Два взгляда ЦБ на управление рисками ИБ в НПС

ЦБ опубликовал еще один непростой документ в части выполнения требований ФЗ «О национальной платежной системе». Это Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах (№379-П от 31 мая 2012 года). Я про него уже упоминал вскользь, делясь магнитогорскими впечатлениями. И вот документ из недр Департамента регулирования расчетов родился и даже был принят быстрее проектов ЦБ с требованиями по защите НПС (хотя тут все понятно — 379-П не надо согласовывать с ФСТЭК и ФСБ).

Документ вызвал у меня двойственные чувства. С одной стороны все правильно написано — риски, риск-ориентированный подход, определение приемлемых рисков, непрерывность бизнеса… Но сразу возникает закономерный вопрос — а как 379-П соотносится с проектами по защите информации в НПС? Это документы, которые выпущены одним регулятором, касаются одной темы, но написаны совершенно различным языком. Как будто авторы были с двух разных планет. В целом подход ДРР мне ближе, но документы ГУБЗИ привычнее.

Первый говорит о том, что оператор платежной системы должен провести анализ рисков, определиться с уровнем их приемлемости, самостоятельно выбрать меры для достижения или поддержания этого уровня  Второй начинает примерно с этого же — оператор должен проанализировать угрозы, а потом выбрать защитные меры… но уже из готового списка. Никакой самодеятельности. Никакого принятия рисков (например, отсутствия сертифицированных средств защиты). Все четко и никаких рассуждений. ГУБЗИ все уже решил за операторов НПС, согласовал с регуляторами и зафиксировал в своих документах. Риск-ориентированный подход ДРР совершенно иной — он отдает принятие всех решений на откуп оператору НПС, обрисовывая только общий подход Писать такие документы проще, выполнять тоже, контролировать сложно, т.к. отсутствуют четкие критерии оценки (оператор их выбирает самостоятельно). С другой стороны — это яркий пример дерегулирования отрасли и возможности самостоятельного принятия решений участниками НПС при держании руки на пульсе со стороны отраслевого регулятора.

И как совместить эти два подхода при управлении рисками ИБ в платежной системе? Очень непростая ситуация… Посмотрим, что будет дальше. По словам представителей ЦБ сейчас основная задача — выпустить документы к 1-му июля, чтобы потом их можно было уже обсуждать, оценивать правоприменение и вносить поправки.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Сергей Борисов

    "Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах" посвящено не рискам ИБ, а рискам в целом.
    То есть это документ не ИБшный.

    Отсюда и различия в подходах.
    Соответственно в Банке ИБ-шникам надо руководствоваться требованиями по защите.
    А отделу рисков — требованиями положения об анализе рисков.

    Ответить
  2. Алексей Лукацкий

    Ну а риски ИБ куда попадают? Особенно в контексте наличия в СТО отдельного документа по оценке рисков

    Ответить