Был сегодня на
платном семинаре ЦБ по вопросам НПС. Пересказываю для отсутствующих:
В последних
документах ЦБ акцент сдвинут от требований к деятельности. Документы сделаны на
основе СТО БР и методики оценки соответствия, т.е. есть преемственность
подходов. Важным стало появление регулярной
отчетности по ИБ. Банки должны отправлять отчетность через Клико, однако ЦБ не
успевает сделать форму, поэтому первый раз нужно будет передавать отчетность в
бумажном виде в экспедицию территориального управления ЦБ.
На вопрос о
судьбе СТО БР было сказано, что этот стандарт так и останется рекомендательным,
эдаким источником знаний типа Wikipedia.
Более того ЦБ никогда и не был его инициатором (!), поэтому за такой
поворот им не стыдно. Что делать тем банкам, которые следовали СТО БР и которых
80%? Было обещано, что их труды не пройдут даром, и они зачтутся. Для себя ЦБ
сделает некий конвертер для приведения результатов самооценки и сегодняшней
отчетности к одному знаменателю. Отчет по самооценке можно им высылать в течение
двух лет, хоть сейчас, но спешить не следует.
ЦБ намерен
активно вести деятельность по защите электронных средств платежей, в которые
подпадает ДБО. Более того ЦБ для себя открыл существование стандарта PCI DSS, в котором также есть
оценка соответствия требованиям. В России есть несколько переводов PCI DSS на русский язык, ЦБ начал
работу по переводу тоже. Планируется, что официальный перевод будет доступен на
сайте ЦБ. Также ЦБ планирует вступить в отношения с PCI DSS Консулом и тем самым
начать признавать сертификаты, выдаваемые интеграторами, как доказательства
реального положения дел, пусть только в области обработки пластика. Свои же
документы ЦБ хочет доработать так, чтобы они полностью пересекались с требованиями
PCI DSS.
Что входит в
область действия НПС все итак уже знают. Это и ДБО, это и АБС, это и системы
мгновенных переводов денег. Главное банкам не пытаться сужать эту область, а ориентироваться,
как и раньше, на СТО БР и локальные правила.
В ЦБ уже
начали поступать документы на регистрацию платежных систем. По закону эти требования
носят заявительный характер. До конца года такие организации должны заявить о
себе. Пока ни одной системы не зарегистрировано. Можно ожидать появление
реестра к весне 2013 года.
По инцидентам.
Если банк имеет филиалы, то отчет должна делать только головная организация и должна
включать в него инциденты из филиалов. В отчет должна попадать информации обо
всех инцидентах, включая дроперов и инциденты систем мгновенных переводов денег.
Если инцидентов нет, то нужно присылать пустой отчет. ЦБ же будет собирать
отчеты, анализировать их и выкладывать на своем сайте сводные данные о состоянии
ИБ в отрасли.
ЦБ заинтересован
в качественной работе с банками по линии ИБ, поэтому если появляются вопросы, нужно
оперативно направлять их к ним через АРБ. Также в ЦБ открылась интернет-приемная,
в которую можно также направлять вопросы.
На семинаре задавалось
много вопросов, на большую их часть ответы получены не были по причине того,
что «это наша первая попытка сбора инцидентов и мы будем думать, что делать
дальше». Общее
впечатление в части полезности мероприятия оцениваю на 3.