Наибольший интерес представляет 6-й пункт, перечисляющий требования по защите информации, которые должны быть реализованы в НПС. Из наиболее интересных там прописаны (остальные типичны и уже хорошо известны):
- требования к управлению рисками нарушения требований к защите информации в платежной системе, определению методик анализа рисков и проведению анализа рисков нарушения требований к защите информации
- требования к информированию участников платежной системы об инцидентах, связанных с нарушениями требований к защите информации
Среди применяемых средств защиты должны быть как минимум шифровальные средства защиты информации, средства межсетевого экранирования, антивирусной защиты, обнаружения вторжений и анализа защищенности (от сканеров безопасности теперь никуда не деться).
Не все удалось включить в проект данного постановления, но ключевые моменты там учтены. Что хорошо, нет жесткого требования оценки соответствия применяемых средств защиты, ни слова об аттестации и лицензировании (лицензия нужна только от тех, кого участник НПС привлекает для защиты информации).
Что мне нравится в Банке России, так это их реально регулирующая роль в области ИБ. Была неразбериха с СТО и требованиями ФСТЭК/ФСБ по персданным — появилось «письмо шести». Пусть и статус у него не такой высокий, но хоть какое-то джентльменское соглашение. У тех же операторов связи и документы по персданным есть (причем они местами даже интереснее будут), но Минкомсвязи не сделало ничего, чтобы признать эти документы и согласовать письмо, аналогичное «письму шести». Теперь операторы связи вынуждены самостоятельно решать все проблемы с персданными, кто во что горазд. И вот теперь ЦБ регулирует тему защиты информации в НПС. ФСТЭК выпустила общие требования, а ЦБ будет их детализировать, опять же, базируясь на своем СТО. И ФСТЭК молодцы — не стали гнуть свою линию, а оставили разработку детальных требований отраслевому регулятору, который понимает в специфику платежных систем. Наверное таки должно быть. Если уж мы вынуждены жить с главенствующей ролью ФСТЭК и ФСБ в области ИБ, то такой их симбиоз с отраслевыми регуляторами можно только приветствовать.
А как же п.6:
…в том числе прошедших в установленном порядке процедуру оценки соответствия;
Я думаю, что вряд ли законодатель в рамках НАЦИОНАЛЬНОЙ платежной системы разрешит использовать несертифицированные СЗИ.
Алексей, объясните бестолковому, что такое "требования к защите информации о средствах и методах обеспечения информационной безопасности…" (в тексте закона так же). Мне понятны требования к защите ПДн, КТ, БТ, ГТ и т.п., Я согласен, что информация о том, как я защищаю тайны, не для широкого распространения в части конкретной реализации, но тут театр обсурда, особенно "без права ознакомления"
Rus16: "В том числе" не тождественное множество всем средствам защиты. Эта фраза подразумевает возможность применения и несертифицированных средств защиты, например, при подключении к международным платежным системам. Но фраза построена так "грамотно", что там сам черт ногу сломит.
Сергею: Никто не знает 😉 В закон эта формулировка попала и теперь никто не может ее поменять в подзаконных актах. Я предлагал поменять эту фразу, но не прошло.
А когда будут "низкоуровневые" требования?
Они написаны — сейчас к юристам ЦБ пойдут.
Можно я по-другому выделение поставлю?
требования к управлению рисками нарушения требований к защите информации в платежной системе
Это что за зверь такой?
Я-то, наивный, полагал, что риск — это нечто связанное с угрозой ИБ и ущербом и все такое… А тут оказывается риск требования нарушить…
Это что за зверь такой?
Я-то, наивный, полагал, что риск — это нечто связанное с угрозой ИБ и ущербом и все такое… А тут оказывается риск требования нарушить…
А разве Доступность, Конфиденциальность, Целостность, требования Законодательства (ДКЦЗ) — не "классическая четверка"?
2 LAY
Угу. И теперь мы знаем, какое из 4-х наиболее важное 🙂