Электронная коммерция / Госemoneyконтроль: требования к безопасности платежных систем

Здравствуй! Буквально вчера откамментил в «облачных вычислениях» пост под названием Госcloudконтроль и уже сегодня вновь нет повода не написать про новые нормативные требования, может уже пора рубрикатор обновить?
Кто в теме, наверное, помнят, что не так давно стал формироваться фундамент законодательной базы по Национальной платежной системе, пока там все очень шатко и есть откровенные «вилы», например, расчеты электронными деньгами между юридическими лицами, сейчас как бы вне закона. Буквально сегодня, героический ФСТЭК выложил в public проект документа «Об утверждении Положения
о защите информации в национальной платежной системе».
В проекте 7 страниц, 17 пунктов. Ключевой момент: требования по обеспечению защиты информации при осуществлении переводов денежных средств устанавливаются Центральным банком Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю (далее – требования по защите информации, установленные Банком России). Главенствующая роль ЦБ радует неимоверно — это, пожалуй, пока самый грамотный и адекватный из всех российских ИТ-регуляторов.
Дальше как обычно трюизмы про «обеспечение защиты информации в национальной платежной системе разработкой и реализацией операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем, операторами услуг платежной инфраструктуры правовых, организационных и технических мер по защите информации..».
Для обеспечения защиты информации назначаются ответственные лица. Для проведения работ по защите информации операторами по переводу денежных средств, банковскими платежными агентами, операторами платежных систем, операторами услуг платежной инфраструктуры могут привлекаться на организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации. Определяющее слово «могут» (вместо обязаны) — также радует неимоверно!
При осуществлении переводов денежных средств разрабатываемые и реализуемые операторами по переводу денежных средств и банковскими платежными агентами (субагентами) правовые, организационные и технические меры по защите информации, в том числе применяемые средства защиты информации, должны соответствовать требованиям по защите информации, установленным Банком России. Если вдруг будет интересно узнать про требования ЦБ — это легко находится или выложу ссылочку.
Пункт #5. Защита информации в платежных системах осуществляется операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, являющимися участниками платежных систем, (далее – субъекты платежной системы) в соответствии с требованиями к защите информации, включенными операторами платежных систем в правила платежных систем, установленными в соответствии с законодательством Российской Федерации о национальной платежной системе. При взаимодействии платежных систем условиями договора о взаимодействии предусматривается обязанность операторов платежных систем обеспечить защиту информации в платежных системах.
Пункт #6 объемный (запасайтесь терпением). Требования к защите информации, включаемые в правила платежной системы, определяются оператором платежной системы в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, иными нормативными правовыми актами Российской Федерации, требованиями по защите информации, установленными Банком России, национальными стандартами по защите информации, стандартами организаций, принятыми в соответствии с законодательством Российской Федерации о техническом регулировании, и должны включать:требования к организации функционирования структурного подразделения по защите информации (службы информационной безопасности) или должностного лица (работника), ответственного за организацию защиты информации;

требования к управлению рисками нарушения требований к защите информации в платежной системе, определению методик анализа рисков и проведению анализа рисков нарушения требований к защите информации;

требования к назначению и распределению должностных обязанностей работников субъектов платежной системы, участвующих в обработке защищаемой информации;

требования к обеспечению защиты информации в ходе создания (модернизации), эксплуатации и снятия с эксплуатации информационных (автоматизированных) систем и технических средств, предназначенных для обработки защищаемой информации;

требования к определению угроз безопасности информации, в том числе к анализу уязвимостей, и разработке моделей угроз безопасности информации;

требования к разработке и реализации на основе моделей угроз систем защиты информации информационных (автоматизированных) систем, обеспечивающих нейтрализацию предполагаемых угроз безопасности информации;

требования к применению средств защиты информации (шифровальных (криптографических) средств, средств защиты информации от несанкционированного доступа, включая средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства анализа защищенности), в том числе прошедших в установленном порядке процедуру оценки соответствия;

требования к выявлению инцидентов, связанных с нарушениями требований к защите информации, и реагированию на них, а также к информированию участников платежной системы об инцидентах, связанных с нарушениями требований к защите информации;

требования к защите информации при использовании информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, включая сеть Интернет;

требования к обеспечению доступа к объектам инфраструктуры платежной системы, обрабатывающим защищаемую информацию;

требования к организации и проведению контроля и оценки выполнения требований к защите информации в платежной системе.

Затем про необходимость разработки локальных актов, внутренних политик, инструктаж для сотрудников, включение обязанностей в должностные обязанности (не моя тавтология).
Модель угроз строится по принципам ISO 17799: Разрабатываемые и реализуемые субъектами платежной системы правовые, организационные и технические меры по защите информации, в том числе применяемые средства защиты информации, должны соответствовать требованиям к защите информации в платежной системе и обеспечивать защиту информации от угроз безопасности информации в платежной системе, определяемых оператором платежной системы в модели угроз безопасности информации. При выявлении субъектами платежной системы угроз безопасности информации, не включенных в модель угроз безопасности информации оператора, субъекты платежной системы информируют оператора платежной системы о возникновении таких угроз.
Пункт #9 раскрывает про реагирование на инциденты, #10 — про комплексный подход к построению систем защиты.
Организационные и технические меры по защите информации при использовании сетей общего пользования разрабатываются и реализуются в соответствии с требованиями к защите информации в платежной системе и, в том числе, предусматривают применение шифровальных (криптографических) средств защиты информации, средств межсетевого экранирования, антивирусной защиты, обнаружения вторжений и анализа защищенности. Отсюда получаем минимальный эшелон средств защиты и обороны: шифрование, firewalls, антивирусы, IDS и анализ защищенности. Славно, что не упоминается про сертифицированные средства защиты!
Применение шифровальных (криптографических) средств защиты информации в платежной системе осуществляется в соответствии с законодательством Российской Федерации. Здесь, естественно, строго: «без бумажки криптотулза — букашка».
Пункт #13: удостоверение права распоряжаться денежными суммами, находящимися на счете участника платежной системы или его клиента, обеспечивается электронной подписью, аналогами собственноручной подписи, кодами, паролями или иными средствами, позволяющими подтвердить, что распоряжение о переводе денежных средств составлено уполномоченным на это лицом. Получается ЭЦП для каждого участника платежной системы, ждем золотой дождб на головы удостоверяющих центров.
Пункт #14: Субъектами платежной системы организуется и проводится периодический контроль (оценка) выполнения требований к защите информации на собственных объектах инфраструктуры платежной системы.Контроль (оценка) проводятся субъектом платежной системы самостоятельно и (или) с привлечением на договорной основе организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации. Можно самостоятельно — значит снова наше громкое УРРА!
Сроки периодического контроля (оценки) выполнения требований к защите информации в платежной системе определяются субъектом платежной системы в соответствии с требованиями к защите информации в платежной системе. Контроль (оценка) выполнения требований к защите информации в платежной системе должен осуществляться не реже раза в два года.
Защита информации, содержащей персональные данные, осуществляется в соответствии с законодательством Российской Федерации о персональных данных. Это тоже как бы очевидно.
Пункты #16-17 раскрывают подведомственность: Контроль и надзор за выполнением требований, установленных настоящим Положением, осуществляется ФСБ и ФСТЭК РФ в пределах их полномочий и без права ознакомления с защищаемой информацией в соответствии с законодательством Российской Федерации о государственном контроле (надзоре). Контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств осуществляется Центральным банком Российской Федерации в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с ФСБ и ФСТЭК РФ.
В целом, уважаемые комрады, очень и очень прогрессивный проект, прям жить и работать хочется в нашей меняющейся отчизне, уж простите за пафос.
p.s. Главное теперь, что законодатели не «вывернули» все наизнанку перед утверждением, как это не раз уже случалось.
p.p.s. Уважаемые хостеры emoney, следите за чистой Ваших транзакций — это уже так, личное пожелание :-) Всем удачи на самом деле, этот бизнес может вдохнуть много пользы в наш традиционный экономический уклад.