Как правильно защитить НПС?

История возникновения законодательства о Национальной платежной системе (далее – НПС) покрыта мраком, и существует немало версий его появления. Кто-то утверждает, что это развитие законопроекта о Национальной системе платежных карт, который лоббировался, но неудачно, нашими силовиками. Последние якобы озабочены тем, что данные о транзакциях российских граждан, осуществляющих покупки по платежным картам, уходят за границу – в процессинговые центры Visa и MasterCard, которые могут и заблокировать все транзакции. А это уже составляет угрозу национальной безопасности. Кто-то считает, что речь идет о логическом развитии действующего законодательства по безналичным переводам денежных средств. А иные твердят, что власти решили взять под контроль переводы электронных денежных средств (системы WebMoney, Contact, «Яндекс.Деньги», QIWI и т. п.), которые раньше находились вне системы регулирования. Истина, как водится, где-то посередине. Однако сейчас не так важно, что послужило причиной появления Федерального закона №161 «О Национальной платежной системе» (далее – ФЗ-161). Интересно, как повлиял этот документ и выпущенные подзаконные акты на информационную безопасность.

Участники НПС

ФЗ-161 перечисляет немало ролей участников НПС, и на большинство из них распространяются требования по защите информации при переводе денежных средств (как традиционных безналичных, так и электронных). Исключение составляют только организации федеральной почтовой связи. Все остальные – операторы по переводу денежных средств (банки), банковские платежные агенты и субагенты (распространители предоплаченных платежных карт, кредитные брокеры, кредитные кооперативы, компании, осуществляющие переводы денежных средств физлиц и привлекаемые для этой задачи банками, и т. д.), операторы услуг платежной инфраструктуры (операционные, расчетные и клиринговые центры), а также операторы платежных систем – обязаны выполнять разработанные и вступившие с 1 июля 2012 года нормативы.

К настоящему моменту таких нормативов выпущено немало, и все они были разработаны во исполнение 27-й статьи ФЗ-161, которая называется «Защита информации». В ней сказано, что требования к защите информации в НПС устанавливает, наряду с Банком России, Правительство России, а контроль и надзор за исполнением требований осуществляют Банк России, ФСТЭК и ФСБ в пределах своих полномочий.

Правительство, исполнив федеральный закон, выпустило 13 июня 2012 года Постановление № 584 «Об утверждении положения о защите информации в платежной системе». Этот правоустанавливающий документ перечисляет основные требования к защите информации, персональных данных и иных сведений, обрабатываемых операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе. Документ определяет 10 требований, которые должны быть реализованы упомянутыми выше участниками НПС. В отличие от правительства, ни ФСТЭК, ни ФСБ пока не планируют разрабатывать документы во исполнение закона и правительственного постановления.

Правительством рассматривается вопрос о разработке новых документов. Они должны прояснить порядок применения уже разработанных требований и сформировать правила для тех форм безналичных денежных расчетов, которые пока не столь успешно закрываются действующими нормативными актами. Речь в первую очередь идет о различных формах электронных денежных средств.

Помимо правительства и Банка России на ниве разработки документов по информационной безопасности подвизались и другие известные организации. В частности, в июле 2012 года некоммерческое партнерство «Национальный платежный совет» вместе с Ассоциацией российских банков выпустили методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания (ДБО), использующих электронные устройства клиента. Наряду с ними российская компания Group-IB, занимающаяся расследованием компьютерных инцидентов, также выпустила свою инструкцию по реагированию на инциденты, связанные с системами ДБО.

Документы Банка России

Основными документами по защите информации в платежных системах сейчас являются: Положение Банка России от 9 июня 2012 года № 382-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления контроля за соблюдением этих требований, а также связанное с этим положением, Указание Банка России № 2831-У о соответствующей отчетности по обеспечению защиты информации.

Первый документ, основанный на комплексе стандартов Банка России в области обеспечения информационной безопасности организаций банковской системы РФ (далее — СТО БР ИББС), включает в себя 129 требований по защите, разбитых на 15 блоков, касающихся как технических защитных мер (межсетевые экраны, аутентификация, разграничение доступа, электронная подпись, и т. д.), так и организационно-процессных (управление инцидентами, организация службы ИБ, оценка выполнения требований, информирование участников платежной системы об инцидентах, и т.д.).

Указание 2831-У обязывает участников НПС регулярно информировать Банк России об уровне своего соответствия требованиям 382-П (форма отчетности 0403202), а также о выявленных инцидентах, связанных с нарушением требований по защите информации при осуществлении денежных переводов (форма отчетности 0403203). По форме отчетности 0403202 частота информирования устанавливается один раз в два года, а по форме 0403203 – ежемесячно.

Появившись чуть больше двух месяцев назад, эти два нормативных акта заложили фундамент для будущего регулирования информационной безопасности банковской среды (в первую очередь). В отличие от СТО БР ИББС, требования документа 382-П носят обязательный характер и предусматривают не только регулярный надзор со стороны Банка России, но и наказание за невыполнение указанных требований. Именно вокруг 382-П и 2831-У будет строиться вся будущая нормативная база Банка России в области информационной безопасности. Согласно не раз озвученным планам, сам Банк России к сфере своего регулирования в рамках НПС относит не только традиционную деятельность банков на основе корреспондентских отношений, но и системы трансграничных переводов, использование платежных карт, мобильные платежи и другие формы электронных денежных расчетов, банкоматы и платежные терминалы. Для всех этих направлений пока отдельных требований по защите информации нет. Да и то, что есть, находится в начале своего развития.

Требования операторов платежных систем

Кстати, насчет других наборов требований. Как это ни странно, но их может быть больше одного, указанного в документе 382-П. Их может быть и пять, и десять, и даже двадцать. Все зависит от числа платежных систем, к которым подключается участник НПС, чтобы предложить своим клиентам различные способы перевода денежных средств. Это могут быть «Анелик», Contact, Western Union, «Юнистрим», WebMoney, «Яндекс.Деньги» и т. д. А еще есть Visa и MasterCard. Всего же Центробанк выделяет около сотни отечественных и зарубежных платежных систем, действующих в России. Но этим число платежных систем не ограничивается. Согласно Указанию Банка России №2814-У, если объем переводов денежных средств, осуществляемых в течение трех месяцев подряд между банковскими счетами не менее трех операторов по переводу денежных средств, превышает 1,5 млрд руб., то оператор по переводу денежных средств (то есть банк), у которого открыты эти банковские счета, обязан направить в Банк России заявления о регистрации себя в качестве оператора платежной системы. Сложно представить, сколько будет зарегистрировано таких банков, но уже сейчас можно сказать точно – ограничиться только одной-двумя платежными системами среднестатистический банк не сможет.

А если так, то согласно пунктам 2.13, 2.14 и 2.16 в 382-П оператор платежной системы может устанавливать свои требования по защите информации и, в частности, по управлению инцидентами, по отчетности, по информированию, по порядку защиты и т. д. И все это помимо обязательных требований Положения 382-П. Очевидно, что такие требования со стороны операторов платежных систем вряд ли будут сильно отличаться от того, что написано в 382-П или СТО БР ИББС, но все-таки это будет отдельный набор требований, которые должен соблюдать банк – участник платежной системы. И чем большем систем, в которых он участвует, тем больше наборов таких требований у него будет. Как минимум, уже сейчас надо готовиться к тому, что придется ежемесячно направлять отчетность об инцидентах не только в Банк России согласно указанию 2831-У, но и каждому оператору платежной системы. К сожалению, приходится признать, что бюрократическая нагрузка на службы информационной безопасности банков только возрастет и реальная безопасность будет подменяться бумажными отписками.

В качестве примера отдельного набора требований, которые может установить оператор платежной системы, можно назвать стандарт PCI DSS, разработанный платежными системами Visa, MasterCard и продвигаемый советом PCI Security Standard Council. В этом стандарте нет каких-то особых требований, которые бы делали его несовместимым с 382-П или СТО БР ИББС, но есть там и требования, которые либо отсутствуют в 382-П (например, в части защиты беспроводных технологий или виртуализованных сред), либо допускают двойное толкование. Рассмотрим, например, вопрос применения шифровальных средств для защиты данных владельцев платежных карт. В PCI DSS требований к применяемым алгоритмам не установлено (кроме того, что это должна быть стойкая криптография), и многие банки применяют международный стандарт шифрования AES. В то же время, согласно требованиям российских регуляторов (как минимум, ФСБ), система криптографической защиты информации должна быть сертифицированной, а значит, она не может использовать иностранные криптоалгоритмы. И как быть в такой ситуации банкам, уже инвестировавшим немалые средства в построение системы шифрования на базе иностранной криптографии, пока непонятно.

В заключение

Тема шифрования – не единственная в череде вопросов, которые пока остаются без ответа, когда речь заходит о регулировании безопасности в НПС. Среди других:

• Как защищать персональные данные при оказании услуг по переводу денежных средств – по 382-П или на основе подзаконных актов к ФЗ «О персональных данных»?
• Как выполнять требования 382-П при осуществлении мобильных платежей, в которых помимо применения новых технологий появляются совершенно новые роли участников платежной системы (например, Trusted Service Manager в технологии NFC)?
• Должна ли организация, проводящая контроль выполнения требований по защите НПС, иметь лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации? Положение 382-П и Постановление Правительства №584 явно противоречат друг другу в этом пункте.
• Как реализовать требование наличия службы информационной безопасности в каждом филиале банка? Это не только очень накладно, но и зачастую просто физически невыполнимо.
• Надо ли использовать средства защиты информации, прошедшие оценку соответствия, если по 382-П это не требуется, а по закону «О персональных данных» является обязательным условием?
• Как часто и в какой форме информировать клиентов об угрозах и рекомендациях по противодействию им?
• Как защищать системы дистанционного банковского обслуживания, если они используют и несертифицированные средства шифрования, и не ввезенные через таможенную границу РФ, а просто загруженные из Интернета (тот же OpenSSL)?
• О каких инцидентах информировать Банк России в рамках формы отчетности 0403203?
• Какова судьба СТО БР ИББС в контексте появления Положения 382-П?

И это только часть тех вопросов, которыми уже задаются банки, начинающие реализовывать требования нормативных актов, разработанных во исполнение ФЗ «О национальной платежной системе». В заключение хочется отметить, что мы сейчас находимся в самом начале пути. Это касается и разработчиков нормативной базы и ее исполнителей. Будут появляться новые требования; разъяснения получат уже выпущенные регламенты; будут уточняться формы отчетности. Будут вноситься изменения и в сам ФЗ-161 и в отдельные разделы Гражданского кодекса, связанные с обязанностью банка незамедлительно возмещать клиентам деньги, украденные с их счетов. Эта тема особая и требует отдельного рассмотрения, так как если она не будет эффективно проработана, то банки столкнутся с колоссальным ростом случаев мошенничества и вынуждены будут для снижения своих рисков и издержек либо уменьшить число сделок с клиентами, либо поднять ставки кредитования и обслуживания своих банковских продуктов. Положительно на экономику страны и социальную атмосферу в обществе это вряд ли повлияет.

Алексей Лукацкий, бизнес-консультант по безопасности Cisco, участник рабочей группы Банка России по разработке СТО БР ИББС и Положения 382-П, участник Подкомитета № 1 «Защита информации в кредитно-финансовой сфере» Технического комитета № 122 «Стандартизация финансовых услуг», участник Технического комитета № 362 «Защита информации», член Консультативного совета при Роскомнадзоре по защите прав субъектов персональных данных