курс цб на 12.12:
59.2348
69.8023

НПС подготовил «живые» рекомендации по Положению ЦБ о защите информации в платежной системе

3 августа 2017 14:28 Количество просмотров948 просмотров

Ассоциация участников рынка платежных услуг «Некоммерческое партнерство «Национальный платежный совет» (НП «НПС»), в рамках деятельности Рабочей группы по защите информации, предотвращению мошенничества, инцидентов в платежной системе и реагированию, на них разработала Методические рекомендации по Положению Банка России от 24.08.2016 № 552-П «О требованиях по защите информации в платежной системе Банка России».

Предлагаемые Методические рекомендации были подготовлены НП «НПС» в связи с тем, что после выхода Положения Банка России №552-П в августе 2016 года у участников финансового рынка возникали вопросы по его применению в своей работе. Банком России был выпущен дополнительный документ с разъяснениями, но он не охватил всей проблемной области и ряд вопросов оставался без ответа.

Портал PLUSworld.ru обратился к авторам Методических рекомендаций за экспертным мнением и провел совместный анализ разработки данного документа и результатов его использования.

Один из разработчиков документа Андрей Курило, главный советник компании «Российские наукоемкие технологии» напомнил, что причиной разработки и принятия мегарегулятором Положения №552-П стала волна эффективных атак на корсчета кредитных организаций через АРМ КБР клиента Банка России, который размещен в кредитной организации и предназначен для связи с платежной системой ЦБ.

Советник председателя Правления НП «НПС» Андрей Лисицын, также принимавший участие в разработке и согласовании рекомендаций, подчеркивает, что Положение №552-П является важным для рынка, поскольку регулирует безопасность в ключевой инфраструктуре национальной платежной системе (НПС) — в платежной системе Банка России (ПС БР), к которой обязаны присоединяться все кредитные организации. В итоге любые уязвимости, любые риски информационной безопасности, которые возникают в ней, влияют на стабильность всей НПС. Поэтому появление нормативного регулирования в этой области было логичным, более того, требовалось в соответствии с законодательством об НПС.

Вместе с тем это положение во многом носит рамочный характер, определяя направления  деятельности в сфере обеспечения информационной безопасности ПС БР и наиболее существенные требования к этой деятельности, не концентрируясь на нормативном закреплении конкретных механизмов и инструментов. На практике это дает участникам рынка определенную гибкость в части выбора конкретных путей реализации требований Положения.

«Банк России изначально исходил из того, что новый документ задаст определенные  векторы развития, покажет кредитным организациям в каком направлении им необходимо двигаться. Задачи все одномоментно поменять не было», – отмечает А. Лисицын. Понятно, что появление нового Положения вызвало на рыке определенный ажиотаж и вал вопросов, требующих дополнительных разъяснений. Поэтому НП «НПС» их обобщила и направила в Банк России, после чего ассоциации было предложено заняться разработкой методических рекомендаций.

«Изначально формат не был понятен, – рассказывает А. Лисицын. На первоначальном этапе рассматривался вариант создания стандарта, однако это подразумевало достаточно жесткие рамки процесса разработки и утверждения документа. Кроме того, в случаях, когда речь идет о взаимодействии «один-к-многим» (платежная система Банка России, которая устанавливает свои правила, к которым просто присоединяются все участники рынка), подразумеваются либо нормативно-правовое регулирования, либо гражданско-правовое (договорное) регулирование. Один из подходов, кстати говоря, нашел отражение в методических рекомендациях – базовые положения по информационной защите определяются в договоре между кредитной организацией и Банком России».

Учитывая, что рекомендации разрабатывались непосредственно для использования участниками рынка, авторам документа было важно услышать их пожелания и предложения. Потребовалось определенное время для того, чтобы сформировалось осознание, что гибкость в предлагаемой модели работы предпочтительнее, чем жесткие инструкции «Обычно на четких и максимально однозначных  правилах настаивают именно небольшие участники рынка, поскольку они предпочитают упрощение работы за счет максимально точного и формального выполнения требований, а более крупные структуры стремятся к более гибким правилам, поскольку любые изменения стоят слишком дорого, и эффективнее приспособить свою практику к сути устанавливаемых требований, а не к их формальному толкованию регулятором», – отмечает А. Лисицын. В результате было принято решение готовить рекомендации по использованию Положения №552-П в форме методических рекомендаций НП «НПС» с подтверждением их соответствия законодательству со стороны Банка России.

В официальном письме из Главного управления безопасности и защиты информации Банка России от 30 июня 2017 за подписью заместителя начальника ГУБЗИ ЦБ РФ Артема Сычева отмечается, что разработанные НП «НПС» Методические рекомендации не противоречат требованиям нормативных и иных актов Банка России по вопросам защиты информации при осуществлении переводов денежных средств, в том числе требованиям Положения Банка России от 24.08.2016 №552-П.

Авторы документа отмечают, что им совместно с Банком России удалось создать «живой» документ, который можно и даже нужно будет дополнять по мере необходимости, и призывают участников рынка обсуждать и формулировать новые вопросы, которые требуют разъяснений. Кроме того, о любых случаях отклонения применительной практики от этих рекомендаций они просят сообщать для дальнейшей совместной проработки с мегарегулятором.

«Необходимость в методологических рекомендациях была связана, прежде всего, с тем, что они вслед за самим положением затрагивают большой пласт деятельности в платежной сфере любой кредитной организации. Это одно из ключевых направлений, – отмечает А. Лисицын. – Документ очень системный, затрагивающий различные аспекты, связанные, в том числе, с документированием, физическим и логическим доступом, вредоносным кодом и пр.».

Как отмечает председатель правления НП «НПС» Алма Обаева, рынок может всецело использовать данные рекомендации в своей повседневной работе.

«Мы ждем от рынка дополнительные предложения, и готовы дальше совершенствовать этот документ. Он доступен всем желающим и к нам поступает достаточно много обращений, особенно из регионов, – подчеркивает А. Обаева. – Формат был выбран правильный, мы планируем продолжить работу с Банком России в таком же ключе и по другим направлениям деятельности».

«Рекомендации направлены на то, чтобы помочь кредитным организациям правильно выполнять требования Банка России, – рассказывает А. Курило. – Формат документа позволяет по мере возникновения новых вопросов давать ответы в виде дополнительных рекомендаций. По-моему мнению необходимость новых комментариев может возникнуть в следующем году с выходом нового Положение №382-П. А пока сегодня необходимо реализовывать текущие требования ЦБ».

Методические рекомендации для обеспечения единообразного соблюдения Положения Банка России № 552-П были направлены в соответствующих официальных письмах главам ведущих ассоциаций финансового рынка, а также участникам рынка платежных услуг для использования в работе.

По материалам PLUSworld.ru




В рубриках:
Форум экспертов
Форум экспертов
Альфа-Банк: Мы готовы активно помогать финтехам, которые несут ценность для клиента
О том, как оценивают белорусские финтех-проекты, какие препятствия для развития финтеха в нашей стране существуют сегодня и как их можно устранить, рассказывает ТОП-менеджер белорусского Альфа-Банка, член правления, руководитель по информационными технологиям Андрей Косач.
11 декабря 2017 14:25
USABILITYLAB поделилась результатами оценки доступности интернет-банков для физлиц 2017
Российские банки все больше внимания уделяют вопросу удобства онлайн-сервисов. Однако доступность интернет-банков для людей с инвалидностью остается на низком уровне. О проблемах доступности и о способах их решения рассказали коммерческий директор USABILITYLAB Дмитрий Силаев и ведущий юзабилити-специалист Татьяна Миронова.
11 декабря 2017 14:08
Единая Биометрическая Система: что ждать от запуска ЕБС? 
Единую биометрическую систему в России обещают запустить в середине 2018 года. Директор по развитию Biosmart Александр Горшков рассказал, что ждать от внедрения ЕБС и к чему готовиться. 
5 декабря 2017 15:14
Какие сущности станут определять финансовую экосистему через четверть века? В рассказе английского фантаста Эрика Фрэнка Рассела «The Great Explosion» (в русском варианте «И не осталось никого»), появившемся в далеком 1951 году, описано весьма примечательное сообщество последователей Махатмы Ганди. Сообщество полностью отрицает деньги, считая их инструментом порабощения, а вся совместная экономическая деятельность построена на учете обязательств, называемых «обы». Вот, например, Джек умеет плотничать, помог соседу перекрыть крышу, и теперь у него об на соседа. Сосед – повар и будет кормить Джека какое-то время бесплатно, чтобы погасить об. Городской пожарный имеет обы на весь город, и так далее. При этом информация об обах распространяется в местном коммьюнити, что позволяет обеспечивать работу местной экономики и не допускать появления «хапуг», которые только потребляют и ничего не отдают.
12 декабря 2017 14:08
Смотреть все статьи рубрики >>
Лента новостей
Форум экспертов
Регуляторы ЦБ приобрел 99,9% акций ФК «Открытие»
11 декабря 2017 15:30
Количество просмотров 393 просмотра
Банки и МФО Тинькофф Мобайл запустят 13 декабря
11 декабря 2017 15:07
Количество просмотров 368 просмотров
Наличные ЦБ выпустил памятные монеты к ЧМ-2018
5 декабря 2017 18:16
Количество просмотров 311 просмотров
Подпишитесь на рассылку и получайте только самые важные новости!
1/6
Спасибо за подписку!