ЦБ опубликовал проекты документов по защите НПС

На чтение 2 мин Просмотров 11 Опубликовано 25/05/2012

Банк России опубликовал проекты двух документов по защите в Национальной платежной системе:

Проект Положения Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
Проект Указания Банка России «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Не буду подробно расписывать документы — они достаточно объемные. Коснусь только применения СКЗИ. Там есть новость хорошая и плохая. Хорошая заключается в том, что СКЗИ не обязана быть класса КС2 и выше; можно и КС1. Плохая новость в том, что СКЗИ должна быть только сертифицированной или имеющей разрешение ФСБ. И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..

Судя по формулировкам, документ уже прошел первичное согласование с ФСБ и ФСТЭК. В первоначальной версии еще были возможно послабления по части применения СКЗИ. На изменение шансов не так много, но у желающих попробовать есть такая возможность. Экспертные заключения по указанным проектам направлять в Главное управление безопасности и защиты информации на e-mail: tsa4@cbr.ru с 24 по 31 мая 2012 года.

Банк России НПС

Есть что добавить? Добавьте!

Имя *

Email *

Комментарий

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

doom 25/05/2012 в 03:25

>И где найти сертифицированные СКЗИ для мобильных платежей, процессинга, банкоматов?..

Для банкоматов можно найти 😉

Ответить
Сергей 25/05/2012 в 03:44

…И где найти сертифицированные СКЗИ для мобильных платежей

мобтелефон плательщика входит в НПС?

Ответить
dmitry.sturov 25/05/2012 в 05:13

мобильный телефон может и не входит, а сервер мобильного банкинга — воплне, там и нужно будет ставить сертифицированную криптографию, после чего все обычные https/ssl клиенты отвалятся

Ответить
Unknown 25/05/2012 в 06:55

Разрешение ФСБ — чем не вариант? Устное, правда.

Ответить
Сергей 25/05/2012 в 07:15

есть решения которые могут принимать ССЛ и гост и негост

Ответить
Алексей Лукацкий 25/05/2012 в 07:26

Алексей, разрешение это долго, немасштабируемо и непрозрачно

Ответить
Алексей Лукацкий 25/05/2012 в 07:28

Doom, есть. Только вот что делать банкам, которые уже построили банкоматную сеть не на ГОСТе? Все менять?

Ответить
Анонимный 28/05/2012 в 01:45

Самые интересные нововведения это как раз не требования, а обязательное предоставление _отчетности_ и инспекционные проверки ЦБ.
Что это значит на практике: допустим в отчетности указали итоговый R=0.75. Проверило ЦБ, установило, что R=0.5.
А дальше по выводам инспекционной проверки следует "предоставление недостоверной отчетности ЦБ".
Что может являться (фанфары!) основанием для _лишения_ лицензии кредитной организации.
Занавес.
Случай, конечно, указан пограничный, но чисто технически он теперь возможен…

Ответить
Анонимный 28/05/2012 в 01:46

А руководство ранее было уверено, что за ИБ банк лицензии точно не лишат.
О как все повернулось!

Ответить
Евгений III 01/06/2012 в 11:22

Алексей, вы можете порекомендовать банкам типовой свод действий в части ИБ по приведению в соответствие с данным законом?

Ответить