Контроль финансовых потоков

Учебный центр «Информзащита» провел семинар для банков, на котором Алексей Лукацкий, менеджер по развитию бизнеса Cisco, описал юридическую ситуацию в отрасли информационной безопасности банков. Основные требования по защите банковских информационных систем для различных компаний и организаций налагает ФЗ-161 «О национальной платежной системе». Сам закон был задуман для того, чтобы обезопасить финансовую систему страны от кризиса, в случае которого могут быть заблокированы международные платежные системы. Для замыкания финансовых потоков внутри страны в законе предлагается создать Национальную платежную систему, в которой перемещение денег контролировалось бы российскими властями через ЦБ РФ.

Одной из важных задач создания НПС является обеспечение безопасности финансовых транзакций. В законе предусмотрены семь ролей, участвующие в функционировании платежной системы: оператор услуг платежной инфраструктуры, оператор платежной системы, оператор по переводу денежных средств, оператор по переводу электронных денежных средств, банковский платежный агент, банковский платежный субагент и платежный агент. Для каждого участника определены свои требования по информационной безопасности, которые обязаны соблюдаться всеми участниками. При этом больше всего требований наложено на банки, которые являются как минимум операторами по переводу денежных средств и должны следить за безопасностью своих агентов и субагентов.

Детально набор требований по информационной безопасности описывается в положении ЦБ № 382 по обеспечению защиты информации при переводе денежных средств. Фактически это положение базируется на стандарте СТО БР ИББС, определяющем информационную безопасность банковской системы. Контроль за соблюдением требований этого положения возложен на Центробанк; другие регуляторы, такие как ФСТЭК и ФСБ, согласовали необходимые документы, но сами не торопятся заниматься защитой финансовых платежных систем. Впрочем, и сами банки могут провести самопроверку — для этого можно использовать специальные сервисы, программы или даже просто таблицы Excel. Нужно просто ответить на набор вопросов с указанием оценки соответствия от 0 до 1. Центробанк определил четыре уровня защищенности платежной системы и обязал участников платежей в минимально короткие сроки поднять свою защищенность до максимально высокого уровня.

Важной частью контроля за состоянием защищенности является отчетность о произошедших инцидентах. Набор сведений, которые нужно отсылать в регулирующий орган, определен в указании 2831 ЦБ РФ. Ведомство собирает отчетность по инцидентам и будет анализировать полученные с мест сведения для дальнейшего совершенствования системы защиты НПС. В частности, именно по этой отчетности специалисты Центробанка будут выявлять проблемных участников платежной системы и работать с ними для усиления мер защиты.

Следует отметить, что и положение 382, и указание 2381 планируется в ближайшее время пересмотреть для усиления контроля за всеми участниками платежных систем в России. Вполне возможно, что новые версии будут приняты уже к лету этого года. В них будут уточнены требования по защите мобильных платежных систем и облачных технологий, а также добавлены требования по защите от утечек информации и подготовлена методика оценки соответствия, которая необходима для лицензирования участников платежной системы. В новой версии У-2831 будет существенно расширен список сведений, которые должны собирать банки и передавать в виде отчетов в Центробанк. Сейчас ФЗ-161 действует не полностью, однако статьи и подзаконные акты, которые определяют требования к информационной безопасности, уже определены, и их необходимо в ближайшее время реализовать. Усиление контроля Центробанка за денежными потоками сделает финансовую систему России более стабильной, однако, вполне возможно, что стоимость услуг платежной инфраструктуры возрастет.