в процессинговые центры Visa и MasterCard, которые могут и заблокировать все транзакции. А это уже составляет угрозу национальной безопасности. Кто-то считает, что речь идет о логическом развитии действующего законодательства по безналичным переводам денежных средств. А иные твердят, что власти решили взять под контроль переводы электронных денежных средств (системы WebMoney, Contact, «Яндекс.Деньги», QIWI и т. п.), которые раньше находились вне системы регулирования. Истина, как водится, где-то посередине. Однако сейчас не так важно, что послужило причиной появления Федерального закона №161 «О Национальной платежной системе» (далее – ФЗ-161). Интересно, как повлиял этот документ и выпущенные подзаконные акты на информационную безопасность.
Участники НПС
ФЗ-161 перечисляет немало ролей участников НПС, и на большинство из них распространяются требования по защите информации при переводе денежных средств (как традиционных безналичных, так и электронных). Исключение составляют только организации федеральной почтовой связи. Все остальные – операторы по переводу денежных средств (банки), банковские платежные агенты и субагенты (распространители предоплаченных платежных карт, кредитные брокеры, кредитные кооперативы, компании, осуществляющие переводы денежных средств физлиц и привлекаемые для этой задачи банками, и т. д.), операторы услуг платежной инфраструктуры (операционные, расчетные и клиринговые центры), а также операторы платежных систем – обязаны выполнять разработанные и вступившие с 1 июля 2012 года нормативы.
К настоящему моменту таких нормативов выпущено немало, и все они были разработаны во исполнение 27-й статьи ФЗ-161, которая называется «Защита информации». В ней сказано, что требования к защите информации в НПС устанавливает, наряду с Банком России, Правительство России, а контроль и надзор за исполнением требований осуществляют Банк России, ФСТЭК и ФСБ в пределах своих полномочий.
Правительство, исполнив федеральный закон, выпустило 13 июня 2012 года Постановление № 584 «Об утверждении положения о защите информации в платежной системе». Этот правоустанавливающий документ перечисляет основные требования к защите информации, персональных данных и иных сведений, обрабатываемых операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе. Документ определяет 10 требований, которые должны быть реализованы упомянутыми выше участниками НПС. В отличие от правительства, ни ФСТЭК, ни ФСБ пока не планируют разрабатывать документы во исполнение закона и правительственного постановления.
Правительством рассматривается вопрос о разработке новых документов. Они должны прояснить порядок применения уже разработанных требований и сформировать правила для тех форм безналичных денежных расчетов, которые пока не столь успешно закрываются действующими нормативными актами. Речь в первую очередь идет о различных формах электронных денежных средств.
Помимо правительства и Банка России на ниве разработки документов по информационной безопасности подвизались и другие известные организации. В частности, в июле 2012 года некоммерческое партнерство «Национальный платежный совет» вместе с Ассоциацией российских банков выпустили методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания (ДБО), использующих электронные устройства клиента. Наряду с ними российская компания Group-IB, занимающаяся расследованием компьютерных инцидентов, также выпустила свою инструкцию по реагированию на инциденты, связанные с системами ДБО.
Документы Банка России
Основными документами по защите информации в платежных системах сейчас являются: Положение Банка России от 9 июня 2012 года № 382-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления контроля за соблюдением этих требований, а также связанное с этим положением, Указание Банка России № 2831-У о соответствующей отчетности по обеспечению защиты информации.
Первый документ, основанный на комплексе стандартов Банка России в области обеспечения информационной безопасности организаций банковской системы РФ (далее — СТО БР ИББС), включает в себя 129 требований по защите, разбитых на 15 блоков, касающихся как технических защитных мер (межсетевые экраны, аутентификация, разграничение доступа, электронная подпись, и т. д.), так и организационно-процессных (управление инцидентами, организация службы ИБ, оценка выполнения требований, информирование участников платежной системы об инцидентах, и т.д.).
Указание 2831-У обязывает участников НПС регулярно информировать Банк России об уровне своего соответствия требованиям 382-П (форма отчетности 0403202), а также о выявленных инцидентах, связанных с нарушением требований по защите информации при осуществлении денежных переводов (форма отчетности 0403203). По форме отчетности 0403202 частота информирования устанавливается один раз в два года, а по форме 0403203 – ежемесячно.
Появившись чуть больше двух месяцев назад, эти два нормативных акта заложили фундамент для будущего регулирования информационной безопасности банковской среды (в первую очередь). В отличие от СТО БР ИББС, требования документа 382-П носят обязательный характер и предусматривают не только регулярный надзор со стороны Банка России, но и наказание за невыполнение указанных требований. Именно вокруг 382-П и 2831-У будет строиться вся будущая нормативная база Банка России в области информационной безопасности. Согласно не раз озвученным планам, сам Банк России к сфере своего регулирования в рамках НПС относит не только традиционную деятельность банков на основе корреспондентских отношений, но и системы трансграничных переводов, использование платежных карт, мобильные платежи и другие формы электронных денежных расчетов, банкоматы и платежные терминалы. Для всех этих направлений пока отдельных требований по защите информации нет. Да и то, что есть, находится в начале своего развития.
Требования операторов платежных систем
Кстати, насчет других наборов требований. Как это ни странно, но их может быть больше одного, указанного в документе 382-П. Их может быть и пять, и десять, и даже двадцать. Все зависит от числа платежных систем, к которым подключается участник НПС, чтобы предложить своим клиентам различные способы перевода денежных средств. Это могут быть «Анелик», Contact, Western Union, «Юнистрим», WebMoney, «Яндекс.Деньги» и т. д. А еще есть Visa и MasterCard. Всего же Центробанк выделяет около сотни отечественных и зарубежных платежных систем, действующих в России. Но этим число платежных систем не ограничивается. Согласно Указанию Банка России №2814-У, если объем переводов денежных средств, осуществляемых в течение трех месяцев подряд между банковскими счетами не менее трех операторов по переводу денежных средств, превышает 1,5 млрд руб., то оператор по переводу денежных средств (то есть банк), у которого открыты эти банковские счета, обязан направить в Банк России заявления о регистрации себя в качестве оператора платежной системы. Сложно представить, сколько будет зарегистрировано таких банков, но уже сейчас можно сказать точно – ограничиться только одной-двумя платежными системами среднестатистический банк не сможет.
А если так, то согласно пунктам 2.13, 2.14 и 2.16 в 382-П оператор платежной системы может устанавливать свои требования по защите информации и, в частности, по управлению инцидентами, по отчетности, по информированию, по порядку защиты и т. д. И все это помимо обязательных требований Положения 382-П. Очевидно, что такие требования со стороны операторов платежных систем вряд ли будут сильно отличаться от того, что написано в 382-П или СТО БР ИББС, но все-таки это будет отдельный набор требований, которые должен соблюдать банк – участник платежной системы. И чем большем систем, в которых он участвует, тем больше наборов таких требований у него будет. Как минимум, уже сейчас надо готовиться к тому, что придется ежемесячно направлять отчетность об инцидентах не только в Банк России согласно указанию 2831-У, но и каждому оператору платежной системы. К сожалению, приходится признать, что бюрократическая нагрузка на службы информационной безопасности банков только возрастет и реальная безопасность будет подменяться бумажными отписками.
В качестве примера отдельного набора требований, которые может установить оператор платежной системы, можно назвать стандарт PCI DSS, разработанный платежными системами Visa, MasterCard и продвигаемый советом PCI Security Standard Council. В этом стандарте нет каких-то особых требований, которые бы делали его несовместимым с 382-П или СТО БР ИББС, но есть там и требования, которые либо отсутствуют в 382-П (например, в части защиты беспроводных технологий или виртуализованных сред), либо допускают двойное толкование. Рассмотрим, например, вопрос применения шифровальных средств для защиты данных владельцев платежных карт. В PCI DSS требований к применяемым алгоритмам не установлено (кроме того, что это должна быть стойкая криптография), и многие банки применяют международный стандарт шифрования AES. В то же время, согласно требованиям российских регуляторов (как минимум, ФСБ), система криптографической защиты информации должна быть сертифицированной, а значит, она не может использовать иностранные криптоалгоритмы. И как быть в такой ситуации банкам, уже инвестировавшим немалые средства в построение системы шифрования на базе иностранной криптографии, пока непонятно.
В заключение
Тема шифрования – не единственная в череде вопросов, которые пока остаются без ответа, когда речь заходит о регулировании безопасности в НПС. Среди других:
- Как защищать персональные данные при оказании услуг по переводу денежных средств – по 382-П или на основе подзаконных актов к ФЗ «О персональных данных»?
- Как выполнять требования 382-П при осуществлении мобильных платежей, в которых помимо применения новых технологий появляются совершенно новые роли участников платежной системы (например, Trusted Service Manager в технологии NFC)?
- Должна ли организация, проводящая контроль выполнения требований по защите НПС, иметь лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации? Положение 382-П и Постановление Правительства №584 явно противоречат друг другу в этом пункте.
- Как реализовать требование наличия службы информационной безопасности в каждом филиале банка? Это не только очень накладно, но и зачастую просто физически невыполнимо.
- Надо ли использовать средства защиты информации, прошедшие оценку соответствия, если по 382-П это не требуется, а по закону «О персональных данных» является обязательным условием?
- Как часто и в какой форме информировать клиентов об угрозах и рекомендациях по противодействию им?
- Как защищать системы дистанционного банковского обслуживания, если они используют и несертифицированные средства шифрования, и не ввезенные через таможенную границу РФ, а просто загруженные из Интернета (тот же OpenSSL)?
- О каких инцидентах информировать Банк России в рамках формы отчетности 0403203?
- Какова судьба СТО БР ИББС в контексте появления Положения 382-П?
И это только часть тех вопросов, которыми уже задаются банки, начинающие реализовывать требования нормативных актов, разработанных во исполнение ФЗ «О национальной платежной системе». В заключение хочется отметить, что мы сейчас находимся в самом начале пути. Это касается и разработчиков нормативной базы и ее исполнителей. Будут появляться новые требования; разъяснения получат уже выпущенные регламенты; будут уточняться формы отчетности. Будут вноситься изменения и в сам ФЗ-161 и в отдельные разделы Гражданского кодекса, связанные с обязанностью банка незамедлительно возмещать клиентам деньги, украденные с их счетов. Эта тема особая и требует отдельного рассмотрения, так как если она не будет эффективно проработана, то банки столкнутся с колоссальным ростом случаев мошенничества и вынуждены будут для снижения своих рисков и издержек либо уменьшить число сделок с клиентами, либо поднять ставки кредитования и обслуживания своих банковских продуктов. Положительно на экономику страны и социальную атмосферу в обществе это вряд ли повлияет.
Алексей Лукацкий, бизнес-консультант по безопасности Cisco, участник рабочей группы Банка России по разработке СТО БР ИББС и Положения 382-П, участник Подкомитета № 1 «Защита информации в кредитно-финансовой сфере» Технического комитета № 122 «Стандартизация финансовых услуг», участник Технического комитета № 362 «Защита информации», член Консультативного совета при Роскомнадзоре по защите прав субъектов персональных данных
Только факты
ФЗ-161 перечисляет немало ролей участников НПС, и на большинство из них распространяются требования по защите информации при переводе денежных средств (как традиционных безналичных, так и электронных). Исключение составляют только организации федеральной почтовой связи. Все остальные — операторы по переводу денежных средств (банки), банковские платежные агенты и субагенты (распространители предоплаченных платежных карт, кредитные брокеры, кредитные кооперативы, компании, осуществляющие переводы денежных средств физлиц и привлекаемые для этой задачи банками, и т. д.), операторы услуг платежной инфраструктуры, а также операторы платежных систем — обязаны выполнять разработанные и вступившие в силу с 1 июля 2012 года нормативы.
Основными документами по защите информации в платежных системах сейчас являются: Положение Банка России от 9 июня 2012 года № 382-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления контроля за соблюдением этих требований.
129 требований по защите информации объединяются в 15 блоков
1) Назначение и распределение прав и обязанностей.2) Этапы жизненного цикла объектов инфомационной инфрастуктуры.
3) Доступ к объектам инфраструктуры.4) Защита от несанкционированного доступа.
5) Защита от вредоносного кода.6) Защита при использовании Интернет.
7) Применение СКЗИ.8) Контроль выполнения технологии обработки защищаемой информации.
9) Организация и функционирование подразделения ИБ.10) Повышение осведомленности работников.
11) Выявление инцидентов и реагирование на них.12) Реализация порядка обеспечения защиты информации.
13) Оценка выполнения требований.14) Информирование оператора платежной системы ее участниками об ОЗИ.
15) Совершенствование инфраструктуры защиты.