Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Анализ рисков в аспекте НПС - а надо ли?

Аватар пользователя Игорь Бурцев
Автор: Бурцев Игорь, -
(0)
()
Продолжая разбираться в тематике защиты информации в Национальной платежной системе я подошел к очередному сложному вопросу - необходим, или вернее обязателен ли анализ рисков информационной безопасности с точки зрения нормативных документов по тематике защиты информации в НПС. Давайте попробуем разобраться в этом вопросе и проследим требования, относящиеся к анализу рисков среди цепочки нормативных документов: 161-ФЗ - ПП 584 - 382-П.

По тексту используются следующие сокращения: ПС - платежная система, ОПС - оператор платежной системы, ПДС - перевод денежных средств, ОПДС - оператор по переводу денежных средств, ОУПИ - оператор услуг платежной инфраструктуры. 

Начнем с 161-ФЗ "О Национальной платежной системе"
Статья 15. Оператор платежной системы и требования к его деятельности
... 5. Оператор платежной системы обязан:
1) определять правила ПС, организовывать и осуществлять контроль за их соблюдением участниками ПС, операторами услуг платежной инфраструктуры;

3) организовывать систему управления рисками в ПС в соответствии со статьей 28 настоящего ФЗ, осуществлять оценку и управление рисками в ПС;
Статья 20. Правила платежной системы
1. Правилами платежной системы должны определяться:

13) система управления рисками в ПС, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками;
… 
19) требования к защите информации.
Статья 28. Система управления рисками в платежной системе
1. В целях настоящего ФЗ под системой управления рисками в ПС понимается комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования ПС с учетом размера причиняемого ущерба.
2. ОПС обязан определить одну из следующих используемых в ПС организационных моделей управления рисками в ПС:
1) самостоятельное управление рисками в ПС оператором ПС;
2) распределение функций по оценке и управлению рисками между ОПС, ОУПИ  и участниками ПС;
3) передача функций по оценке и управлению рисками оператором ПС, не являющимся кредитной организацией, расчетному центру.
3. Система управления рисками должна предусматривать следующие мероприятия:
1) определение организационной структуры управления рисками...;
2) определение функциональных обязанностей лиц...;
3) доведение до органов управления ОПС соответствующей информации о рисках;
4) определение показателей бесперебойности функционирования ПС в соответствии с требованиями нормативных актов Банка России;
5) определение порядка обеспечения бесперебойности функционирования ПС в соответствии с требованиями нормативных актов Банка России;
6) определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России;
7) определение порядка обмена информацией, необходимой для управления рисками;
8) определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев;
9) определение порядка изменения операционных и технологических средств и процедур;
10) определение порядка оценки качества функционирования операционных и технологических средств, информационных систем независимой организацией;
11) определение порядка обеспечения защиты информации в платежной системе. 
4. Способы управления рисками в ПС определяются ОПС с учетом особенностей организации ПС, модели управления рисками, процедур платежного клиринга и расчета, количества ПДС и их сумм, времени окончательного расчета.
5. Система управления рисками может предусматривать следующие способы управления рисками:
1) установление предельных размеров (лимитов) обязательств участников ПС с учетом уровня риска;
2) создание гарантийного фонда ПС;
3) управление очередностью исполнения распоряжений участников ПС;
4) осуществление расчета в платежной системе до конца рабочего дня;
5) осуществление расчета в пределах предоставленных участниками ПС денежных средств;
6) обеспечение возможности предоставления кредита;
7) использование безотзывных банковской гарантии или аккредитива;
8) другие способы управления рисками, предусмотренные правилами ПС.
Таким образом (исходя из тех выдержек, которые я привел) видно, что в 161-ФЗ нет четкого указания о необходимости анализа рисков ИБ в рамках обеспечения защиты информации в ПС. Защита информации в рамках ПС осуществляется в соответствии с правилами ПС, которые определяет ОПС (помимо тех требований, которые уже прописаны в других нормативных документах). Из содержания же ст. 28 видно, что система управления рисками, о которой в ней идет речь, в большей степени ориентирована на обеспечение бесперебойности функционирования ПС, в рамках которого в том числе могут рассматриваться и риски ИБ.

Смотрим далее, что нам говорит про анализ рисков ИБ Постановление Правительства РФ №584 "О защите информации в платежной системе": 
...
2. Защита информации осуществляется в соответствии с требованиями к защите информации, которые включаются операторами этих ПС в правила ПС...
... 
4. Правила ПС должны предусматривать, в том числе следующие требования к защите информации:

в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками...
Т.е. в Постановлении Правительства № 584 присутствует явное указание на включение в правила ПС требований к анализу и оценке рисков ИБ, но при этом говорится, что защита информации в ПС осуществляется в соответствии с правилами ПС, поэтому ответственность по установке этих требований в конечном счете ложится на операторов ПС. Если требования они не установили - то получается, что на участников ПС эта обязанность возлагаться не будет, до поры до времени пока правила ПС не будут скорректированы в соответствии с требования ПП 584.

Идем далее и смотрим на Положение Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Тут видим следующие требования: 
2.14. В состав требований к определению и реализации порядка обеспечения защиты информации при осуществлении ПДС включаются следующие требования.
2.14.2. ОПС устанавливает распределение обязанностей по определению порядка обеспечения защиты информации при осуществлении ПДС путем:
· самостоятельного определения ОПС порядка обеспечения защиты информации при осуществлении ПДС;
· распределения обязанностей по определению порядка обеспечения защиты информации при осуществлении ПДС между ОПС, ОУПИ и участниками ПС;
· передачи функций по определению порядка обеспечения защиты информации при осуществлении ПДС оператором ПС, не являющимся кредитной организацией, расчетному центру.

ОПС, ОПДС, ОУПИ обеспечивают определение порядка обеспечения защиты информации при осуществлении ПДС в рамках распределения обязанностей, установленных ОПС.
Для определения порядка обеспечения защиты информации при осуществлении ПДС ОПС, ОПДС, ОУПИ в рамках обязанностей, установленных ОПС, могут использовать:
...
· результаты анализа рисков при обеспечении защиты информации при осуществлении ПДС на основе моделей угроз и нарушителей безопасности информации, определенных в национальных стандартах по защите информации, стандартах организаций, в том числе стандартах Банка России, принятых в соответствии с законодательством Российской Федерации о техническом регулировании, или на основе моделей угроз и нарушителей безопасности информации, определенных ОПС, ОПДС, ОУПИ.
2.17. В состав требований к совершенствованию ОПС, ОПДС, ОУПИ защиты информации при осуществлении ПДС включаются следующие требования:
2.17.2. ОПДС, ОУПИ регламентируют порядок принятия мер, направленных на совершенствование защиты информации при осуществлении ПДС, в случаях:
...
· выявления угроз, рисков и уязвимостей в обеспечении защиты информации при осуществлении переводов денежных средств …
Т.е. в 382-П все-же есть указание на необходимость анализа рисков ИБ, но:
  • относительно п. 2.14.2 - в нем присутствует по сути рекомендация ("могут использоваться") по использованию результатов анализа рисков ИБ для определения порядка обеспечения защиты информации, и эти рекомендации не входят в состав требований Приложения 2 к 382-П, которые проверяются про проведении оценки соответствия. 
  • относительно п. 2.17.2 - это требование включено в Приложение 2 382-П (П.126) и является обязательным, но подразумевал ли под ним ЦБ необходимость проведения именного анализа рисков? 
Если посмотреть Положение Банка России от 31.05.2012 № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах», то там также говориться об анализе рисков в части непрерывности (бесперебойности) деятельности, рассматривать или не рассматривать в рамках этой деятельности риски ИБ - не вполне понятно.

Подводя итог, я для себя сделал следующие выводы:
  • В рамках требований 382-П, которые проверяются при проведении оценки соответствия, четких требований по оценке рисков ИБ нет. По сравнению с тем же СТО БР ИББР, где оценке рисков ИБ был посвящен не один раздел, тут ЦБ сильно порезал эти требования и как то стороной в общем обошел эту тему, что вроде как и надо, но как - думайте сами.
  • Требование по необходимости оценки рисков ИБ в рамках ПС должны проявляться в правилах ПС (в соответствии с ПП 584), которые устанавливаются ОПС. В этом случае ОПДС и ОУПИ придется выполнять эти требования в рамках ПС.
Таким образом получается, что законодатели вроде как изначально закладывали в рамках нормативных документов требование по необходимости анализа рисков ИБ, и здравый смысл подсказывает, что меры защиты следует принимать исходя их возможных рисков, но на деле пока получается так, что все зависит от операторов платежных систем и от того, что они пропишут в правилах платежных систем.
Оцените материал:
Total votes: 376
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.