НПС подготовил «живые» рекомендации по Положению ЦБ о защите информации в платежной системе

Предлагаемые Методические рекомендации были подготовлены НП «НПС» в связи с тем, что после выхода Положения Банка России №552-П в августе 2016 года у участников финансового рынка возникали вопросы по его применению в своей работе. Банком России был выпущен дополнительный документ с разъяснениями, но он не охватил всей проблемной области и ряд вопросов оставался без ответа.

Портал PLUSworld.ru обратился к авторам Методических рекомендаций за экспертным мнением и провел совместный анализ разработки данного документа и результатов его использования.

Один из разработчиков документа Андрей Курило, главный советник компании «Российские наукоемкие технологии» напомнил, что причиной разработки и принятия мегарегулятором Положения №552-П стала волна эффективных атак на корсчета кредитных организаций через АРМ КБР клиента Банка России, который размещен в кредитной организации и предназначен для связи с платежной системой ЦБ.

Советник председателя Правления НП «НПС» Андрей Лисицын, также принимавший участие в разработке и согласовании рекомендаций, подчеркивает, что Положение №552-П является важным для рынка, поскольку регулирует безопасность в ключевой инфраструктуре национальной платежной системе (НПС) - в платежной системе Банка России (ПС БР), к которой обязаны присоединяться все кредитные организации. В итоге любые уязвимости, любые риски информационной безопасности, которые возникают в ней, влияют на стабильность всей НПС. Поэтому появление нормативного регулирования в этой области было логичным, более того, требовалось в соответствии с законодательством об НПС.

Вместе с тем это положение во многом носит рамочный характер, определяя направления  деятельности в сфере обеспечения информационной безопасности ПС БР и наиболее существенные требования к этой деятельности, не концентрируясь на нормативном закреплении конкретных механизмов и инструментов. На практике это дает участникам рынка определенную гибкость в части выбора конкретных путей реализации требований Положения.

«Банк России изначально исходил из того, что новый документ задаст определенные  векторы развития, покажет кредитным организациям в каком направлении им необходимо двигаться. Задачи все одномоментно поменять не было», – отмечает А. Лисицын. Понятно, что появление нового Положения вызвало на рыке определенный ажиотаж и вал вопросов, требующих дополнительных разъяснений. Поэтому НП «НПС» их обобщила и направила в Банк России, после чего ассоциации было предложено заняться разработкой методических рекомендаций.

«Изначально формат не был понятен, – рассказывает А. Лисицын. На первоначальном этапе рассматривался вариант создания стандарта, однако это подразумевало достаточно жесткие рамки процесса разработки и утверждения документа. Кроме того, в случаях, когда речь идет о взаимодействии «один-к-многим» (платежная система Банка России, которая устанавливает свои правила, к которым просто присоединяются все участники рынка), подразумеваются либо нормативно-правовое регулирования, либо гражданско-правовое (договорное) регулирование. Один из подходов, кстати говоря, нашел отражение в методических рекомендациях – базовые положения по информационной защите определяются в договоре между кредитной организацией и Банком России».

Учитывая, что рекомендации разрабатывались непосредственно для использования участниками рынка, авторам документа было важно услышать их пожелания и предложения. Потребовалось определенное время для того, чтобы сформировалось осознание, что гибкость в предлагаемой модели работы предпочтительнее, чем жесткие инструкции «Обычно на четких и максимально однозначных  правилах настаивают именно небольшие участники рынка, поскольку они предпочитают упрощение работы за счет максимально точного и формального выполнения требований, а более крупные структуры стремятся к более гибким правилам, поскольку любые изменения стоят слишком дорого, и эффективнее приспособить свою практику к сути устанавливаемых требований, а не к их формальному толкованию регулятором», – отмечает А. Лисицын. В результате было принято решение готовить рекомендации по использованию Положения №552-П в форме методических рекомендаций НП «НПС» с подтверждением их соответствия законодательству со стороны Банка России.

В официальном письме из Главного управления безопасности и защиты информации Банка России от 30 июня 2017 за подписью заместителя начальника ГУБЗИ ЦБ РФ Артема Сычева отмечается, что разработанные НП «НПС» Методические рекомендации не противоречат требованиям нормативных и иных актов Банка России по вопросам защиты информации при осуществлении переводов денежных средств, в том числе требованиям Положения Банка России от 24.08.2016 №552-П.

Авторы документа отмечают, что им совместно с Банком России удалось создать «живой» документ, который можно и даже нужно будет дополнять по мере необходимости, и призывают участников рынка обсуждать и формулировать новые вопросы, которые требуют разъяснений. Кроме того, о любых случаях отклонения применительной практики от этих рекомендаций они просят сообщать для дальнейшей совместной проработки с мегарегулятором.

«Необходимость в методологических рекомендациях была связана, прежде всего, с тем, что они вслед за самим положением затрагивают большой пласт деятельности в платежной сфере любой кредитной организации. Это одно из ключевых направлений, – отмечает А. Лисицын. – Документ очень системный, затрагивающий различные аспекты, связанные, в том числе, с документированием, физическим и логическим доступом, вредоносным кодом и пр.».

Как отмечает председатель правления НП «НПС» Алма Обаева, рынок может всецело использовать данные рекомендации в своей повседневной работе.

«Мы ждем от рынка дополнительные предложения, и готовы дальше совершенствовать этот документ. Он доступен всем желающим и к нам поступает достаточно много обращений, особенно из регионов, – подчеркивает А. Обаева. – Формат был выбран правильный, мы планируем продолжить работу с Банком России в таком же ключе и по другим направлениям деятельности».

«Рекомендации направлены на то, чтобы помочь кредитным организациям правильно выполнять требования Банка России, – рассказывает А. Курило. – Формат документа позволяет по мере возникновения новых вопросов давать ответы в виде дополнительных рекомендаций. По-моему мнению необходимость новых комментариев может возникнуть в следующем году с выходом нового Положение №382-П. А пока сегодня необходимо реализовывать текущие требования ЦБ».

Читайте также:

Что май грядущий нам готовит? Как обеспечить «Миру» – мир? Трансгран – ни цифры, ни аналога? ИИ – не отстать любой ценой?

Методические рекомендации для обеспечения единообразного соблюдения Положения Банка России № 552-П были направлены в соответствующих официальных письмах главам ведущих ассоциаций финансового рынка, а также участникам рынка платежных услуг для использования в работе.

По материалам PLUSworld.ru