При этом большинство организаций, подпадающих под действие закона, до сих пор находятся в затруднительном положении. Они не совсем понимают, что делать с новыми требованиями и как им соответствовать. Данная статья поможет получить представление о сложившейся ситуации в национальной платежной системе (далее – НПС), о требованиях ФЗ-161 и сопутствующих документах с точки зрения информационной безопасности. Представленная информация будет интересна специалистам по информационной безопасности, руководителям организаций, юристам и другим заинтересованным лицам.

При формировании требований к национальной платежной системе ставятся вполне определенные цели. Предполагается произвести унификацию безналичных денежных переводов. Теперь такие разные системы обращения денежных средств как Яндекс Деньги, MasterCard или WebMoney будут подчиняться одинаковым требованиям. Закон определяет регуляторов, которые будут контролировать образовавшуюся национальную платежную систему. Эти же регуляторы будут проверять выполнение требований по информационной безопасности.

Регуляторы

Устанавливаются три регулятора, согласно ст. 27 ФЗ-161:

  • Банк России в лице трех подразделений:
- Департамент регулирования расчетов (далее – ДРР);
- Главное управление безопасности и защиты информации (далее – ГУБиЗИ);
- Департамент банковского надзора (далее – ДБН);
  • Федеральная служба по техническому и экспортному контролю России (далее – ФСТЭК России);
  • Федеральная служба безопасности России (далее – ФСБ России).

Предполагается, что ДРР и ГУБиЗИ будут заниматься нормотворческой деятельностью, а инспекционные проверки (плановые и внеплановые) будет проводить ДБН. Нормативные документы Банка России согласуются с федеральными органами исполнительной власти, этим пока и ограничивается роль ФСТЭК России и ФСБ России.

Участники НПС

Рассмотрим основных участников НПС, введенных в ФЗ-161. Они представлены ниже (см. Табл. 1).

Табл. 1. Участники НПС

Участник НПС

Определение

Пример

Оператор платежной системы

Определяет правила платежной системы (далее – ПС), организовывает и осуществляет контроль их соблюдения участниками платежной системы, а также выполняет иные обязанности согласно ФЗ

• VISA (ООО «Платежная система «Виза»);

• MasterCard (ООО «МастерКард»);

• WESTERN UNION (ООО «НКО «Вестерн Юнион ДП Восток»).

Оператор услуг платежной инфраструктуры

операционный центр (обмен платежными поручениями между участниками ПС);

платежный клиринговый центр (сверка расчетов между участниками ПС и вывод о достаточности денежных средств плательщика для совершения расчетов);

расчетный центр (расчет между участниками ПС)

• Visa International Service Association (Операционный центр);

• ООО «Платежная система «Виза» (Клиринговый центр);

• ОАО Банк ВТБ (Расчетный центр).

Оператор по переводу денежных средств

Осуществляет перевод денежных средств

• Банк России;

• Кредитные организации (Банки);

• Внешэкономбанк.

Оператор электронных денежных средств

Осуществляет перевод электронных денежных средств без открытия банковского счета

• ООО НКО «Яндекс.Деньги» ;

• ОАО «АЛЬФА-БАНК»;

• ООО НКО «Деньги.Мэйл.Ру».

Банковский платежный агент (субагент)

Некредитная организация, которая привлекается кредитной организацией в целях осуществления определенных видов услуг (согласно ФЗ)

• ОАО «Мегафон» (SMS);

• QIWI (Платежный терминал);

• Unisel (POS-терминал);

• Google Wallet (Приложение на телефоне).

Определения, данные в ФЗ-161, без особых проблем позволяют организации найти свою роль в рамках национальной платежной системы.

Законодательство

ФЗ-161 «О национальной платежной системе»

Нормативную документацию, регулирующую национальную платежную систему, стоит начать рассматривать с ФЗ-161. В нем акцентируется внимание на необходимости защиты информации и обеспечении бесперебойности функционирования платежной системы. В самом законе, с точки зрения информационной безопасности, нас интересуют следующие статьи (см. Табл. 2).

Табл. 2. Статьи ФЗ-161

Статья ФЗ-161

Что устанавливает

Статья 26. Обеспечение банковской тайны в платежной системе

Декларируется необходимость защиты банковской тайны участниками НПС.

Статья 27. Обеспечение защиты информации в платежной системе

Определяются органы государственной власти, которые будут устанавливать требования к защищаемой информации и осуществлять контроль и надзор за выполнением требований

Статья 28. Система управления рисками в платежной системе

Акцентирует внимание на том, что система защиты информации должна использовать риск-ориентированный подход. Определяются основные направления при построении системы управления рисками, которая позволит снизить вероятность возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы.

Статья 32. Осуществление надзора в национальной платежной системе

Закрепляет за Банком России право проведения инспекционных проверок, а также определения форм и сроков предоставления отчетности, касающихся, в том числе, информационной безопасности.

Статья 34. Действия и меры принуждения, применяемые Банком России в случае нарушения поднадзорной организацией требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России

Определяет полномочия Банка России в отношении поднадзорных организаций, нарушающих требования ФЗ или нормативных документов Банка России.

Подзаконные акты

На основании ФЗ-161 различные подзаконные акты устанавливают требования к информационной безопасности, а так же средства и методы защиты информации.

Постановление Правительства РФ №584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе» устанавливает требования к защите информации, подлежащей обязательной защите, в том числе персональных данных. Описывается ряд организационных и технических мер, направленных на защиту конфиденциальности, целостности и доступности защищаемой информации.

Банк России так же выпустил ряд документов, в которых детально описаны требования к защите информации в НПС.

Среди них выделяется Положение 382-П ("Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (утв. Банком России 09.06.2012 №382-П), содержащее перечень требований по ИБ, предъявляемых к участникам НПС. Документ содержит 129 требований, разбитых по ролям, выполняемым в платежной системе (см. Рис. 1). Больше всего требований предъявляется к операторам по переводу денежных средств и операторам услуг платежной инфраструктуры. На оператора платежной системы в основном возлагаются организационные обязанности.

Также выделяется перечень информации, подлежащей защите. Стоит заметить, что он включает в себя виды информации, составляющие банковскую тайну согласно ст. 857 ГК РФ. Таким образом, соответствие Положению 382-П помогает выполнять и требования ст. 26 ФЗ-161 «Обеспечение банковской тайны в платежной системе» (см. Рис. 1).

Рис. 1. Распределение требований по типам субъектов НПС

В ходе прочтения ФЗ-161 часто встречаются упоминания о бесперебойности функционирования платежной системы. Для ее обеспечения необходимо построить систему управления рисками согласно ст. 28. Банк России свои требования к бесперебойности изложил в Положении 379-П («Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах» (утв. Банком России 31.05.2012 № 379-П)). В нем предъявляются требования к оператору платежной системы, который, самостоятельно или совместно с другими участниками, должен выработать политику управления рисками в ПС, распространить ее на всех участников платежной системы и контролировать ее исполнение.

Банк России будет осуществлять наблюдение и надзор в порядке, установленном в двух документах:

  • «Положение о порядке осуществления наблюдения в национальной платежной системе» (утв. Банком России 31.05.2012 № 380-П) (далее – Положение 380-П);
  • «Положение о порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России» (утв. Банком России 09.06.2012 № 381-П) (далее – Положение 381-П).

Согласно Положению 380-П, Банк России осуществляет наблюдение за деятельностью участников НПС, за оказываемыми ими услугами, а также за развитием платежных систем и платежной инфраструктуры.

Положение 381-П устанавливает порядок надзора над операторами платежных систем и операторами услуг платежной инфраструктуры, не являющимися кредитными организациями. Согласно данному положению, деятельность Банка России по надзору включает в себя:

  • Дистанционный надзор;
  • Проведение инспекционных проверок;
  • Применение действий и мер в случае нарушения поднадзорной организации требований ФЗ-161.

В рамках надзора участники НПС должны отправлять периодическую отчетность в Банк России (см. Табл. 3).

Табл. 3. Перечень периодической отчетности

Основание

Содержание

Период отправки

Указание 2831-У

Сведения о выполнение требований Положения 382-П.

Раз в два года.

Сведения об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Каждый месяц.

Указание 2926-У

Сведения о несанкционированных операциях, совершенных с использованием платежных карт.

От одного до шести месяцев, в зависимости от типа организации.

Сведения о деятельности кредитной организации, связанной с переводом электронных денежных средств.

Информация о банкоматах и платежных терминалах кредитной организации, предназначенных для оказания платежных услуг.

Стоит отметить, что практика отправки отчетов в Банк России еще только формируется. Ведь если отчетность по Указанию 2831-У отправляется с августа 2012 года, то Указание 2926-У только недавно вступило в силу. Это говорит о том, что существующие формы еще будут дорабатываться, а новые – вводиться.

Ответственность

Рассмотрим более подробно вопрос ответственности участников платежных систем. Какие действия и меры принуждения может применить к ним Банк России в случае нарушения требований ФЗ и нормативных актов Банка России? На этот вопрос отвечает ст. 34 ФЗ-161, которая определяет два типа нарушений. Первый тип нарушений непосредственно не влияет на бесперебойность функционирования платежной системы и на услуги, оказываемые участникам платежной системы и их клиентам, а второй – влияет.

При выявлении нарушений первого типа Банк России направляет рекомендации по устранению выявленного нарушения. При выявлении нарушений второго типа Банк России направляет предписание об устранении нарушения с указанием срока устранения, а также может ограничить оказание операционных и клиринговых услуг.

В случае неоднократного невыполнения предписаний Банка России в течение одного года со дня направления первого предписания, Банк России исключает оператора платежной системы из реестра операторов платежных систем. Если оператор платежной системы является кредитной организацией, к которой неоднократно в течение года применялись меры в рамках ст. 74 ФЗ-86 (Федеральный закон «О центральном банке Российской Федерации (Банке России)» № 86 от 27.06.2002), то Банк России также исключает оператора платежной системы из реестра операторов.

При исключении организации из реестра операторов платежных систем Банк России направляет организации уведомление об исключении. У организации есть один день после получения такого уведомления на то, чтобы вернуть Банку России свое регистрационное свидетельство. Если при этом оператор платежной системы является кредитной организацией, то со следующего дня после получения уведомления, прекращаются в рамках платежной системы переводы денежных средств, а переводы, которые уже были начаты, должны быть завершены не позднее трех дней. Срок прекращения осуществления и завершения переводов денежных средств может быть увеличен Банком России в случае со значимой платежной системой.

Помимо описанных мер воздействия, ч. 11 ст. 34 ФЗ-161 предусмотрена и административная ответственность. Согласно ст. 15.36 КоАП, должностные лица подвергаются наложению штрафа в размере от 30 тысяч до 50 тысяч рублей. А юридические лица могут быть оштрафованы на сумму от 100 тысяч до 500 тысяч рублей.

Выполнение требований ФЗ-161

Мы выявили основных участников НПС, определили регуляторов, и рассмотрели ответственность за нарушение требований нормативных документов. Теперь посмотрим, как можно выполнить установленные требования. Этот процесс можно разбить на три этапа:

  1. Оценка соответствия Положению 382-П;
  2. Модернизация или создание системы обеспечения информационной безопасности;
  3. Своевременная отправка периодической отчетности.

Аудит по 382-П

Положение 382-П устанавливает достаточно четкие требования, поэтому логично начать именно с него. Оценку выполнения требований нужно проводить каждые два года или по требованию Банка России. Для ее проведения можно прибегнуть к услугам сторонней организации, при этом нужно помнить, что у такой организации должна быть лицензия на техническую защиту конфиденциальной информации. Также допускается самооценка выполнения требований участниками платежной системы.

Первый шаг при оценке – это определение выполняемых в НПС ролей. Банк, например, всегда является оператором по переводу денежных средств, что накладывает на него сразу 120 требований.

Оценка происходит в 4 этапа (см. Рис. 2):

1. Анализируются существующие в организации нормативные акты и средства защиты информации, собирается информация от ответственных сотрудников путем проведения опросов. Создается перечень защищаемой информации и реестр информационных активов.
2. На основании полученных данных выставляется оценка по каждому из актуальных требований. Требования делятся на три категории:
  • первая - организационные меры защиты информации или технические средства защиты информации;
  • вторая – наличие в организации документа, освещающего определенный аспект информационной безопасности;
  • третья - осуществление определенной функции по защите информации.
3. Все требования разбиваются на две группы, и для каждой вычисляется обобщающий показатель, который является произведением среднего арифметического значения всех оценок группы на корректирующий коэффициент. Величина коэффициента зависит от количества нулевых оценок в группе. Таким образом, чем больше требований не выполняется, тем меньше этот коэффициент и групповая оценка.
4. За итоговое значение принимается наименьший из двух обобщающих показателей.

Рис. 2. Оценка по 382-П

Анализ Положения 382-П показывает, что необходимо уделить особое внимание организационно-распорядительной документации. Это позволит закрыть все требования второй категории, получить хотя бы минимальную оценку по смешанным требованиям (категория 1), тем самым избежать большинства нулевых оценок, которые могут снизить корректирующий коэффициент. Что касается технических требований, их поможет выполнить грамотное построение системы защиты информации.

Техническое проектирование

При проектировании системы обеспечения информационной безопасности (далее – СОИБ) необходимо учесть немалое количество нормативных документов по защите информации, разработанных в рамках создания национальной платежной системы. Участник платежной системы должен применять организационные и технические меры для соответствия требованиям нормативных документов.

Подсистемы информационной безопасности

Технические требования в рамках нормативной документации не поделены на подсистемы информационной безопасности. Мы предлагаем один из вариантов компоновки требований защиты информации в платежной системе, который представлен ниже (см. Табл. 4).

Табл. 4. Подсистемы информационной безопасности

Подсистема информационной безопасности

Функции

Подсистема разграничения доступа

Идентификация и проверка подлинности пользователя при входе в систему, идентификация ресурсов, обрабатывающих защищаемую информацию.

Подсистема регистрации и учета

Сбор информации о событиях безопасности, происходящих в локальной вычислительной сети, и своевременное реагирование на инциденты и попытки реализации угроз безопасности

Подсистема антивирусной защиты

Защита информационных ресурсов на серверах и рабочих станциях, а также защита сетевого трафика от различного рода вредоносных программ

Подсистема анализа защищенности

Выявление уязвимостей рабочих станций, серверов, коммуникационного оборудования, а также средств защиты, установленных в локальной вычислительной сети

Подсистема межсетевого экранирования

Защита локальных вычислительных сетей или отдельных узлов от несанкционированного доступа путем фильтрации проходящих через него сетевых пакетов в соответствии с заданными правилами

Подсистема криптографической защиты

Криптографическая защита каналов связи, выходящих за пределы контролируемой территории

Подсистема резервного копирования и восстановления

Восстановления защищаемой информации при сбоях в системе, приводящих к потере данных.

Подсистема управления инцидентами информационной безопасности

Обработка инцидентов безопасности, мониторинг и конфигурирование устройств реализации сетевой политики безопасности.

Организационно-распорядительная документация

Для реализации организационных мер создается или дорабатывается комплект организационно-распорядительной документации. Мы предлагаем возможный вариант иерархии организационно-распорядительных документов (см. Рис. 3), соответствующий требованиям Банка России.

Рис. 3. Организационно-распорядительная документация

Разрабатываемые документы можно разделить на локальные и глобальные. Оператор платежной системы создает глобальный документ, распространяющийся на всех участников платежной системы. Требования к данному документу определены в ст. 20 ФЗ-161. Остальные документы будут локальными, каждый участник платежной системы разрабатывает их для своих нужд. Главным документом является политика по информационной безопасности, в которой определяются основные методы и способы защиты информации. Далее идут регламенты и руководства, определяющие в том числе физический доступ, порядок доступа к защищаемой информации, обязанности отдела информационной безопасности, управление инцидентами ИБ, порядок действий при резервировании и восстановлении информации и т.д. Полный комплект ОРД формируется на основании ФЗ-161 и сопутствующих нормативных документов.

Бесперебойность функционирования

Немаловажным фактором при построении СОИБ является обеспечение бесперебойности функционирования платежной системы (далее – БФПС). Ответственность за ее организацию возлагается на оператора платежной системы согласно ФЗ-161 и Положению 379-П. Бесперебойность функционирования платежной системы основана на формировании системы управления рисками и порядке взаимодействия между участниками. Тут стоит обратить внимание на то, что управление рисками производится не в рамках отдельной организации, а для всей платежной системы в целом. Оператор платежной системы организует систему управления рисками самостоятельно либо создает координирующий орган.

Логично было бы предположить, что при построении системы защиты информации в платежной системе необходимо применять риск-ориентированный подход, но об этом нигде не говорится. Определены требования к организационным и техническим мерам защиты информации, а требования к управлению рисками представлены особняком. Об их связи можно только догадываться.

В терминах ФЗ-161 система управления рисками в платежной системе – это комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба (ч. 1, ст. 28, ФЗ-161). Оценка рисков сведется к уже знакомой по стандартам Банка России экспертной модели, когда уровень риска определяется на основе вероятности негативного воздействия и тяжести последствий такого воздействия.

В целом, управление рисками в рамках одного участника платежной системы мы предлагаем производить по следующей схеме (см. Рис. 4):

  • Анализ. На этом этапе выявляются факторы, которые могут привести к нарушению БФПС, и вероятность их появления. Производится оценка рисков и проверяется соответствие установленному приемлемому уровню риска, определяемому оператором платежной системы;
  • Обработка. В ходе обработки рисков принимаются меры по уменьшению уровня риска для приведения его к приемлемому.
  • Мониторинг. Должны постоянно отслеживаться изменения достигнутого уровня риска. Очень важно проводить мониторинг постоянно, это позволит снизить последующие трудозатраты на повторный анализ и обработку рисков.

Рис. 4. Управление рисками

Координирующий орган, установленный в нормативных актах платежной системы, сводит величины рисков по всем участникам платежной системы в единую картину по всей системе.

Отчетность

В рамках своей деятельности, участники НПС должны периодически отправлять отчетность нескольких видов согласно Указаниям 2831-У и 2926-У. Формирование отчетности является непростой задачей. Учет банкоматов и платежных терминалов, сбор статистики о переводах из систем электронных платежей и случаях мошенничества с платежными картами производится довольно легко. Но при составлении отчетов об инцидентах возникают значительные сложности.

Инцидентов может быть очень много. Не зря Банк России вводит требование в Положение 382-П, предполагающее использование технических мер для управления инцидентами, которые помогут хотя бы частично автоматизировать данный процесс путем внедрения, например, SIEM-системы. Обычно такие системы гибко настраиваются, что позволяет получать информацию со всех интересующих источников, отсечь ненужные события и автоматически генерировать отчетность по инцидентам за выбранный период времени.

P.S. Стоит отметить, что практика реализации требований Банка России в рамках НПС еще только формируется. Выпущенные документы будут дорабатываться и оптимизироваться с учетом накапливаемого опыта. Пока множество вопросов вызывают такие темы, как облачные вычисления и аутсорсинг, взаимосвязь НПС с законодательством по персональным данным, стандартами Банка России и PCI DSS. Данные вопросы регуляторам придется решить в будущем. Однако, требования уже вступили в силу и их нужно выполнять.