30 мая в Госдуму был внесен законопроект, который устанавливает следующие нормы (путем внесения поправок в ФЗ-161 о национальной платежной системе):
- При выявлении оператором по переводу денежных средств (то есть банком) признаков совершения переводов денежных средств без согласия клиента оператор обязан выполнить ряд обязательных шагов
- Приостановить платеж
- Приостановить использование электронного средства платежа
- Информировать клиента о предыдущих двух шагах
- Предоставить клиенту информацию о выявленных признаках мошенничества и рекомендации по снижению вероятности его повтора
- Обязательные признаки мошенничества устанавливаются Банком России (в предыдущих редакциях это мог делать и сам банк).
- Клиент обязан незамедлительно уведомлять банк о фактах несанкционированного доступа или утери электронного средства платежа.
- Между банком получателя и банком плательщика устанавливаются правила взаимодействия в случае мошеннических операций, включая и возврат незаконно списанных денежных средств.
- Если будет доказано, что клиент неправомерно заявил о списании средств, то все убытки для получателя несет клиент (плательщик).
- Все участники НПС, попадающие под действие 27-й статьи (по защите информации в НПС) теперь обязаны соблюдать нормы ЦБ в области противодействия мошенничеству, установленные Банком России (ждем этих норм после принятия законопроекта). В том числе участники НПС обязаны назначать соответствующих должностных лиц, подотчетных СВК (не ИБ).
- ЦБ обязуется вести базу инцидентов по мошенническим операциям и предоставлять из нее информацию участникам НПС, в названии которых есть слово «оператор».
- Все участники НПС, в названии которых есть слово «оператор», обязаны уведомлять ЦБ обо всех инцидентах, связанных с мошенничеством. Правила установит Банк России.
- Специально указано, что информация об инцидентах не относится к банковской тайне.
Также новый законопроект наделяет ЦБ правом устанавливать, по согласованию с ФСТЭК и ФСБ, обязательные для кредитных и некредитных финансовых организаций требования по защите информации, за исключением требований по защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.
Ну что можно сказать? Законопроект описывает ровно то, что говорится в дорожной карте, о которой я уже писал ранее. Интересных моментов тут несколько:
- Роль FinCERTа возрастает еще больше. Тут и активное участие в проверках, и разработка методических рекомендаций и требований для банков, и многое другое. Кстати, недавно у этого подразделения сменился руководитель.
- Если сейчас обязанность уведомлять об инцидентах установлена только для АРМ КБР (в 552-П), то новые требования говорят уже обо всех видах инцидентов, связанных с мошенничеством. Учитывая оперативность, с которой мошеннические операции должны быть остановлены, срок уведомления будет тоже небольшим (возможно, те же 3 часа, как и в 552-П).
- Появляется база инцидентов, о которой говорили в Магнитогорске несколько лет назад. И хотя ЦБ говорит, что она будет закрытой, существует вероятность утечек из нее с последующими репутационными рисками для банков-жертв.
- ЦБ утверждает, что из этой базы данные если и будут предоставляться участникам НПС, то в ограниченном объеме и, скорее всего, о дропперах. Но тут всплывает старая история про персональные данные, так как информация о человеке (даже о дроппере) относится именно к ним и на их распространение нужно согласие субъекта (под исключения данная деятельность не попадает). Но во внесенном законопроекте про это ни слова.
- Также в свое время планировалось вносить поправки в УК и УПК, облегчающие расследование мошеннических операций, но и про это в текущем законопроекте ни слова. Видимо не договорились между собой разные участники законодательной инициативы. Прописана только процедура разбирательств в арбитраже.
- ЦБ наконец-то получает право (если примут законопроект) регулировать ИБ не только в банках и НПС, но и во всех некредитных финансовых организациях. Страховые, негосударственные пенсионные фонды, микрофинансовые организации, брокеры, биржи (глубже, чем сейчас) и другие попадают под руководящую длань Банка России в полный рост.
- Интересная ситуация с последним пунктом про возможность установления требований по защите информации по согласованию с ФСТЭК и ФСБ. Вспоминаю историю с принятием ГОСТа по базовым защитным мерам — тогда ФСТЭК выступал явно против ГОСТа, а ФСБ — против одной из норм. При этом текст стандарта несмотря на это был утвержден на заседании ПК1 ТК122 и должен быть отправлен в Ростехрегулирование. Но если ФСТЭК и ФСБ не согласуют эти требования, то дальше что?.. По новой запускать процедуру согласования или вносить изменения задним числом уже без согласования с членами подкомитета? Тут вообще сложные материи.
Интересно будет следить за судьбой этого законопроекта.
>ЦБ наконец-то получает право (если примут законопроект) регулировать ИБ не только в банках и НПС, но и во всех некредитных финансовых организациях. Страховые, негосударственные пенсионные фонды, микрофинансовые организации, брокеры, биржи (глубже, чем сейчас) и другие попадают под руководящую длань Банка России в полный рост.
2) главу Х.1 дополнить статьей 76.4-1 следующего содержания:
«Статья 76.4-1. Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, в том числе в целях противодействия совершению переводов денежных средств без согласия клиента, за исключением требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.».
Так все некредитные организации, или только те, что занимаются переводами денег?
В том числе, но за исключением.
Если убрать "за исключением" — попадают все.
Если убрать "в том числе", но не убирать "за исключением" — то что они тогда устанавливают, если всё установлено ФЗ и норм.прав.актами? Какие-то свои нормы — на кого они будут действовать?
Ждём первое чтение…
"в том числе" касается целей, а "за исключением" требований. Это совсем разные смыслы. Норма касается всех, кто попадает под ЦБ
>всех, кто попадает под ЦБ
В каком плане?
СТО БР ИББС-1.0-2014:
Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кре-
дитные организации, а также представительства иностранных банков.
Т.е. всё, что не входит в БС, а точнее — некредитные организации — под действие этого стандарта не попадает.
Сейчас, насколько я разобрался, ИБ в некредитных организациях регулируется сугубо ФЗ №152, 21ым приказом ФСТЭК и ПП РФ 1119. Ну и прочими документами от ФСБ. Как и в любых других операторах ПНд.
Окей, всё что после "в том числе" — можно убрать, не важно в каких там целях ЦБ что-то устанавливает…
Фраза сводится к "ЦБ устанавливает требования к обеспечению ЗИ при осуществлении деятельности в сфере рынков, за исключением требований о ЗИ, установленных всеми остальными регуляторами".
Я правильно понимаю, что законопроект разрешает ЦБ дополнять требования того же ФСТЭК своими, но не пересекающимися с ними? Т.е. если ФСТЭК, например, требует, скажем, второй класс защищённости, то ЦБ не может взять и переопределить все эти классы как захочется, а может лишь потребовать каких-то дополнительных мер.
При этом снова остаётся открытым вопрос об оценке соответствия.
Стандарты ЦБ регулируют оценку соответствия, ФЗ №152 и 21ый приказ ФСТЭК — позволяют проводить оценку самостоятельно опираясь на РД ФСТЭК из 90ых годов.
Вы неправы. По всем пунктам. Посмотрите блог по тегам "Банк России" и "НПС" и вы увидите, что и в каком объеме может регулировать ЦБ сейчас и в будущем.