Письмо Ассоциации российских банков от 21.02.2012 N А-01/5-118 "О проекте Положения о защите информации в национальной платежной системе"

Ассоциация российских банков с участием банков-членов АРБ проанализировала разработанный Правительством Российской Федерации проект Положения о защите информации в национальной платежной системе (далее - Проект), который устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации.

По мнению банков - членов АРБ, Проект требует определенной корректировки. В этой связи Ассоциацией подготовлено заключение на Проект (прилагается), содержащее предложения по его доработке.

Просим Вас учесть предложения банковского сообщества при доработке Проекта и надеемся на дальнейшее плодотворное сотрудничество с Правительством Российской Федерации по вопросам совершенствования действующего законодательства о национальной платежной системе.

Приложение на 5 листах.

Президент

Г.А. Тосунян

Заключение
Ассоциации российских банков на проект положения о защите информации в национальной платежной системе

Специалисты Ассоциации российских банков с участием банков-членов АРБ проанализировали проект Положения о защите информации в национальной платежной системе (далее - Проект, Положение), и сообщают, что Проект содержит ряд недостатков, требующих корректировки.

1. Полагаем, что абзац третий пункта 2 Проекта после слова "соблюдение" необходимо дополнить словами "целостности и".

2. Представляется, что разработка и реализация правовых, организационных и технических мер по защите информации в соответствии с пунктом 2 Проекта по своей сути не может быть направлена на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации, поскольку указанное право не имеет отношения к защите информации. В связи с этим абзац четвертый пункта 2 Проекта предлагаем исключить.

3. Предлагаем пункт 3 Проекта изложить в следующей редакции:

"Для обеспечения защиты информации операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем, операторами услуг платежной инфраструктуры создаются структурные подразделения по защите информации в платежных системах (службы информационной безопасности платежных систем) или назначаются должностные лица (работники), ответственные за организацию защиты информации в платежных системах.

Для проведения работ по защите информации операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем, операторами услуг платежной инфраструктуры могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации, деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств. Деятельность привлекаемых организаций должна осуществляться пределах их полномочий и без права ознакомления с защищаемой информацией.".

4. Согласно абзацу второму пункта 4 Проекта условиями договоров о привлечении к деятельности по оказанию услуг по переводу денежных средств банковских платежных агентов (субагентов), заключаемых между операторами по переводу денежных средств и банковскими платежными агентами и между банковскими платежными агентами и банковскими платежными субагентами, предусматривается обязанность сторон по обеспечению защиты информации в соответствии с требованиями по защите информации, установленными Банком России.

Полагаем, что абзац второй пункта 4 Проекта следует исключить, поскольку в соответствии с абзацем первым пункта 4 Проекта при осуществлении переводов денежных средств разрабатываемые и реализуемые операторами по переводу денежных средств и банковскими платежными агентами (субагентами) правовые, организационные и технические меры по защите информации, в том числе применяемые средства защиты информации, должны соответствовать требованиям по защите информации, установленным Банком России.

Таким образом, установление подобной обязанности в договоре будет дублировать императивную норма нормативного акта, а нарушение обязанности по обеспечению защиты информации в соответствии с требованиями по защите информации, установленными Банком России, будет являться нарушением Положения, а не указанного договора.

5. Предлагаем абзац первый пункта 5 Проекта после слов "в соответствии с законодательством Российской Федерации о национальной платежной системе" дополнить словами "и требованиями по защите информации, установленными Банком России".

6. Согласно абзацу второму пункта 5 Проекта при взаимодействии платежных систем условиями договора о взаимодействии предусматривается обязанность операторов платежных систем обеспечить защиту информации в платежных системах.

Полагаем, что абзац второй пункта 5 Проекта следует исключить, поскольку в соответствии с абзацем первым пункта 5 Проекта защита информации в платежных системах осуществляется операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, являющимися участниками платежных систем, в соответствии с требованиями к защите информации, включенными операторами платежных систем в правила платежных систем, установленными в соответствии с законодательством Российской Федерации о национальной платежной системе.

Таким образом, установление подобной обязанности в договоре будет дублировать императивную норма нормативного акта, нарушение обязанности по обеспечению защиты информации в платежных системах будет являться нарушением Положения, а не указанного договора.

7. Пункт 6 Проекта содержит перечень требований к защите информации, которые должны включаться в правила платежной системы. Учитывая, что пунктами 1 и 4 Проекта определено, что защита информации устанавливается Банком России, необходимость данного перечня требований к защите информации, представляется неочевидной.

Более того, избранный способ формулировки включенных в пункт 6 Проекта видов требований создает правовую неопределенность, что недопустимо. К примеру, абзац шестой пункта 6 Проекта содержит обязанность включать в правила платежной системы требования к определению угроз безопасности информации, в том числе к анализу уязвимостей, и разработке моделей угроз безопасности информации. При этом непонятно. что имеется в виду: требования к процессу определения угроз безопасности информации или требования собственно к видам угроз безопасности информации; требования к процессу анализа уязвимостей или требования к содержанию анализа уязвимостей.

8. Абзац восьмой пункта 6 Проекта содержит обязанность включать в правила платежной системы требования к применению средств защиты информации (шифровальных (криптографических) средств, средств защиты информации от несанкционированного доступа, включая средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства анализа защищенности), в том числе прошедших в установленном порядке процедуру оценки соответствия.

Полагаем, что необходимость установления в Проекте данного требования отсутствует, а также неясен порядок применения указанных средств защиты информации. Наряду с изложенным, формулировка "в том числе прошедших в установленном порядке процедуру оценки соответствия" предполагает, что допустимо применение средств защиты информации и не прошедших в установленном порядке процедуру оценки соответствия.

9. Предлагаем абзац первый пункта 7 Проекта необходимо дополнить словами "или требования к защите информации в платежной системе включаются в локальные правовые акты субъектов платежной системы.".

10. Предлагаем абзац первый пункта 9 Проекта после слов "устанавливают порядок выявления" дополнить словами "и разбора".

11. Предлагаем абзац второй пункта 9 Проекта после слов "Субъекты платежной системы" дополнить словом "документально".

12. Пункт 6 Проекта устанавливает требования к защите информации, включаемые в правила платежной системы, в том числе требования к выявлению инцидентов, связанных с нарушениями требований к защите информации, и реагированию на них, а также к информированию участников платежной системы об инцидентах, связанных с нарушениями требований к защите информации. Согласно пункту 7 Проекта во исполнение установленных оператором платежной системы требований субъекты платежной системы должны утверждать локальные правовые акты.

Вместе с тем, согласно абзацу третьему пункта 9 Проекта субъектами платежной системы при их взаимодействии разрабатывается порядок совместных действий по реагированию на инциденты, связанные с нарушением требований к защите информации.

Полагаем, что поскольку требования по реагированию на инциденты, связанные с нарушением требований к защите информации, изначально устанавливаются оператором платежной системы и должны быть определены в правилах платежной системы, то недопустимо одновременно вменять обязанность субъектам платежной системы разрабатывать порядок совместных действий по реагированию на вышеуказанные инциденты. Учитывая изложенное полагаем, что абзац третий пункта 9 Проекта необходимо уточнить.

13. Предлагаем абзац второй пункта 10 Проекта после слов "работ по созданию и эксплуатации" дополнить словом "этих".

14. Предлагаем абзац третий пункта 10 Проекта после слов "на всех стадиях жизненного цикла" дополнить словом "этих".

15. В соответствии с абзацем вторым пункта 11 Проекта организационные и технические меры по защите информации при использовании сетей общего пользования разрабатываются и реализуются в соответствии с требованиями к защите информации в платежной системе и, в том числе, предусматривают применение шифровальных (криптографических) средств защиты информации, средств межсетевого экранирования, антивирусной защиты, обнаружения вторжений и анализа защищенности.

Полагаем, что в Положении нецелесообразно устанавливать обязательное применение шифровальных (криптографических) средств защиты информации. В ряде случаев технологически это неоправданно. К тому же требование об установлении шифровальных (криптографических) средств защиты информации может повлечь необходимость дополнительных мер лицензирования и надзора. В этом случае очевидны значительные затраты для выполнения указанных требований.

В связи с этим в абзаце втором пункта 11 Проекта предлагаем исключить слова "шифровальных (криптографических) средств защиты информации" либо предусмотреть не обязанность, а возможность применения таких средств.

16. Предлагаем пункт 13 Проекта изложить в следующей редакции:

"Удостоверение права распоряжаться денежными суммами, находящимися на счете участника платежной системы или его клиента, обеспечивается в соответствии с требованиями законодательства Российской Федерации, включая средства электронной подписи, аналоги собственноручной подписи, коды, пароли или иные средства, позволяющие подтвердить, что распоряжение о переводе денежных средств составлено уполномоченным на это лицом".

17. Предлагаем абзац второй пункта 14 Проекта изложить в следующей редакции:

"Контроль (оценка) проводятся субъектом платежной системы самостоятельно или с привлечением на договорной основе организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации, деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, а также документы (сертификаты), предусмотренные нормами международных стандартов, связанных с обеспечением защиты информации в платежных системах.".

Следует отметить, что аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor). Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC. В штате компании, имеющей статус QSA, должны работать аттестованные QSA-аудиторы.

18. Согласно пункту 16 Проекта контроль и надзор за выполнением требований, установленных Положением, осуществляется Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их полномочий и без права ознакомления с защищаемой информацией в соответствии с законодательством Российской Федерации о государственном контроле (надзоре).

Согласно пункту 17 Проекта, контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств осуществляется Центральным банком Российской Федерации в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.

Контроль и надзор за выполнением требований, установленных Проектом, по содержанию шире, чем контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств. В этой связи очевиден риск удвоения контроля за выполнением установленных требований, что приведет к неоправданному увеличению затрат поднадзорных организаций.

В связи с этим пункты 16 и 17 Проекта предлагаем скорректировать, четко разделив компетенцию контролирующих органов.

Исполнительный вице-президент АРБ по правовым вопросам

А.В. Емелин