Что ждет финансовую отрасль с точки зрения нормативного регулирования ИБ

Столкнула меня тут судьба с рядом новых проектов нормативных документов по информационной безопасности в финансовой сфере. Поделюсь некоторыми впечатлениями о них.

Первый блок новостей по СТО БР ИББС. Вопреки мнению некоторых коллег о том, что СТО (на фоне 382-П) не выживет и постепенно проиграет соревнование, могу сказать, что все не так. СТО развивается очень активно и вокруг него создается очень неплохое и перспективное нормативное окружение. Про проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» слышали многие, а вот про новые готовящиеся РС врядли. А они готовятся. В частности РС «Требования к обеспечению информационной безопасности на стадиях жизненного цикла банковских приложений». Как написано в преамбуле к нему: «Документ содержит детальные рекомендации по организации работ по созданию автоматизированных банковских систем, их модернизации и выводу из эксплуатации, формированию требований ИБ, предъявляемых к создаваемым системам, контролю ис-полнения требований ИБ и оценке их защищенности в ходе эксплуатации. Настоящий документ содержит также рекомендации по составу типовых функциональных требований ИБ, предъявляемых к различным составным частям АБС, а также рекомендации по составу, содержанию и порядку проведения работ по оценке защищенности АБС«. Иными словами, данные рекомендации отвечают на вопросы «ЧТО делать с АБС с точки зрения ИБ?» и «КАК это делать?». Среди прочего в документах прописана и тематика анализа кода банковских приложений на предмет поиска в них «нехороших вещей». Данная РС находится в высокой степени готовности.

Вторая готовящаяся РС называется «Рекомендации к ресурсному обеспечению ИБ». О ней, как и о предыдущей, упоминалось в Магнитогорске, но ее содержание мало кому известно, а оно очень интересно. В преамбуле к документу написано, что он «содержит рекомендации, следование которым позволит организациям БС РФ надлежащим образом решать вопросы, связанные с планированием ресурсов организации, привлекаемых для решения задач в области ИБ, и контролем эффективности использования этих ресурсов при создании, эксплуатации и совершенствовании СОИБ«. Ресурсы не все, а только финансовые и кадровые. Иными словами, документ должен дать подсказку (серебряной пули ждать не стоит) на вопрос «КАК доказать необходимость выделения денег и людей на обеспечение информационной безопасности?» Животрепещущий вопрос, на которой Банк России готовится дать ответ.

Но это не все. Про обновление 382-П я уже писал, но не за горами и обновление 2831-У. И вот оно будет гораздо более объемное, чем 382-П. По сути — это заново переписанные рекомендации по заполнению 203-й формы отчетности, которая претерпела колоссальные изменения. Поменялось почти все — ни о какой косметической доработке и речь не идет. С одной стороны я вижу в этом положительные изменения — многие вещи теперь четко систематизированы и не надо будет задумываться, что писать в ту или иную колонку 203-й формы. Но есть и то, что меня смущает. «Бумажная» нагрузка на безопасников участников НПС возрастет; и возрастет существенно. Без серьезной автоматизации процесса тут не обойтись. Но и это еще не все.

ТК122 тоже не дремлет и готовит также парочку новых документов. Один из них — «Рекомендации по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно телекоммуникационной сети Интернет». В преамбуле к нему написано, что «Настоящие Рекомендации предназначены для использования операторами по переводу денежных средств и привлекаемыми ими банковскими платежными агентами (субагентами) в целях повышения уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети Интернет. Настоящие Рекомендации должны рассматриваться как дополнение к Положению Банка России от 09.06.2012 №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».» Процедура голосования по документу находится в завершающей стадии. Второй готовящийся документ от ТК122 — давно ожидаемое «Руководство по хорошим практикам обеспечения защиты информации при осуществлении переводов денежных средств, в том числе при оказании услуг дистанционного банковского облуживания».

Ну и, наконец, финальная версия перевода PCI DSS 2.0 на русский язык. Вроде как уже она должна была появиться. Вначале обещали 1-го июня, потом сдвинули на 1-е июля. Так что допускаю, что где-то она есть и мы ее скоро увидим. Держать ее в тайне большого смысла не вижу, если, конечно, модераторы процесса не решат, что за 3-4 месяца до выхода 3-й версии PCI DSS смысла выпускать перевод второй нет.

Вот примерно так…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.