Информационная безопасность в

рамках Национальной платежной

системы. Краткий обзор

Лукацкий Алексей, консультант по безопасности

security-request@cisco.com

Почему Cisco говорит о законодательстве?

ТК22 ТК122 ТК362 КЦ

АРБ

РГ

ЦБ

«Безопасность

ИТ» (ISO SC27 в

России)

«Защита

информации в

кредитных

учреждениях»

«Защита

информации»

при ФСТЭК

Консультации

банков по

вопросам ПДн

Разработка

рекомендаций по

ПДн и СТО БР

ИББС v4

ФСБ МКС НАУФОР НПС ФСТЭК

Экспертиза

документов Предложения Отраслевой

стандарт

Разработка

документов

Экспертиза

документов

Еженедельный выпуск НПА по ИБ за последний год

0

1

2

3

4

5

6

7

НПС – один из приоритетов последних дней

39 5 2

4

8 2

1

1 Все

НПС

Банки

Госорганы

Операторы связи

ТЭК

УК, ТСЖ, ЖК, ЖСК

Нотариусы

НПС – вершина регулирования отрасли денежных

переводов

Требование Объект

защиты

Статус Обязательность Санкции Оценка

соответствия

ISO 270хх Вся КИ Международный

стандарт

Рекомендация Нет Аудит

СТО БР

ИББС

БТ, КТ,

ПДн

Стандарт

организации

Рекомендация

(де-юре)

Нет Аудит,

самооценка

ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует

PCI DSS БТ,

ПДн

Международный

стандарт

Обязательный

(де-юре)

Рекомендация

(де-факто)

Штраф Аудит,

самооценка

НПС БТ, КТ,

ПДн

Закон Обязательный Штраф,

приостановление

деятельности

Аудит,

самооценка

РАЗВЕ СТО БР ИББС НЕ

ХВАТАЕТ?

Мобильные платежи как пример неподвластности СТО

• Mobile Peer-to-Peer платежи

– Неформализованные транзакции между двумя людьми

• Платежи на базе Premium SMS

• mCommerce

• Сканирование

– QR Code

– Сканирование чеков

• Proximity

– IrDA

– Bluetooth

– NFC

• Mobile Acceptance Devices

Premium SMS с точки зрения СТО БР ИББС

• К участникам схемы “Premium SMS” требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией

– Денежные средства могут списываться со счета абонента у оператора связи

Мобильное

устройство

Мобильный

оператор

Контент-

провайдер

Банк

NFC с точки зрения СТО БР ИББС

• К участникам схемы NFC требования СТО БР ИББС

неприменимы, т.к. ни один из них не является кредитной

организацией

Мобильное

устройство

Банк

Платежные

системы

Торгово-сервисное

предприятие

Кто главный? 4 модели мобильных платежей

• В рамках СТО БР

ИББС «главным»

всегда является банк,

как основной

участник перевода

денежных средств

• В модели мобильных

платежей роль банка

уже не так очевидна и

СТО БР ИББС

применим не во всех

случаях

Оператор

• Независимо от банков

Оператор

• Независимо от банков

Банк

• Оператор дает только транспорт

Банк

• Оператор дает только транспорт

«Дружба»

• Необходима доверенная сторона

«Дружба»

• Необходима доверенная сторона

P2P

• Провайдер услуг работает напрямую с покупателем

P2P

• Провайдер услуг работает напрямую с покупателем

ВВЕДЕНИЕ В НПС

Предыстория НПС

• Национальная система платежных карт – проект создания в РФ

альтернативы международным платежным системам Visa и

Mastercard, а также одноэмитентным платежным системам

• Задачи

– Функционирование на национальном уровне независимой от

влияния международных платежных систем структуры расчетов

по карточкам (защита граждан)

– Реализация социальной функции, используя карты НСПК в

качестве основы для предоставления различных госуслуг в

электронном виде

– Обеспечение перехода от использования наличных денег к

полнофункциональным безналичным расчетам за товары, услуги

и сделки

• УЭК – часть проекта НСПК

Что такое НПС?

• Национальная платежная система – это совокупность

операторов по переводу денежных средств (включая операторов

электронных денежных средств), банковских платежных агентов

(субагентов), платежных агентов, организаций федеральной

почтовой связи при оказании ими платежных услуг в

соответствии с законодательством Российской Федерации,

операторов платежных систем, операторов услуг платежной

инфраструктуры (субъекты национальной платежной системы)

• Цель НПС – унификация подходов к осуществлению

безналичных денежных переводов и вывод из тени (контроль)

платежных систем, ранее непопадающих под регулирование с

целью предотвращения финансирования

терроризма/экстремизма и легализации доходов, полученных

преступным путем

БАЗОВЫЕ ОПРЕДЕЛЕНИЯ

Базовые определения

• Перевод денежных средств - действия оператора по переводу

денежных средств в рамках применяемых форм безналичных

расчетов по предоставлению получателю средств денежных

средств плательщика

• Платежная система - совокупность организаций,

взаимодействующих по правилам платежной системы в целях

осуществления перевода денежных средств, включающая

оператора платежной системы, операторов услуг платежной

инфраструктуры и участников платежной системы, из которых как

минимум три организации являются операторами по переводу

денежных средств

• Значимая платежная система - платежная система, отвечающая

критериям, установленным ФЗ-161 (системно значимая

платежная система или социально значимая платежная система)

Примеры платежных систем

• ОРПС (бывшая СБЕРКАРТ)

• Золотая Корона

• Visa

• Яндекс.Деньги

• Webmoney

• Western Union

• Contact

• Единая система почтовых переводов (ЕСПП)

• Qiwi (ОСМП)

• Деньги в Контакте

• Рапида

УЧАСТНИКИ НПС

Участники НПС

• Оператор по переводу денежных средств

• Оператор по переводу электронных денежных средств

• Банковский платежный агент

• Банковский платежный субагент

• Платежный агент

• Организация федеральной почтовой связи

• Оператор платежной системы

• Оператор услуг платежной инфраструктуры

– Операционный центр

– Расчетный центр

– Платежный клиринговый центр

• Центральный платежный клиринговый контрагент

Оператор по переводу денежных средств

• Оператор по переводу денежных средств – организация, которая

в соответствии с законодательством Российской Федерации

вправе осуществлять перевод денежных средств

• Операторами по переводу денежных средств являются:

– Банк России

– кредитные организации, имеющие право на осуществление

перевода денежных средств

– Внешэкономбанк

Оператор электронных денежных средств

• Оператор электронных денежных средств - оператор по переводу

денежных средств, осуществляющий перевод электронных

денежных средств без открытия банковского счета (перевод

электронных денежных средств)

• Оператором электронных денежных средств является кредитная

организация, в том числе небанковская кредитная организация,

имеющая право на осуществление переводов денежных средств

без открытия банковских счетов и связанных с ними иных

банковских операций, предусмотренная пунктом 1 части третьей

статьи 1 Федерального закона «О банках и банковской

деятельности»

Банковский платежный агент (субагент)

• Банковский платежный агент - юридическое лицо, за

исключением кредитной организации, или индивидуальный

предприниматель, которые привлекаются кредитной

организацией в целях осуществления деятельности,

предусмотренной ФЗ-161

• Банковский платежный субагент - юридическое лицо, за

исключением кредитной организации, или индивидуальный

предприниматель, которые привлекаются банковским платежным

агентом в целях осуществления деятельности, предусмотренной

ФЗ-161

Оператор платежной системы

• Оператор платежной системы - организация, определяющая

правила платежной системы, а также выполняющая иные

обязанности, предусмотренные ФЗ-161

• Оператором платежной системы может являться кредитная

организация, организация, не являющаяся кредитной

организацией и созданная в соответствии с законодательством

Российской Федерации, Банк России или Внешэкономбанк

• Оператор платежной системы может совмещать свою

деятельность с деятельностью оператора по переводу денежных

средств, оператора услуг платежной инфраструктуры и с иной

деятельностью, если это не противоречит законодательству

Российской Федерации

– Для некредитной организации нельзя совмещать с ролью

расчетного центра

Кто еще может стать оператором платежной системы?

• Банк России устанавливает значение переводов денежных

средств, осуществляемых в течение трех месяцев подряд между

банковскими счетами не менее трех операторов по переводу

денежных средств, в размере 1500 миллионов рублей, при

превышении которого оператор по переводу денежных средств, у

которого открыты эти банковские счета, обязан обеспечить

направление в Банк России заявления о регистрации оператора

платежной системы

– Указание 2814-У от 02.05.2012 «О размере значения переводов

денежных средств, при превышении которого оператор по

переводу денежных средств обязан обеспечить направление в

Банк России заявления о регистрации оператора платежной

системы»

Оператор услуг платежной инфраструктуры

• Оператор услуг платежной инфраструктуры - операционный

центр, платежный клиринговый центр и расчетный центр

• Оператором услуг платежной инфраструктуры может являться

кредитная организация, организация, не являющаяся кредитной

организацией, Банк России или Внешэкономбанк

• Оператор услуг платежной инфраструктуры может совмещать

оказание операционных услуг, услуг платежного клиринга и

расчетных услуг (исключая некредитные организации), в том

числе в рамках одной организации

• Оператор услуг платежной инфраструктуры, не являющийся

кредитной организацией, может совмещать свою деятельность с

деятельностью оператора платежной системы

Оператор услуг платежной инфраструктуры

• Операционный центр - организация, обеспечивающая в рамках

платежной системы для участников платежной системы и их

клиентов доступ к услугам по переводу денежных средств, в том

числе с использованием электронных средств платежа, а также

обмен электронными сообщениями

• Расчетный центр - организация, созданная в соответствии с

законодательством Российской Федерации, обеспечивающая в

рамках платежной системы исполнение распоряжений участников

платежной системы посредством списания и зачисления

денежных средств по банковским счетам участников платежной

системы, а также направление подтверждений, касающихся

исполнения распоряжений участников платежной системы

Платежный клиринговый центр

• Платежный клиринговый центр - организация, созданная в

соответствии с законодательством Российской Федерации,

обеспечивающая в рамках платежной системы прием к

исполнению распоряжений участников платежной системы об

осуществлении перевода денежных средств и выполнение иных

действий, предусмотренных ФЗ-161

• Центральный платежный клиринговый контрагент - платежный

клиринговый центр, выступающий в соответствии с настоящим

Федеральным законом плательщиком и получателем средств по

переводам денежных средств участников платежной системы

Один участник = разные статусы

• Мобильный оператор переводит денежные средства через платежные сервисы (например, Intervale)

• Мобильный оператор работает напрямую с контент-провайдерами, списывая средства со счета абонента у оператора

Мобильное

устройство

Мобильный

оператор (оператор ПС или платежный агент

или вообще не участник НПС (ст.13)?)

Платежные

сервисы

Банк

Контент-

провайдер

TSM в NFC: кто он для НПС?

• Оператор платежной системы?

• Операционный центр?

• Клиринговый центр?

Терминал

TSM

Мобильное устройство

Secure Element

Экосистема мобильных платежей еще сложнее

• + Органы по оценке

соответствия

• + Регуляторы и

органы по

стандартизации

• + Производители

средств защиты

• + Производители

оборудования

Источник: “Mobile Payment. 2nd edition”, EPC492-09

НОРМАТИВНАЯ БАЗА ИБ

НПС

Защита информации в НПС

• Обеспечение защиты информации в платежной системе

– Ст.27 ФЗ-161 (вступает в силу с 01.07.2012)

• Участники НПС обязаны обеспечивать защиту информации о

средствах и методах обеспечения информационной

безопасности, персональных данных и об иной информации,

подлежащей обязательной защите в соответствии с

законодательством Российской Федерации

Кто устанавливает требования по защите информации

• Правительство Российской Федерации устанавливает

требования к защите указанной информации

– Ст.27.1 ФЗ-161

• Контроль и надзор за выполнением требований, установленных

Правительством Российской Федерации, осуществляются ФСБ, и

ФСТЭК, в пределах их полномочий и без права ознакомления с

защищаемой информацией

– Ст.27.2 ФЗ-161

Но не только ФСТЭК и ФСБ

• Участники НПС обязаны обеспечивать защиту информации при

осуществлении переводов денежных средств в соответствии с

требованиями, установленными Банком России, согласованными

с ФСБ и ФСТЭК

– Ст.27.3 ФЗ-161

• Контроль за соблюдением установленных требований

осуществляется Банком России в рамках надзора в

национальной платежной системе в установленном им порядке,

согласованном с ФСТЭК и ФСБ

– Ст.27.3 ФЗ-161

На кого распространяются требования по защите?

Участник НПС Обязан выполнять требования

по защите

Оператор по переводу денежных

средств +

Банковские платежные агенты

(субагенты) +

Оператор платежной системы +

Оператор услуг платежной

инфраструктуры +

Организация федеральной почтовой

связи ̶

Клиент ̶

Структура нормативно-правовых актов

ФЗ-161 от 27.06.2011 ФЗ-161 от 27.06.2011

ПП-584 от 13.06.2012 ПП-584 от 13.06.2012

Документы Банка России

Документы Банка России

380-П от 31.05.2012 380-П от

31.05.2012 381-П от

09.06.2012 381-П от

09.06.2012 382-П от

09.06.2012 382-П от

09.06.2012 2831-У от 09.06.2012 2831-У от 09.06.2012

ПОСТАНОВЛЕНИЕ

ПРАВИТЕЛЬСТВА 584

Постановление Правительства №584

• Об утверждении положения о защите информации в платежной

системе

• Настоящее Положение устанавливает требования к защите

информации о средствах и методах обеспечения

информационной безопасности, персональных данных и иной

информации, подлежащей обязательной защите в соответствии с

законодательством Российской Федерации, обрабатываемой

операторами по переводу денежных средств, банковскими

платежными агентами (субагентами), операторами платежных

систем и операторами услуг платежной инфраструктуры

в платежной системе

3 цели защиты информации

1. Обеспечение защиты информации от неправомерных доступа,

уничтожения, модифицирования, блокирования, копирования,

предоставления и распространения, а также от иных

неправомерных действий в отношении информации

2. Соблюдение конфиденциальности информации

3. Реализация права на доступ к информации в соответствии с

законодательством Российской Федерации

Обязательные требования: великолепная десятка

1. Создание и организация функционирования структурного

подразделения по защите информации или назначение

должностного лица, ответственного за организацию защиты

информации

2. Включение в должностные обязанности работников,

участвующих в обработке информации, обязанности по

выполнению требований к защите информации

3. Осуществление мероприятий, имеющих целью определение

угроз безопасности информации и анализ уязвимости

информационных систем

4. Проведение анализа рисков нарушения требований к защите

информации и управление такими рисками

5. Разработка и реализация систем защиты информации в

информационных системах

Обязательные требования: великолепная десятка

6. Применение средств защиты информации (шифровальные

(криптографические) средства, средства защиты информации от

несанкционированного доступа, средства антивирусной защиты,

средства межсетевого экранирования, системы обнаружения

вторжений, средства контроля (анализа) защищенности)

7. Выявление инцидентов, связанных с нарушением требований к

защите информации, реагирование на них

8. Обеспечение защиты информации при использовании

информационно-телекоммуникационных сетей общего

пользования

9. Определение порядка доступа к объектам инфраструктуры

платежной системы, обрабатывающим информацию

10. Организация и проведение контроля и оценки выполнения

требований к защите информации на собственных объектах

инфраструктуры не реже 1 раза в 2 года

Кто может выполнять работы по защите?

• Для проведения работ по защите информации операторами и

агентами могут привлекаться на договорной основе организации,

имеющие лицензии на деятельность по технической защите

конфиденциальной информации и (или) на деятельность по

разработке и производству средств защиты конфиденциальной

информации

• Контроль (оценка) соблюдения требований к защите информации

осуществляется операторами и агентами самостоятельно или с

привлечением на договорной основе организации, имеющей

лицензию на деятельность по технической защите

конфиденциальной информации

Есть ли жесткие требования?

• Применение шифровальных (криптографических) средств

защиты информации операторами и агентами осуществляется в

соответствии с законодательством Российской Федерации

• Требования использования только сертифицированных СЗИ (не

СКЗИ) нет

– Фрагмент «в том числе прошедших в установленном порядке

процедуру оценки соответствия» из проекта Постановления в

финальной редакции был убрал

• Требование наличия лицензии у участника НПС для обеспечения

защиты для собственных нужд также не устанавливается

ВВЕДЕНИЕ В ДОКУМЕНТЫ

БАНКА РОССИИ ПО ИБ

Требования по ИБ есть не только в документах по НПС

• Положением 242-П от 16.12.2003 «Об организации внутреннего

контроля в кредитных организациях и банковских группах»

• Письмо 70-Т от 23.06.2004 «О типичных банковских рисках»

• Письмо 92-Т от 30.06.2005 «Об организации управления

правовым риском и риском потери деловой репутации

в кредитных организациях и банковских группах»

• Письмо 76-Т от 24.05.2005 «Об организации управления

операционным риском в кредитных организациях»

• Письмо 60-Т от 27.04.2007 «Об особенностях обслуживания

кредитными организациями клиентов с использованием

технологии дистанционного доступа к банковскому счету клиента

(включая интернет-банкинг)»

Требования по ИБ есть не только в документах по НПС

• Письмо 140-Т от 05.09.2007 «По вопросам территориальных

учреждений» (о проверках обеспечения кредитными

организациями требований к информационной безопасности)

• Письмо 197-Т от 7.12.2007 «О рисках при дистанционном

банковском обслуживании»

• Письмо 36-Т от 31.03.2008 «О Рекомендациях по организации

управления рисками, возникающими при осуществлении

кредитными организациями операций с применением систем

интернет-банкинга»

• Письмо 11-Т от 30.01.2009 «О рекомендациях для кредитных

организаций по дополнительным мерам информационной

безопасности при использовании систем интернет-банкинга»

Требования по ИБ есть не только в документах по НПС

• Письмо 141-Т от 26.10.2010 «О Рекомендациях по подходам

кредитных организаций к выбору провайдеров и взаимодействию

с ними при осуществлении дистанционного банковского

обслуживания»

• Положение 379-П от 31.05.2012 «Положение о бесперебойности

функционирования платежных систем и анализе рисков в

платежных системах»

Структура документов Банка России по защите в НПС

380-П от 31.05.2012

• Положение о порядке осуществления наблюдения в национальной платежной системе

381-П от 09.06.2012

• Положение о порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", принятых в соответствии с ним нормативных актов Банка России

382-П от 09.06.2012

• Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

2831-У от 09.06.2012

• Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств

Как связаны ПП-584 и документы Банка России?

Требование из ПП-584 Документ ЦБ

Функционирование структурного подразделения 382-П, СТО БР ИББС

Включение в должностные инструкции

обязанностей по защите информации

382-П, СТО БР ИББС

Моделирование угроз и анализ уязвимости СТО БР ИББС

Анализ и управление рисками 242-П, 92-Т, 70-Т, 76-Т,

379-П и т.д.

Разработка и реализация системы защиты 382-П, СТО БР ИББС

Применение средств защиты 382-П, СТО БР ИББС

Выявление инцидентов 382-П, СТО БР ИББС

Обеспечение защиты при использовании ССОП 197-Т, 36-Т, 11-Т, 141-Т,

382-П

Разграничение доступа 382-П

Организация и проведения контроля 382-П, 2831-У, 380-П,

381-П, СТО БР ИББС

ПОЛОЖЕНИЕ 382-П

Положение Банка России 382-П от 09.06.2012

• Положение 382-П согласовано с ФСБ и ФСТЭК

Участник НПС Обязан выполнять

требования 382-П

Кто контролирует

выполнение 382-П

Оператор по переводу

денежных средств + Банк России

Банковские платежные

агенты (субагенты) + Оператор по

переводу денежных

средств

Оператор платежной

системы + Банк России

Оператор услуг платежной

инфраструктуры + Банк России

Организация федеральной

почтовой связи ̶ ̶

Клиент ̶ ̶

Что защищаем?

• Информации об остатках денежных средств на банковских счетах

• Информации об остатках электронных денежных средств

• Информации о совершенных переводах денежных средств, в том

числе информации, содержащейся в извещениях

(подтверждениях), касающихся приема к исполнению

распоряжений участников платежной системы, а также в

извещениях (подтверждениях), касающихся исполнения

распоряжений участников платежной системы

– требование об отнесении информации о совершенных переводах

денежных средств к защищаемой информации, хранящейся в

операционных центрах платежных систем с использованием

платежных карт или находящихся за пределами Российской

Федерации, устанавливается оператором платежной системы

Что защищаем?

• Информации, содержащейся в оформленных в рамках

применяемой формы безналичных расчетов распоряжениях

клиентов операторов по переводу денежных средств (далее -

клиентов), распоряжениях участников платежной системы,

распоряжениях платежного клирингового центра

• Информации о платежных клиринговых позициях; информации,

необходимой для удостоверения клиентами права распоряжения

денежными средствами, в том числе данных держателей

платежных карт

• Ключевой информации средств криптографической защиты

информации, используемых при осуществлении переводов

денежных средств

Что защищаем?

• Информации о конфигурации, определяющей параметры работы

автоматизированных систем, программного обеспечения, средств

вычислительной техники, телекоммуникационного оборудования,

эксплуатация которых обеспечивается оператором по переводу

денежных средств, оператором услуг платежной инфраструктуры,

банковским платежным агентом (субагентом), и используемых

для осуществления переводов денежных средств (далее -

объекты информационной инфраструктуры), а также информации

о конфигурации, определяющей параметры работы технических

средств по защите информации

• Информации ограниченного доступа, в том числе персональных

данных и иной информации, подлежащей обязательной защите в

соответствии с законодательством Российской Федерации,

обрабатываемой при осуществлении переводов денежных

средств

Как защищать ПДн при переводе денежных средств?

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны

обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной

защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации

Постановление Правительства

№584

Проект постановления Правительства по требованиям к безопасности ПДн

Проект приказа ФСБ

Проект приказа ФСТЭК

382-П

Какие требования по защите информации НПС?

Назначение и распределение прав и

обязанностей

Назначение и распределение прав и

обязанностей

Этапы жизненного цикла объектов

информационной инфраструктуры

Этапы жизненного цикла объектов

информационной инфраструктуры

Доступ к объектам инфраструктуры

Доступ к объектам инфраструктуры

Защита от несанкционированного

доступа

Защита от несанкционированного

доступа

Защита от вредоносного кода

Защита от вредоносного кода

Защита при использовании

Интернет

Защита при использовании

Интернет Применение СКЗИ Применение СКЗИ

Контроль выполнения технологии обработки

защищаемой информации

Контроль выполнения технологии обработки

защищаемой информации

Организация и функционирование подразделения ИБ

Организация и функционирование подразделения ИБ

Повышение осведомленности

работников

Повышение осведомленности

работников

Выявление инцидентов и

реагирование на них

Выявление инцидентов и

реагирование на них

Реализация порядка обеспечения защиты

информации

Реализация порядка обеспечения защиты

информации

Оценка выполнения требований

Оценка выполнения требований

Информирование оператора платежной

системы ее участниками об ОЗИ

Информирование оператора платежной

системы ее участниками об ОЗИ

Совершенствование инфраструктуры

защиты

Совершенствование инфраструктуры

защиты

Нововведения 382-П

• Операторы по переводу денежных средств обязаны регулярно

информировать клиентов о новых угрозах и рисках и

рекомендациях по их нейтрализации/управлению

• В топ-менеджменте операторов по переводу денежных средств

или операторов услуг платежной инфраструктуры назначаются

кураторы по ИБ, которые не должны совпадать с кураторами по

ИТ

• На оператора платежной системы возлагается большая работа по

реагированию на инциденты, разработке методик анализа и

реагирования, информированию операторов по переводу и

операторов инфраструктуры о выявленных инцидентах и т.д.

• Оценка соответствия требованиям по ИБ проводится

самостоятельно или с приглашением внешних организаций в

соответствие с методикой, приведенной в приложении к 382-П

• Требование сертификации к средствам защиты не предъявляется

Информирование оператора платежной системы

• Операторы по переводу денежных средств и операторы услуг

платежной инфраструктуры обязаны информировать оператора

платежной системы о том, как они осуществляют защиту

информации

• В информирование включается информация:

– о степени выполнения требований к обеспечению защиты

информации при осуществлении переводов денежных средств

– о реализации порядка обеспечения защиты информации при

осуществлении переводов денежных средств

– о выявленных инцидентах, связанных с нарушениями требований

к обеспечению защиты информации при осуществлении

переводов денежных средств

– о результатах проведенных оценок соответствия

– о выявленных угрозах и уязвимостях в обеспечении защиты

информации

Применение СКЗИ

• Оператор платежной системы самостоятельно определяет

необходимость использования СКЗИ, если иное не

предусмотрено федеральными законами и иными нормативными

правовыми актами Российской Федерации

• Если необходимость СКЗИ определена, то работы по

обеспечению защиты информации с помощью СКЗИ проводятся

в соответствии с Федеральным законом от 6 апреля 2011 года

63-ФЗ «Об электронной подписи», Положением о разработке,

производстве, реализации и эксплуатации шифровальных

(криптографических) средств защиты информации (Положение

ПКЗ-2005), и технической документацией на СКЗИ

• В случае если участники НПС применяют СКЗИ российского

производителя, указанные СКЗИ должны иметь сертификаты

уполномоченного государственного органа

А теперь вопросы по применению СКЗИ

• А если СКЗИ иностранного производства?

– ФЗ-66 «Об электронной подписи» и ПКЗ-2005 на них не

распространяется

• Обладатель информации

• Собственник (владелец) системы Обмен собственной

информацией Обмен собственной

информацией

• Госорган Обмен с госорганами Обмен с госорганами

• Организация госзаказа Обмен с организациями

госзаказа Обмен с организациями

госзаказа

• Обладатель информации

• Пользователь (потребитель) Обработка и хранение

без передачи Обработка и хранение

без передачи

А теперь вопросы по применению СКЗИ

• А если СКЗИ иностранного производства ввезена легально?

– По разрешению ФСБ

– По упрощенной схеме (под исключение «Шифровальное

(криптографическое) оборудование, специально разработанное и

ограниченное применением для банковских или финансовых

операций»)

Упрощенная схема Упрощенная схема

• Ввоз по нотификации

По лицензии По лицензии

• Разрешение ФСБ

• Ввоз по лицензии Минпромторга

Контроль исполнения

• Банк России проводит проверки (380-П):

– операторов платежных систем, являющихся кредитными

организациями

– операторов услуг платежной инфраструктуры, являющихся

кредитными организациями

– операторов по переводу денежных средств, являющихся

кредитными организациями

• Банк России проводит инспекционные проверки (381-П)

– операторов платежных систем, не являющихся кредитными

организациями

– операторов услуг платежной инфраструктуры, не являющихся

кредитными организациями

• Информацию и документы о соблюдении правил защиты

информации платежными агентами (субагентами) Банк России

запрашивает у операторов по переводу денежных средств

УКАЗАНИЕ 2831-У

Указание 2831-У

• Указание «Об отчетности по обеспечению защиты информации

при осуществлении переводов денежных средств операторов

платежных систем, операторов услуг платежной инфраструктуры,

операторов по переводу денежных средств»

• Оно устанавливает формы отчетности по обеспечению защиты

информации при осуществлении переводов денежных средств

операторов платежных систем, операторов услуг платежной

инфраструктуры, операторов по переводу денежных средств,

сроки предоставления отчетности и методики составления

отчетности

– На платежных агентов (субагентов) данное указание не

распространяется

– Но Банк России может самостоятельно запрашивать у платежных

агентов информацию в рамках 380-П

Указание 2831-У

• Сведения о выполнении участниками НПС требований к обеспечению защиты информации при осуществлении денежных переводов

• Предоставляется не позднее тридцати рабочих дней со дня завершения оценки выполнения требований, установленных 382-П

0403202 0403202

• Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств

• Ежемесячно, не позднее 10-го рабочего дня месяца

0403203 0403203

О каких инцидентах уведомлять?

• Воздействие программного кода, приводящее к нарушению

штатного функционирования средства вычислительной техники,

результатом которого является нарушение предоставления услуг

по переводу денежных средств или несвоевременности

осуществления переводов денежных средств

• Реализация воздействий на автоматизированные системы,

программное обеспечение, средства вычислительной техники,

телекоммуникационное оборудование, эксплуатация которых

обеспечивается оператором по переводу денежных средств,

оператором услуг платежной инфраструктуры, банковским

платежным агентом (субагентом), и используемых для

осуществления переводов денежных средств, с целью создания

условий невозможности предоставления услуг по переводу

денежных средств или несвоевременности осуществления

переводов денежных средств

О каких инцидентах уведомлять?

• Нарушение конфиденциальности информации, необходимой для

удостоверения клиентами операторов по переводу денежных

средств права распоряжения денежными средствами

• Компрометация ключевой информации средств

криптографической защиты информации, используемых при

осуществлении переводов денежных средств

• Осуществление переводов денежных средств лицами, не

обладающими правом распоряжения этими денежными

средствами, вследствие нарушения конфиденциальности

информации, необходимой для удостоверения клиентами

операторов по переводу денежных средств права распоряжения

денежными средствами или вследствие компрометации ключевой

информации средств криптографической защиты информации,

используемых при осуществлении переводов денежных средств

О каких инцидентах уведомлять?

• Воздействие вредоносного кода, приводящее к осуществлению

переводов денежных средств с использованием искаженной

информации, содержащейся в распоряжениях клиентов,

оформленных в рамках применяемой формы безналичных

расчетов, распоряжениях участников платежной системы,

распоряжениях платежного клирингового центра

• Невозможность предоставления услуг по переводу денежных

средств в платежной системе в течение трех часов и более

НАДЗОР В РАМКАХ 380-П И

381-П

Положение 380-П

• Положение Банка России от 31 мая 2012 года № 380-П «О

порядке осуществления наблюдения в национальной платежной

системе» устанавливает общий порядок наблюдения Банком

России за деятельностью операторов по переводу денежных

средств, операторов платежных систем, операторов услуг

платежной инфраструктуры (наблюдаемых организаций), других

субъектов национальной платежной системы, за оказываемыми

ими услугами, а также за развитием платежных систем,

платежной инфраструктуры

Что может запрашивать Банк России?

• В рамках мониторинга Банк России вправе запрашивать у

операторов по переводу денежных средств и платежных агентов

(субагентов) среди прочего информацию

– об уровне обеспечения защиты информации при осуществлении

переводов денежных средств

– об информационно-коммуникационных технологиях, а также

электронных носителях и технических устройствах,

используемых при предоставлении платежных услуг

– а также о попытках (в том числе реализованных) негативного

воздействия на предоставляемые услуги, зафиксированных

субъектом НПС, в том числе в случаях мошеннических действий

и (или) сетевых взломов, сопровождаемых

несанкционированным проникновением в операционную

(информационную) систему субъекта НПС

Что может запрашивать Банк России?

• У операционных, платежных клиринговых и расчетных центров

ЦБ не может запрашивать информацию об уровне обеспечения

защиты информации, но может об уровне бесперебойности

оказания операционных услуг и иных услуг платежной

инфраструктуры, о попытках (в том числе реализованных)

негативного воздействия на предоставляемые услуги,

зафиксированных операторами услуг платежной

инфраструктуры, в том числе в случаях мошеннических действий

и (или) сетевых взломов, сопровождаемых несанкционированным

проникновением в операционную (информационную) систему

субъекта НПС и о способах снижения вероятности возникновения

неблагоприятных последствий для бесперебойности

функционирования платежной системы

• У операторов платежной системы нельзя вообще ничего

запрашивать в контексте рисков, безопасности, инцидентов и т.д.

О значимых платежных системах

• Отдельно 380-П выделяет оценку значимой платежной системы,

в рамках которой оценивается деятельность такой платежной

системы по ряду показателей, включая и уровень защиты

информации при переводе денежных средств

• Если в процессе анализа значимых платежных систем находятся

недостатки, то ЦБ может выступить с предложением по

совершенствованию защиты информации

Положение 381-П

• Положение Банка России от 9 июня 2012 № 381-П «О порядке

осуществления надзора за соблюдением не являющимися

кредитными организациями операторами платежных систем,

операторами услуг платежной инфраструктуры требований

Федерального закона от 27 июня 2011 года N 161-ФЗ «О

национальной платежной системе», принятых в соответствие с

ним нормативных актов Банка России» устанавливает порядок

осуществления Банком России надзора за соблюдением не

являющимися кредитными организациями операторами

платежных систем и операторами услуг платежной

инфраструктуры

Положение 381-П

• Надзор Банк России, процедура которого и описана в 381-П,

включает в себя:

– дистанционный надзор,

– проведение плановых (1 раз в 2 года) и внеплановых

инспекционных проверок,

– применение действий и мер принуждения в случае нарушения

поднадзорной организацией требований Федерального закона №

161-ФЗ, принятых в соответствии с ним нормативных актов Банка

России

КАКОЕ НАКАЗАНИЕ ЗА

НЕСОБЛЮДЕНИЕ?

Что будет, если нарушить?

• Нарушения требований Федерального закона №161-ФЗ,

принятых в соответствии с ним нормативных актов Банка России,

выявленные при осуществлении надзора и подтвержденные

документами и информацией, являются основанием для

применения к поднадзорной организации действий и мер

принуждения, предусмотренных статьей 34 №161-ФЗ

– доведение до нарушителя информации о нарушении

– направление нарушителю рекомендаций об устранении

нарушения

– направление нарушителю предписание об устранении

нарушения

– ограничение (приостановление) оказания операционных услуг

– исключение оператора платежной системы из реестра таких

операторов

– привлечение к административной ответственности

В КАЧЕСТВЕ РЕЗЮМЕ

Не все вопросы пока закрываются требованиями по НПС

Частота

использования

Безопасность

транзакций

Макро-платежи

Микро-платежи

Мобильный кошелек

А если смартфон без NFC?

• Различные ридеры

смарт-карт, сканеры

чеков и т.д.

• Mobile Acceptance

Devices

– PayPal HERE

Mobile Credit Card

Reader, Square или

CardEase Mobile

• А есть ли к ним

требования по ИБ?

От СТО БР ИББС к ИБ НПС! А дальше?..

СТО

• Банки

НПС 1.0

• Оператор платежной системы

• Мобильный оператор (как платежный агент)

• Банки

НПС х.0

• Оператор платежной системы

• Мобильный оператор

• Банки

• Разработчик клиентского приложения

• Продавец товаров и услуг

• Аутентификационный посредник

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 81

Благодарю вас

за внимание

security-request@cisco.com