Летом Банк России в связи с вступлением в силу Федерального закона «О национальной платежной системе» выпустил Положение № 382-П и Указание № 2831-У, уста-навливающие требования по обеспечению информационной безопасности для банков. Практика показала, что эти документы не до конца понятны банкам, часть их требований нуждается в уточнении.
На прошедшей 28 ноября в Москве конференции «Развитие НПС — со-стояние и перспективы» на многие вопросы были даны ответы. В качестве организаторов и до-кладчиков в конференции участвовали представители Банка России и многочисленных банков-ских отраслевых объединений. Контингент слушателей составляли представители столичных и региональных банков.
Конференция состояла из двух частей: на академичном пленарном заседа-нии докладчики рассказали о текущем состоянии НПС и направлениях ее развития, а на «деловой встрече» во второй части затронули сферу обеспечения информационной безопасности. Далее обо всем по порядку.
Электронные средства платежа и уведомление клиентов
Внимание банкиров уже длительное время приковано в обсуждению воз-можностей реализации требований статьи 9 закона «О НПС», устанавливающей порядок исполь-зования электронных средств платежа (в частности, платежных карт и систем дистанционного банковского обслуживания). Вступающие в 2013 году в силу положения этой статьи значительно меняют баланс сил в паре «банки — клиенты», и при этом — не в пользу банков.
В частности, пункт 4 статьи 9 обязывает банки информировать клиентов о совершении каждой операции путем направления уведомления в порядке, установленном дого-вором. Нюанс в том, что пункт 13 этой же статьи обязывает банки возмещать клиентам средства по платежам, совершенным без их ведома (например, при утере карты), если он их вовремя не уведомил. В головах банкиров возникает страшный сценарий: бьют куранты, клиент выключает мобильный телефон, на который получает уведомления об операциях, и отправляется совершать мошеннические операции, о которых не будет уведомлен, и суммы по которым ему вскоре возме-стят.
Представители Банка России успокоили банкиров, объяснив, что направ-ление выписки об операциях по электронной почте или через интернет-банк раз в неделю — кор-ректный способ уведомления. Далее представители регулятора напомнили про уголовную ответ-ственность за мошенничество с платежными картами и про пункт 2 статьи 9, разрешающий банку отказать клиенту в заключении договора об использовании электронного средства платежа. Непо-нятно пока, насколько популярна будет такая мера «превентивного антифрода», учитывая, что сейчас банки порой делают все невозможное, чтобы открыть клиенту еще одну-две платежные карты.
Вообще, размышляя об идеологии статьи 9, представители Банка России отметили, что она следует «международному тренду», смещая бремя ответственности и перенося риски с клиентов на банки. Дополнительная защита прав клиентов должна остановить стагнацию развития безналичных расчетов (этот, на первый взгляд, неочевидный факт был подтвержден ста-тистикой), и, наоборот, подстегнуть ее. Банкам рекомендовано «подстраивать бизнес-модель, а не раздавать налево и направо электронные средства платежа», и одновременно активней ис-пользовать платежные карты с чипами.
Кулуарные беседы показали, что банкиры продолжают беспокоиться: например, размышляют, как успеть внести необходимые корректировки в договоры с клиентами за оставшийся месяц. И правда, закон «О НПС» вышел всего полтора года назад, и зима опять наступила внезапно.
Банковские электронные срочные платежи
Немного света было пролито на текущее состояние Системы валовых рас-четов в режиме реального времени Банка России. Через БЭСП, «сердце» расчетной системы Банка России, проходят все межбанковские платежи (очевидно, кроме платежей по корреспондентским счетам и, поэтому, платежей по банковским картам). Представленная статистика показала, что расчеты в рамках НПС составляют около 80 % всех платежей в БЭСП по числу и около 90 % — по объему денежных средств. Остальные платежи (20 % по числу, 10 % по объему) принадлежат госструктурам вроде Федерального казначейства.
Развивать БЭСП планируют прежде всего путем расширения времени ее работы: сейчас пла-тежи можно отправлять далеко не круглосуточно. Закон «О НПС» предписывает банкам возвра-щать платежи с некорректными реквизитами в течение суток, что создает проблему: к тому мо-менту, когда выясняется, что платеж не может быть проведен, БЭСП уже не функционирует. Усу-губляет эту проблему наличие разветвленной филиальной структуры — проверка реквизитов ча-сто прерывается тем, что дополнительный офис в Новосибирске уже закрылся, или тем, что го-ловной офис в Санкт-Петербурге еще не начал работу.Поддельные платежные системы
На конференции было упомянуто известное положение закона «О НПС» о том, что в наступающем году словосочетание «платежная система» в наименовании можно бу-дет использовать только компаниям из реестра операторов платежных систем. Некоторым «пла-тежным системам», в ассортименте представленным в интернете, придется менять названия, если, конечно, заявления об их регистрации в качестве операторов платежных систем не находятся в данный момент на рассмотрении в Банке России.
Касательно рассмотрения заявлений о регистрации в качестве операторов платежных систем представители Банка России отметили, что уделяют большое внимание соста-ву, полноте и детальности требований по информационной безопасности в правилах платежных систем. Учитывая общедоступность этих правил, вскоре всем представится возможность просле-дить за успешностью такого контроля.
«Почтово-сберегательные переводы»
Жесткой критики удостоился проект Федерального закона «О почтовой связи», разрабатываемый Почтой России. Прозвучал совет авторам законопроекта от представителей Банка России как поработать над формулировками (одна из которых приведена в подзаголовке), так и перестать «ощущать себя удельным княжеством, которое может существо-вать само по себе», а вместо этого вливаться в НПС.
Изменения в Положении № 382-П
Незадолго до начала конференции все участники получили проекты изме-нений в Положении № 382-П и Указании № 2831-У. Вторая часть конференции во многом была посвящена их обсуждению и ответам на вопросы из зала.
Вскрылись инициаторы новации месячной давности со сбором IP-адресов клиентов, осуществляющих доступ к системам дистанционного банковского обслуживания. Дей-ствительно, истоки начинания лежат в МВД, которое считает регистрацию «при наличии технической возможности… IP-адреса, МАС-адреса, номера SIM-карты, номера телефона» необходимой для проведения следственных мероприятий в случае мошенничества. Одно из изменений касается как раз этого. Позиция Банка России такова: раз МВД надо, значит, нужно собирать, вдруг это поможет полиции в ее нелегкой работе.
Другим изменением устанавливаются требования к организациям, кото-рые могут проводить оценку соответствия банков требованиям по информационной безопасности. Требования достаточно прозрачны и не ограничивают круг аудиторов лицензиатами ФСТЭК России и ФСБ России.
Отдельно следует упомянуть «беззубое» изменение в части использования криптографических средств. Скоро в Положении № 382-П будет значиться, что если банк приме-няет средства криптографической защиты информации российского производителя, то они долж-ны иметь сертификаты ФСБ России. Радует, что иностранные криптографические средства применять не запрещается.
Изменения в Указании № 2831-У
Изменения в Указании № 2831-У не столько интересны, сколько объемны. Указание устанавливает требование о ежемесячной отчетности об инцидентах информационной безопасности (например, о потерянных клиентами платежных картах, неработающих банкоматах и прочих мошеннических операциях), форму такой отчетности и методику ее составления. Банк России глубоко переработал форму и методику, ожидая, что получит возможность автоматизиро-ванным образом анализировать данные об инцидентах, представляемые банками.
Было обещано, что вскоре будет представлена статистика по уже сданной отчетности. При этом оптимистично прозвучало, что в настоящее время ежемесячно банки сооб-щают о порядка 1500 инцидентов. Учитывая, что всего в России около тысячи кредитных органи-заций, а также зная оценки количества инцидентов из других источников, оптимизм представите-лей Банка России заставляет удивленно приподнять брови. Тем более, если учитывать, что про-звучало в ходе обсуждения, по мнению представителей Банка России инцидентом является и че-тырехчасовая задержка платежа, например, из-за потери связи с банкоматом.
Вопросы из зала
Большинство участников конференции задавали вопросы, касающиеся выполнения требований статьи 9 закона «О НПС», я же интересовался перспективами регулиро-вания информационной безопасности в банках. Ниже — вопросы и ответы на них, данные пред-ставителями Банка России.
Будут ли проверки соответствия СТО БР ИББС?
Ответ: нет, не будут. Теперь в ходе надзорных проверок будет проверять-ся выполнение исключительно Положения № 382-П.
Будет ли Банк России мотивировать банки проводить оценки и само-оценки соответствия требованиям Положения № 382-П ранее, чем через 2 года?
Ответ: да, будет, и уже скоро. Банкам следует ожидать писем из территориальных управлений Банка России с просьбой предоставить информацию о выполне-нии Положения № 382-П.
Какими требованиями должен руководствоваться банк, защищая ин-формационные системы, не содержащие платежную информацию? (Ранее для этого можно бы-ло использовать комплекс стандартов СТО БР ИББС.)
Ответ: какими угодно, в Положении № 382-П требований по защите ин-формации, не имеющей отношения к переводам денежных средств, не содержится.
Будет ли обновлена отраслевая модель угроз безопасности персональных данных, входившая в комплекс стандартов СТО БР ИББС, в связи с изменениями в законодательстве по защите персональных данных? Будут ли для банков актуальны угрозы наличия недекларированных возможностей в программном обеспечении?
Ответ: да, отраслевая модель угроз, скорее всего, будет обновлена в нача-ле 2013 года. Опыт показывает, что угрозы наличия недекларированных возможностей для банков неактуальны.
Ответы производят двойственной впечатление: с одной стороны, требова-ния по защите теперь распространяются на меньшее число систем. С другой — информационные системы персональных данных теперь необходимо защищать в общем порядке в соответствии с действующим законодательством.
При этом сохранение отраслевой модели угроз — большой плюс для бан-ков. Если угрозы наличия недекларированных возможностей будут признаны неактуальными по согласованию с регуляторами, то информационные системы персональных данных большин-ства банков получат сравнительно низкие уровни защищенности в соответствии с Постановлением Правительства № 1119. А это, в свою очередь значит, что требования по их защите могут быть не самыми строгими.