Как Cisco помогает выполнить новые требования Банка России по безопасности

Последняя неделя ознаменовалась выпуском целой серии новых нормативных актов под авторством Банка России и посвященных одной теме — Национальной платежной системе (НПС).  НПС, согласно ФЗ-161 «О национальной платежной системе», — это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы). Иными словами, все существующие в России банки, владельцы систем электронных платежей, операторы мобильной связи, почтовые отделения и многие другие являются участниками НПС и на них распространяются требования ФЗ-161.

А закон этот гласит: «Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации» (ст.27). Дополнительно «операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными» с ФСТЭК России и ФСБ России.

Что же это за требования и где они определены? Первым документом, определяющим на верхнем уровне, как должна защищаться информация в рамках НПС, явилось Постановление Правительства от 13 июня 2012 года №584 «Об утверждении Положения о защите информации в платежной системе». В этом документе определяются самые общие положения о том, как должна строиться система защиты в платежных системах. Детальные требования, дифференцированные в зависимости от роли участника НПС (оператор платежной системы, оператор по переводу денежных средств, платежный агент и т.д.), описаны в двух других обязательных к применению нормативных актах, вступающих в силу с 1-го июля 2012 года:

  • Положении Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
  • Указании Банка России от 9 июня 2012 года №2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Дополнительно, вопросы надзора за соблюдением указанных, а также иных требований, описаны еще в двух положениях Банка России:

  • Положение Банка России от 31 мая 2012 года № 380-П «О порядке осуществления наблюдения в национальной платежной системе»
  • Положение Банка России от 9 июня 2012 года № 381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе», принятых в соответствие с ним нормативных актов Банка России».

Эксперты компании Cisco принимали участие в разработке некоторых из указанных нормативных актов, в связи с чем мы можем сообщить следующее. Все существующие решения Cisco в области информационной безопасности могут быть использованы для достижения целей, указанных в положениях Банка России. В первую очередь речь идет о межсетевых экранах Cisco ASA и Cisco IOS Firewall, системах предотвращения вторжения Cisco IPS и Cisco IOS IPS, системах защиты электронной почты и Web-трафика Cisco IronPort E-mail Security Appliance и Cisco IronPort Web Secuity Appliance, а также все наши VPN-решения и особенно сертифицированный в ФСБ модуль шифрования NME-RVPN, разработанный совместно с компанией С-Терра СиЭсПи.

Однако помимо реализации технических требований, новые нормативные документы Банка России определяют и большое количество организационных мер, которые должны быть реализованы участниками Национальной платежной системы. Это и разграничение прав доступа, и управление инцидентами, и ежемесячное уведомление Банка России о произошедщих инцидентах, и информирование клиентов о новых рисках и способах их снижения, и формирование службы обеспечения ИБ (включая назначение куратора вопросов ИБ в топ-менеджменте компании), и повышение осведомленности персонала, и т.д.

Только комбинация организационных и технических мер позволит обеспечить стабильность, надежность, устойчивость и бесперебойность функционирования национальной платежной системы и ее развитие. А решения компании Cisco помогут решить часть из поставленных новой нормативной базой задач!

ЗЫ. 27 июня мы проводим онлайн-семинар, посвященный именно этому вопросу.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s