понедельник, 25 июня 2012 г.

СОИБ. Отчетность о защите информации в ПС


Как Вы наверное знаете, Банк России ведет активную нормотворческую деятельность в области защиты Национальной платежной системы. Недавно были разработан и утвержден ряд документов. Все документы по теме НПС перечислены тут.

Сегодня хотелось бы рассмотреть «УказаниеЦБ РФ 2831-У от 9 июня 2012 года "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (зарегистрировано Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, опубликовано “Вестник Банка России” от 22 июня 2012 года № 32, вступает в силу с 1 июля 20120 года)»

Указание устанавливает формы, сроки и методики подготовки отчетности.
2 формы по ИБ:
·        форма 0403202  -  сведения об оценке соответствия
·       форма 0403203   -  сведения об инцидентах



Отчетность по форме 0403202 не позднее 30 рабочих дней со для завершения оценки соответствия. В соответствии с положением БР № 382-П от 09.06.2012 сама оценка делается раз в 2 года или по требованию БР.
БР интересуют следующие показатели: EV1ПС (обеспечение ИБ), EV2ПС (управление ИБ), RПС (минимум из предыдущих) кто проводил оценку.
Так как банку не захочется показывать в БР низкие оценки и попасть в область повышенного внимания БР, то можно успеть провести предварительную оценку уже сейчас, принять меры по повышению уровня ИБ, провести повторную оценку и отправить её в БР.
Ситуация осложняется отсутствием средств автоматизации расчета оценки. Хотелось бы увидеть от разработчиков варианты таких средства в ближайшее время, чтобы Банк успел выявить наиболее слабые области и с них начать работу по совершенствованию ИБ.


Отчетность по форме 0403203 не позднее 10 рабочего дня месяца следующего за отчетным или требования БР.   То есть первый отчет надо отправить не позднее 14 августа 2012 года.


К интересующим БР инцидентам относятся:
·        положительное воздействие вирусов
·        положительная атака на отказ в обслуживании
·        сбой в платежной системе более 3х часов
·        нарушение конфиденциальности ключей, паролей и т.п.
·        несанкционированные владельцами переводы денег
Другие инциденты, нарушение банковской тайны или конфиденциальности ПДн, БР не интересуют.


Отчеты Банков отправляются в электронном виде аналогично другой банковской отчетности. Отчеты других организаций принимаются до 1 июля 2013 года на бумажном носителе + электронном носителе. Надо учитывать, что курьерская доставка отнимет несколько рабочих дней от установленных 10.


Нулевой отчет тоже надо отправлять.
Операторам, не ведущим централизованной базы инцидентов посоветую её создать. Оператор по переводу денежных средств должен отчитываться ещё и за платежных агентов, субагентов. До которых ещё надо довести необходимость регистрации инцидентов и отправки информации оператору по переводу денежных средств. Так что начинать заниматься этим вопросом надо прямо сейчас.


Если браться за управление инцидентами, лучше сразу документировать этот процесс. Например, разработать регламент управления инцидентами ИБ, включающий разделы:
·        общие положения
·        этапы процесса управления инцидентами ИБ
·        обнаружение инцидентов ИБ
·        информирование об инцидентах ИБ
·        классификация инцидентов ИБ
·        реагирование на инциденты ИБ
·        анализ причин и оценка результатов инцидента ИБ
Так-же ожидаю, что должны появится автоматизированные средства управления инцидентами для Банков.  Это для любой организации полезная вещь, а для банков теперь – просто необходимость.

Другие свежие документы по теме НПС подробно рассматривались в блоге Лукацкого и Емельянникова.


Комментариев нет: