курс цб на 22.10:
57.5118
67.8927

НПС подготовил «живые» рекомендации по Положению ЦБ о защите информации в платежной системе

3 августа 2017 14:28 Количество просмотров831 просмотр

Ассоциация участников рынка платежных услуг «Некоммерческое партнерство «Национальный платежный совет» (НП «НПС»), в рамках деятельности Рабочей группы по защите информации, предотвращению мошенничества, инцидентов в платежной системе и реагированию, на них разработала Методические рекомендации по Положению Банка России от 24.08.2016 № 552-П «О требованиях по защите информации в платежной системе Банка России».

Предлагаемые Методические рекомендации были подготовлены НП «НПС» в связи с тем, что после выхода Положения Банка России №552-П в августе 2016 года у участников финансового рынка возникали вопросы по его применению в своей работе. Банком России был выпущен дополнительный документ с разъяснениями, но он не охватил всей проблемной области и ряд вопросов оставался без ответа.

Портал PLUSworld.ru обратился к авторам Методических рекомендаций за экспертным мнением и провел совместный анализ разработки данного документа и результатов его использования.

Один из разработчиков документа Андрей Курило, главный советник компании «Российские наукоемкие технологии» напомнил, что причиной разработки и принятия мегарегулятором Положения №552-П стала волна эффективных атак на корсчета кредитных организаций через АРМ КБР клиента Банка России, который размещен в кредитной организации и предназначен для связи с платежной системой ЦБ.

Советник председателя Правления НП «НПС» Андрей Лисицын, также принимавший участие в разработке и согласовании рекомендаций, подчеркивает, что Положение №552-П является важным для рынка, поскольку регулирует безопасность в ключевой инфраструктуре национальной платежной системе (НПС) — в платежной системе Банка России (ПС БР), к которой обязаны присоединяться все кредитные организации. В итоге любые уязвимости, любые риски информационной безопасности, которые возникают в ней, влияют на стабильность всей НПС. Поэтому появление нормативного регулирования в этой области было логичным, более того, требовалось в соответствии с законодательством об НПС.

Вместе с тем это положение во многом носит рамочный характер, определяя направления  деятельности в сфере обеспечения информационной безопасности ПС БР и наиболее существенные требования к этой деятельности, не концентрируясь на нормативном закреплении конкретных механизмов и инструментов. На практике это дает участникам рынка определенную гибкость в части выбора конкретных путей реализации требований Положения.

«Банк России изначально исходил из того, что новый документ задаст определенные  векторы развития, покажет кредитным организациям в каком направлении им необходимо двигаться. Задачи все одномоментно поменять не было», – отмечает А. Лисицын. Понятно, что появление нового Положения вызвало на рыке определенный ажиотаж и вал вопросов, требующих дополнительных разъяснений. Поэтому НП «НПС» их обобщила и направила в Банк России, после чего ассоциации было предложено заняться разработкой методических рекомендаций.

«Изначально формат не был понятен, – рассказывает А. Лисицын. На первоначальном этапе рассматривался вариант создания стандарта, однако это подразумевало достаточно жесткие рамки процесса разработки и утверждения документа. Кроме того, в случаях, когда речь идет о взаимодействии «один-к-многим» (платежная система Банка России, которая устанавливает свои правила, к которым просто присоединяются все участники рынка), подразумеваются либо нормативно-правовое регулирования, либо гражданско-правовое (договорное) регулирование. Один из подходов, кстати говоря, нашел отражение в методических рекомендациях – базовые положения по информационной защите определяются в договоре между кредитной организацией и Банком России».

Учитывая, что рекомендации разрабатывались непосредственно для использования участниками рынка, авторам документа было важно услышать их пожелания и предложения. Потребовалось определенное время для того, чтобы сформировалось осознание, что гибкость в предлагаемой модели работы предпочтительнее, чем жесткие инструкции «Обычно на четких и максимально однозначных  правилах настаивают именно небольшие участники рынка, поскольку они предпочитают упрощение работы за счет максимально точного и формального выполнения требований, а более крупные структуры стремятся к более гибким правилам, поскольку любые изменения стоят слишком дорого, и эффективнее приспособить свою практику к сути устанавливаемых требований, а не к их формальному толкованию регулятором», – отмечает А. Лисицын. В результате было принято решение готовить рекомендации по использованию Положения №552-П в форме методических рекомендаций НП «НПС» с подтверждением их соответствия законодательству со стороны Банка России.

В официальном письме из Главного управления безопасности и защиты информации Банка России от 30 июня 2017 за подписью заместителя начальника ГУБЗИ ЦБ РФ Артема Сычева отмечается, что разработанные НП «НПС» Методические рекомендации не противоречат требованиям нормативных и иных актов Банка России по вопросам защиты информации при осуществлении переводов денежных средств, в том числе требованиям Положения Банка России от 24.08.2016 №552-П.

Авторы документа отмечают, что им совместно с Банком России удалось создать «живой» документ, который можно и даже нужно будет дополнять по мере необходимости, и призывают участников рынка обсуждать и формулировать новые вопросы, которые требуют разъяснений. Кроме того, о любых случаях отклонения применительной практики от этих рекомендаций они просят сообщать для дальнейшей совместной проработки с мегарегулятором.

«Необходимость в методологических рекомендациях была связана, прежде всего, с тем, что они вслед за самим положением затрагивают большой пласт деятельности в платежной сфере любой кредитной организации. Это одно из ключевых направлений, – отмечает А. Лисицын. – Документ очень системный, затрагивающий различные аспекты, связанные, в том числе, с документированием, физическим и логическим доступом, вредоносным кодом и пр.».

Как отмечает председатель правления НП «НПС» Алма Обаева, рынок может всецело использовать данные рекомендации в своей повседневной работе.

«Мы ждем от рынка дополнительные предложения, и готовы дальше совершенствовать этот документ. Он доступен всем желающим и к нам поступает достаточно много обращений, особенно из регионов, – подчеркивает А. Обаева. – Формат был выбран правильный, мы планируем продолжить работу с Банком России в таком же ключе и по другим направлениям деятельности».

«Рекомендации направлены на то, чтобы помочь кредитным организациям правильно выполнять требования Банка России, – рассказывает А. Курило. – Формат документа позволяет по мере возникновения новых вопросов давать ответы в виде дополнительных рекомендаций. По-моему мнению необходимость новых комментариев может возникнуть в следующем году с выходом нового Положение №382-П. А пока сегодня необходимо реализовывать текущие требования ЦБ».

Методические рекомендации для обеспечения единообразного соблюдения Положения Банка России № 552-П были направлены в соответствующих официальных письмах главам ведущих ассоциаций финансового рынка, а также участникам рынка платежных услуг для использования в работе.

По материалам PLUSworld.ru




В рубриках:
Форум экспертов
Форум экспертов
Блокчейн – реальность или утопия? Мнение профессионалов
На международном форуме Sibos 2017, проходящем 16-19 октября в канадском Торонто, радужный оптимизм одних участников мероприятия – сторонников блокчейна, столкнулся с расчетливым прагматизмом других в ходе сессии, посвященной использованию блокчейна в сфере наличных платежей и расчетов по операциям с ценными бумагами.
18 октября 2017 15:00
Платежи в системе Swift: станет ли PCI DSS руководством по их защите? 
Заместитель руководителя глобальных транзакционных и платежных услуг Филипп Лепутр и директор по информационной безопасности Тьерри Оливье, фирма SocGen, дали оценку программы безопасности клиентов Swift (Customer Security Programme, CSP) и проанализировали возможные сценарии ее дальнейшего развития  с целью повышения сетевой безопасности потоков межбанковских платежей.
13 октября 2017 13:28
Виктор Достов об «антикарточной» директиве, удаленной идентификации и технологии блокчейн
Председатель Совета Ассоциации участников рынка электронных денег и денежных переводов Виктор Достов делится мнением о том, куда движется рынок розничных финансовых услуг, и каковы новейшие тенденции регулирования в этой сфере, как развиваются институты удаленной идентификации клиентов и какое место занимают во всех этих трансформациях блокчейн и криптовалюты.
10 октября 2017 12:42
Лента новостей
Форум экспертов
Банки и МФО API-стратегию имеют 43% банков в мире
20 октября 2017 12:40
Количество просмотров 190 просмотров
Технологии Big Data для корпоративного бизнеса
18 октября 2017 13:02
Количество просмотров 1195 просмотров
Мероприятия SOC-Форум 2017 — 22 ноября в Москве
17 октября 2017 10:20
Количество просмотров 244 просмотра
Криптовалюты Crypterium: как работает криптобанк?
13 октября 2017 14:36
Количество просмотров 900 просмотров
Регуляторы Банкноты 200 и 2000 рублей: какие они?
12 октября 2017 15:00
Количество просмотров 532 просмотра
Технологии Сбербанк выводит роботов на работу
12 октября 2017 14:02
Количество просмотров 1119 просмотров