среда, 25 июля 2012 г.

Семинар Курило по НПС


Был сегодня на платном семинаре ЦБ по вопросам НПС. Пересказываю для отсутствующих:

В последних документах ЦБ акцент сдвинут от требований к деятельности. Документы сделаны на основе СТО БР и методики оценки соответствия, т.е. есть преемственность подходов.  Важным стало появление регулярной отчетности по ИБ. Банки должны отправлять отчетность через Клико, однако ЦБ не успевает сделать форму, поэтому первый раз нужно будет передавать отчетность в бумажном виде в экспедицию территориального управления ЦБ.
На вопрос о судьбе СТО БР было сказано, что этот стандарт так и останется рекомендательным, эдаким источником знаний типа Wikipedia. Более того ЦБ никогда и не был его инициатором (!), поэтому за такой поворот им не стыдно. Что делать тем банкам, которые следовали СТО БР и которых 80%? Было обещано, что их труды не пройдут даром, и они зачтутся. Для себя ЦБ сделает некий конвертер для приведения результатов самооценки и сегодняшней отчетности к одному знаменателю. Отчет по самооценке можно им высылать в течение двух лет, хоть сейчас, но спешить не следует.
ЦБ намерен активно вести деятельность по защите электронных средств платежей, в которые подпадает ДБО. Более того ЦБ для себя открыл существование стандарта PCI DSS, в котором также есть оценка соответствия требованиям. В России есть несколько переводов PCI DSS на русский язык, ЦБ начал работу по переводу тоже. Планируется, что официальный перевод будет доступен на сайте ЦБ. Также ЦБ планирует вступить в отношения с PCI DSS Консулом и тем самым начать признавать сертификаты, выдаваемые интеграторами, как доказательства реального положения дел, пусть только в области обработки пластика. Свои же документы ЦБ хочет доработать так, чтобы они полностью пересекались с требованиями PCI DSS.
Что входит в область действия НПС все итак уже знают. Это и ДБО, это и АБС, это и системы мгновенных переводов денег. Главное банкам не пытаться сужать эту область, а ориентироваться, как и раньше, на СТО БР и локальные правила.
В ЦБ уже начали поступать документы на регистрацию платежных систем. По закону эти требования носят заявительный характер. До конца года такие организации должны заявить о себе. Пока ни одной системы не зарегистрировано. Можно ожидать появление реестра к весне 2013 года.
По инцидентам. Если банк имеет филиалы, то отчет должна делать только головная организация и должна включать в него инциденты из филиалов. В отчет должна попадать информации обо всех инцидентах, включая дроперов и инциденты систем мгновенных переводов денег. Если инцидентов нет, то нужно присылать пустой отчет. ЦБ же будет собирать отчеты, анализировать их и выкладывать на своем сайте сводные данные о состоянии ИБ в отрасли.
ЦБ заинтересован в качественной работе с банками по линии ИБ, поэтому если появляются вопросы, нужно оперативно направлять их к ним через АРБ. Также в ЦБ открылась интернет-приемная, в которую можно также направлять вопросы.
На семинаре задавалось много вопросов, на большую их часть ответы получены не были по причине того, что «это наша первая попытка сбора инцидентов и мы будем думать, что делать дальше». Общее впечатление в части полезности мероприятия оцениваю на 3.

8 комментариев:

  1. Евгений, спасибо за обзор мероприятия.
    А где оно проходило и для кого было организовано?
    Что-то я его как-то упустил из поля зрения.

    ОтветитьУдалить
  2. Это означает смерть СТО БР ИББС
    И смерть АБИСС со всеми ее аудиторами
    Кто теперь будет ей платить и галвное за что? За убитый и так не софрмированный рынок аудитов по СТО???
    мощный ход

    Вы точно все так поняли?

    ОтветитьУдалить
  3. Игорь, нам присылалось пришлашение от "БизнесШколаКонсультант". Организовано нормально, кормили очень скромно.

    ОтветитьУдалить
  4. А я так понял что ЦБ не был инициатором ФЗ161, и в текущей ситуации им уже ничего не остается кроме как сделать СТО БР рекомендательным.

    Из еды мне достался только кусочек лимона в чай :)

    ОтветитьУдалить
  5. Спасибо за отчет!

    Интересно, а кто тогда инициировал СТО БР ИББС?

    ОтветитьУдалить
  6. Артем, этот вопрос там не задавался.

    ОтветитьУдалить
  7. Еще немного добавлю…

    По мнению ЦБ документы по НПС лишь постулируют уже сложившиеся формы взаимодействия, не накладывая никаких дополнительных ограничений!

    Косяки в ПП382 списали на то что было тяжело договориться со ФСТЭК

    ЦБ планирует принимать результаты оценок по PCI DSS, для этого они хотят придумать некий конвертер.

    Разрабатывается отдельная форма отчетности по инцидентам в банкоматах

    Будут выпущены документы по защите эл платежей, в том числе ДБО, они будут обязательны к выполнению

    В ЦБ прорабатываются вопросы об отзыве платежей, об информировании клиентов, об информировании о фроде и инцидентах, о сертификации оборудования ДБО (требования к оборудованию не ограничатся только требованиями ФСБ)

    Я вот еще какой момент недопонял
    Светлану спросили о включении в отчетность такого инцидента как "невозможность предоставления услуг по переводу денежных средств в платежной системе в течение трех часов и более"
    Спросили, надо ли писать о таких вещах как плановый ремонт у провайдера, неисправность банкомата или ПОСа и т.п..
    Ответ был что это тоже надо включать в отчетность!
    Евгений, вы услышали тоже самое?

    ОтветитьУдалить
  8. Да, включать туда нужно все подряд.
    Я правильно понимаю, что первый бумажный вариант отчета нужно отправлять на Балчуг?

    ОтветитьУдалить