Указание 2831-У всегда выделялось на фоне других нормативных актов в области ИБ в РФ. Оно, пожалуй, единственное устанавливало требования по обязательной отчетности по инцидентам в области информационной безопасности, которые некоторые участники Национальной платежной системы должны ежемесячно направлять операторам платежных систем, включая и Банк России. Будучи запущенным более года назад, оно стало первым блином Банка России, который поставил перед собой задачу получать реальную картину об инцидентах ИБ, их причинах и последствиях. Однако у первой версии 2831-У был ряд недостатков, среди которых отсутствие формализации ответов, непозволяющее адекватно анализировать статистику, и недостаток сведений о суммах похищенных или готовящихся к похищению финансовых средств. Эти недостатки и устранены в новой редакции 2831-У. Также был уточнен список ролей НПС, которые должны подавать отчетность (с указанием частоты подачи).
При изучении Приложения, которое и определяет новое содержание форм отчетности, обратите внимание на следующие особенности:
- отчетность теперь составляется по текущему и прошедшим отчетным периодам
- бОльшее число параметров для заполнения
- необходим контроль инцидентов, произошедших у клиентов
- часть сведений по инцидентам с платежными картами дублируются с 258-й формой отчетности
- требуется указывать суммы похищенных и готовящихся к похищению денежных средств (это в свою очередь позволит наконец-то показать ИБ в финансовом выражении)
- помимо похищаемых денежных средств потребуется также оценивать и масштаб иных убытков, возникших в рамках инцидента (простои, замена оборудования, оплата услуг контрагентов, вплоть до упущенной выгоды).
ЗЫ. Новая версия указания вступает в силу в течение 180 дней после опубликования его в «Вестнике Банка России» (читай, с нового 2014-го года).