SlideShare una empresa de Scribd logo

Краткий обзор требований по защите информации в НПС

Aleksey Lukatskiy
Aleksey Lukatskiy
Tecnología
1 de 81
Descargar para leer sin conexión
Информационная безопасность в рамках Национальной платежной системы. Краткий обзор Лукацкий Алексей, консультант по безопасности security-request@cisco.com
Почему Cisco говорит о законодательстве? КЦ РГ ТК22 ТК122 ТК362 АРБ ЦБ «Безопасность «Защита «Защита Консультации Разработка ИТ» (ISO SC27 в информации в информации» банков по рекомендаций по России) кредитных при ФСТЭК вопросам ПДн ПДн и СТО БР учреждениях» ИББС v4 ФСБ МКС НАУФОР НПС ФСТЭК Экспертиза Отраслевой Разработка Экспертиза документов Предложения стандарт документов документов
Еженедельный выпуск НПА по ИБ за последний год 7 6 5 4 3 2 1 0
НПС – один из приоритетов последних дней 1 2 1 8 Все НПС 4 Банки Госорганы 5 39 2 Операторы связи ТЭК УК, ТСЖ, ЖК, ЖСК Нотариусы
НПС – вершина регулирования отрасли денежных переводов Требование Объект Статус Обязательность Санкции Оценка защиты соответствия ISO 270хх Вся КИ Международный Рекомендация Нет Аудит стандарт СТО БР БТ, КТ, Стандарт Рекомендация Нет Аудит, ИББС ПДн организации (де-юре) самооценка ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует PCI DSS БТ, Международный Обязательный Штраф Аудит, ПДн стандарт (де-юре) самооценка Рекомендация (де-факто) НПС БТ, КТ, Закон Обязательный Штраф, Аудит, ПДн приостановление самооценка деятельности
РАЗВЕ СТО БР ИББС НЕ ХВАТАЕТ?
Мобильные платежи как пример неподвластности СТО • Mobile Peer-to-Peer платежи – Неформализованные транзакции между двумя людьми • Платежи на базе Premium SMS • mCommerce • Сканирование – QR Code – Сканирование чеков • Proximity – IrDA – Bluetooth – NFC • Mobile Acceptance Devices
Premium SMS с точки зрения СТО БР ИББС Мобильное Мобильный Контент- Банк устройство оператор провайдер • К участникам схемы “Premium SMS” требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией – Денежные средства могут списываться со счета абонента у оператора связи
NFC с точки зрения СТО БР ИББС Платежные системы Банк Мобильное Торгово-сервисное устройство предприятие • К участникам схемы NFC требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией
Кто главный? 4 модели мобильных платежей • В рамках СТО БР ИББС «главным» Оператор Банк всегда является банк, • Независимо • Оператор как основной от банков дает только участник перевода транспорт денежных средств • В модели мобильных платежей роль банка «Дружба» P2P уже не так очевидна и • Необходима • Провайдер СТО БР ИББС доверенная услуг применим не во всех сторона работает случаях напрямую с покупателем
ВВЕДЕНИЕ В НПС
Предыстория НПС • Национальная система платежных карт – проект создания в РФ альтернативы международным платежным системам Visa и Mastercard, а также одноэмитентным платежным системам • Задачи – Функционирование на национальном уровне независимой от влияния международных платежных систем структуры расчетов по карточкам (защита граждан) – Реализация социальной функции, используя карты НСПК в качестве основы для предоставления различных госуслуг в электронном виде – Обеспечение перехода от использования наличных денег к полнофункциональным безналичным расчетам за товары, услуги и сделки • УЭК – часть проекта НСПК
Что такое НПС? • Национальная платежная система – это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы) • Цель НПС – унификация подходов к осуществлению безналичных денежных переводов и вывод из тени (контроль) платежных систем, ранее непопадающих под регулирование с целью предотвращения финансирования терроризма/экстремизма и легализации доходов, полученных преступным путем
БАЗОВЫЕ ОПРЕДЕЛЕНИЯ
Базовые определения • Перевод денежных средств - действия оператора по переводу денежных средств в рамках применяемых форм безналичных расчетов по предоставлению получателю средств денежных средств плательщика • Платежная система - совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств • Значимая платежная система - платежная система, отвечающая критериям, установленным ФЗ-161 (системно значимая платежная система или социально значимая платежная система)
Примеры платежных систем • ОРПС (бывшая СБЕРКАРТ) • Золотая Корона • Visa • Яндекс.Деньги • Webmoney • Western Union • Contact • Единая система почтовых переводов (ЕСПП) • Qiwi (ОСМП) • Деньги в Контакте • Рапида
УЧАСТНИКИ НПС
Участники НПС • Оператор по переводу денежных средств • Оператор по переводу электронных денежных средств • Банковский платежный агент • Банковский платежный субагент • Платежный агент • Организация федеральной почтовой связи • Оператор платежной системы • Оператор услуг платежной инфраструктуры – Операционный центр – Расчетный центр – Платежный клиринговый центр • Центральный платежный клиринговый контрагент
Оператор по переводу денежных средств • Оператор по переводу денежных средств – организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств • Операторами по переводу денежных средств являются: – Банк России – кредитные организации, имеющие право на осуществление перевода денежных средств – Внешэкономбанк
Оператор электронных денежных средств • Оператор электронных денежных средств - оператор по переводу денежных средств, осуществляющий перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств) • Оператором электронных денежных средств является кредитная организация, в том числе небанковская кредитная организация, имеющая право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, предусмотренная пунктом 1 части третьей статьи 1 Федерального закона «О банках и банковской деятельности»
Банковский платежный агент (субагент) • Банковский платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления деятельности, предусмотренной ФЗ-161 • Банковский платежный субагент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления деятельности, предусмотренной ФЗ-161
Оператор платежной системы • Оператор платежной системы - организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные ФЗ-161 • Оператором платежной системы может являться кредитная организация, организация, не являющаяся кредитной организацией и созданная в соответствии с законодательством Российской Федерации, Банк России или Внешэкономбанк • Оператор платежной системы может совмещать свою деятельность с деятельностью оператора по переводу денежных средств, оператора услуг платежной инфраструктуры и с иной деятельностью, если это не противоречит законодательству Российской Федерации – Для некредитной организации нельзя совмещать с ролью расчетного центра
Кто еще может стать оператором платежной системы? • Банк России устанавливает значение переводов денежных средств, осуществляемых в течение трех месяцев подряд между банковскими счетами не менее трех операторов по переводу денежных средств, в размере 1500 миллионов рублей, при превышении которого оператор по переводу денежных средств, у которого открыты эти банковские счета, обязан обеспечить направление в Банк России заявления о регистрации оператора платежной системы – Указание 2814-У от 02.05.2012 «О размере значения переводов денежных средств, при превышении которого оператор по переводу денежных средств обязан обеспечить направление в Банк России заявления о регистрации оператора платежной системы»
Оператор услуг платежной инфраструктуры • Оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр • Оператором услуг платежной инфраструктуры может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк • Оператор услуг платежной инфраструктуры может совмещать оказание операционных услуг, услуг платежного клиринга и расчетных услуг (исключая некредитные организации), в том числе в рамках одной организации • Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора платежной системы
Оператор услуг платежной инфраструктуры • Операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями • Расчетный центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы
Платежный клиринговый центр • Платежный клиринговый центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств и выполнение иных действий, предусмотренных ФЗ-161 • Центральный платежный клиринговый контрагент - платежный клиринговый центр, выступающий в соответствии с настоящим Федеральным законом плательщиком и получателем средств по переводам денежных средств участников платежной системы
Один участник = разные статусы Контент- провайдер Мобильное Мобильный Банк устройство оператор (оператор ПС или платежный агент Платежные или вообще не участник НПС (ст.13)?) сервисы • Мобильный оператор переводит денежные средства через платежные сервисы (например, Intervale) • Мобильный оператор работает напрямую с контент- провайдерами, списывая средства со счета абонента у оператора
TSM в NFC: кто он для НПС? • Оператор платежной системы? • Операционный центр? • Клиринговый центр? Мобильное устройство Secure Element TSM Терминал
Экосистема мобильных платежей еще сложнее • + Органы по оценке соответствия • + Регуляторы и органы по стандартизации • + Производители средств защиты • + Производители оборудования Источник: “Mobile Payment. 2nd edition”, EPC492-09
НОРМАТИВНАЯ БАЗА ИБ НПС
Защита информации в НПС • Обеспечение защиты информации в платежной системе – Ст.27 ФЗ-161 (вступает в силу с 01.07.2012) • Участники НПС обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации
Кто устанавливает требования по защите информации • Правительство Российской Федерации устанавливает требования к защите указанной информации – Ст.27.1 ФЗ-161 • Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются ФСБ, и ФСТЭК, в пределах их полномочий и без права ознакомления с защищаемой информацией – Ст.27.2 ФЗ-161
Но не только ФСТЭК и ФСБ • Участники НПС обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с ФСБ и ФСТЭК – Ст.27.3 ФЗ-161 • Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с ФСТЭК и ФСБ – Ст.27.3 ФЗ-161
На кого распространяются требования по защите? Участник НПС Обязан выполнять требования по защите Оператор по переводу денежных средств + Банковские платежные агенты (субагенты) + Оператор платежной системы + Оператор услуг платежной инфраструктуры + Организация федеральной почтовой ̶ связи Клиент ̶
Структура нормативно-правовых актов ФЗ-161 от 27.06.2011 Документы ПП-584 от Банка 13.06.2012 России 380-П от 381-П от 382-П от 2831-У от 31.05.2012 09.06.2012 09.06.2012 09.06.2012
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА 584
Постановление Правительства №584 • Об утверждении положения о защите информации в платежной системе • Настоящее Положение устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе
3 цели защиты информации 1. Обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации 2. Соблюдение конфиденциальности информации 3. Реализация права на доступ к информации в соответствии с законодательством Российской Федерации
Обязательные требования: великолепная десятка 1. Создание и организация функционирования структурного подразделения по защите информации или назначение должностного лица, ответственного за организацию защиты информации 2. Включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации 3. Осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем 4. Проведение анализа рисков нарушения требований к защите информации и управление такими рисками 5. Разработка и реализация систем защиты информации в информационных системах
Обязательные требования: великолепная десятка 6. Применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности) 7. Выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них 8. Обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования 9. Определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию 10. Организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года
Кто может выполнять работы по защите? • Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации • Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации
Есть ли жесткие требования? • Применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации • Требования использования только сертифицированных СЗИ (не СКЗИ) нет – Фрагмент «в том числе прошедших в установленном порядке процедуру оценки соответствия» из проекта Постановления в финальной редакции был убрал • Требование наличия лицензии у участника НПС для обеспечения защиты для собственных нужд также не устанавливается
ВВЕДЕНИЕ В ДОКУМЕНТЫ БАНКА РОССИИ ПО ИБ
Требования по ИБ есть не только в документах по НПС • Положением 242-П от 16.12.2003 «Об организации внутреннего контроля в кредитных организациях и банковских группах» • Письмо 70-Т от 23.06.2004 «О типичных банковских рисках» • Письмо 92-Т от 30.06.2005 «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» • Письмо 76-Т от 24.05.2005 «Об организации управления операционным риском в кредитных организациях» • Письмо 60-Т от 27.04.2007 «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)»
Требования по ИБ есть не только в документах по НПС • Письмо 140-Т от 05.09.2007 «По вопросам территориальных учреждений» (о проверках обеспечения кредитными организациями требований к информационной безопасности) • Письмо 197-Т от 7.12.2007 «О рисках при дистанционном банковском обслуживании» • Письмо 36-Т от 31.03.2008 «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» • Письмо 11-Т от 30.01.2009 «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»
Требования по ИБ есть не только в документах по НПС • Письмо 141-Т от 26.10.2010 «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания» • Положение 379-П от 31.05.2012 «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах»
Структура документов Банка России по защите в НПС 380-П от 31.05.2012 381-П от 09.06.2012 382-П от 09.06.2012 2831-У от 09.06.2012 • Положение о • Положение о • Положение о • Об отчетности по порядке порядке требованиях к обеспечению осуществления осуществления обеспечению защиты наблюдения в надзора за защиты информации при национальной соблюдением не информации при осуществлении платежной системе являющимися осуществлении переводов кредитными переводов денежных средств организациями денежных средств и операторов операторами о порядке платежных систем, платежных систем, осуществления операторов услуг операторами услуг Банком России платежной платежной контроля за инфраструктуры, инфраструктуры соблюдением операторов по требований требований к переводу денежных Федерального обеспечению средств закона от 27 июня защиты 2011 года N 161-ФЗ информации при "О национальной осуществлении платежной системе", переводов принятых в денежных средств соответствии с ним нормативных актов Банка России
Как связаны ПП-584 и документы Банка России? Требование из ПП-584 Документ ЦБ Функционирование структурного подразделения 382-П, СТО БР ИББС Включение в должностные инструкции 382-П, СТО БР ИББС обязанностей по защите информации Моделирование угроз и анализ уязвимости СТО БР ИББС Анализ и управление рисками 242-П, 92-Т, 70-Т, 76-Т, 379-П и т.д. Разработка и реализация системы защиты 382-П, СТО БР ИББС Применение средств защиты 382-П, СТО БР ИББС Выявление инцидентов 382-П, СТО БР ИББС Обеспечение защиты при использовании ССОП 197-Т, 36-Т, 11-Т, 141-Т, 382-П Разграничение доступа 382-П Организация и проведения контроля 382-П, 2831-У, 380-П, 381-П, СТО БР ИББС
ПОЛОЖЕНИЕ 382-П
Положение Банка России 382-П от 09.06.2012 Участник НПС Обязан выполнять Кто контролирует требования 382-П выполнение 382-П Оператор по переводу денежных средств + Банк России Банковские платежные Оператор по агенты (субагенты) + переводу денежных средств Оператор платежной системы + Банк России Оператор услуг платежной инфраструктуры + Банк России Организация федеральной ̶ ̶ почтовой связи Клиент ̶ ̶ • Положение 382-П согласовано с ФСБ и ФСТЭК
Что защищаем? • Информации об остатках денежных средств на банковских счетах • Информации об остатках электронных денежных средств • Информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы – требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы
Что защищаем? • Информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра • Информации о платежных клиринговых позициях; информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт • Ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств
Что защищаем? • Информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств по защите информации • Информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств
Как защищать ПДн при переводе денежных средств? Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации Постановление Проект постановления Правительства по Правительства 382-П требованиям к безопасности ПДн №584 Проект приказа Проект приказа ФСБ ФСТЭК
Какие требования по защите информации НПС? Этапы жизненного Назначение и Защита от цикла объектов Доступ к объектам распределение прав и несанкционированного информационной инфраструктуры обязанностей доступа инфраструктуры Контроль выполнения Защита при Защита от технологии обработки использовании Применение СКЗИ вредоносного кода защищаемой Интернет информации Организация и Повышение Выявление Реализация порядка функционирование осведомленности инцидентов и обеспечения защиты подразделения ИБ работников реагирование на них информации Информирование Совершенствование Оценка выполнения оператора платежной инфраструктуры требований системы ее защиты участниками об ОЗИ
Нововведения 382-П • Операторы по переводу денежных средств обязаны регулярно информировать клиентов о новых угрозах и рисках и рекомендациях по их нейтрализации/управлению • В топ-менеджменте операторов по переводу денежных средств или операторов услуг платежной инфраструктуры назначаются кураторы по ИБ, которые не должны совпадать с кураторами по ИТ • На оператора платежной системы возлагается большая работа по реагированию на инциденты, разработке методик анализа и реагирования, информированию операторов по переводу и операторов инфраструктуры о выявленных инцидентах и т.д. • Оценка соответствия требованиям по ИБ проводится самостоятельно или с приглашением внешних организаций в соответствие с методикой, приведенной в приложении к 382-П • Требование сертификации к средствам защиты не предъявляется
Информирование оператора платежной системы • Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать оператора платежной системы о том, как они осуществляют защиту информации • В информирование включается информация: – о степени выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств – о реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств – о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств – о результатах проведенных оценок соответствия – о выявленных угрозах и уязвимостях в обеспечении защиты информации
Применение СКЗИ • Оператор платежной системы самостоятельно определяет необходимость использования СКЗИ, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации • Если необходимость СКЗИ определена, то работы по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с Федеральным законом от 6 апреля 2011 года 63-ФЗ «Об электронной подписи», Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), и технической документацией на СКЗИ • В случае если участники НПС применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа
А теперь вопросы по применению СКЗИ • А если СКЗИ иностранного производства? – ФЗ-66 «Об электронной подписи» и ПКЗ-2005 на них не распространяется Обмен собственной • Обладатель информации информацией • Собственник (владелец) системы Обмен с госорганами • Госорган Обмен с организациями • Организация госзаказа госзаказа Обработка и хранение • Обладатель информации без передачи • Пользователь (потребитель)
А теперь вопросы по применению СКЗИ • А если СКЗИ иностранного производства ввезена легально? – По разрешению ФСБ – По упрощенной схеме (под исключение «Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций») Упрощенная схема По лицензии • Ввоз по нотификации • Разрешение ФСБ • Ввоз по лицензии Минпромторга
Контроль исполнения • Банк России проводит проверки (380-П): – операторов платежных систем, являющихся кредитными организациями – операторов услуг платежной инфраструктуры, являющихся кредитными организациями – операторов по переводу денежных средств, являющихся кредитными организациями • Банк России проводит инспекционные проверки (381-П) – операторов платежных систем, не являющихся кредитными организациями – операторов услуг платежной инфраструктуры, не являющихся кредитными организациями • Информацию и документы о соблюдении правил защиты информации платежными агентами (субагентами) Банк России запрашивает у операторов по переводу денежных средств
УКАЗАНИЕ 2831-У
Указание 2831-У • Указание «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» • Оно устанавливает формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств, сроки предоставления отчетности и методики составления отчетности – На платежных агентов (субагентов) данное указание не распространяется – Но Банк России может самостоятельно запрашивать у платежных агентов информацию в рамках 380-П
Указание 2831-У • Сведения о выполнении участниками НПС требований к обеспечению защиты информации 0403202 при осуществлении денежных переводов • Предоставляется не позднее тридцати рабочих дней со дня завершения оценки выполнения требований, установленных 382-П • Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты 0403203 информации при осуществлении переводов денежных средств • Ежемесячно, не позднее 10-го рабочего дня месяца
О каких инцидентах уведомлять? • Воздействие программного кода, приводящее к нарушению штатного функционирования средства вычислительной техники, результатом которого является нарушение предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств • Реализация воздействий на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств, с целью создания условий невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств
О каких инцидентах уведомлять? • Нарушение конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами • Компрометация ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств • Осуществление переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами, вследствие нарушения конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами или вследствие компрометации ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств
О каких инцидентах уведомлять? • Воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, оформленных в рамках применяемой формы безналичных расчетов, распоряжениях участников платежной системы, распоряжениях платежного клирингового центра • Невозможность предоставления услуг по переводу денежных средств в платежной системе в течение трех часов и более
НАДЗОР В РАМКАХ 380-П И 381-П
Положение 380-П • Положение Банка России от 31 мая 2012 года № 380-П «О порядке осуществления наблюдения в национальной платежной системе» устанавливает общий порядок наблюдения Банком России за деятельностью операторов по переводу денежных средств, операторов платежных систем, операторов услуг платежной инфраструктуры (наблюдаемых организаций), других субъектов национальной платежной системы, за оказываемыми ими услугами, а также за развитием платежных систем, платежной инфраструктуры
Что может запрашивать Банк России? • В рамках мониторинга Банк России вправе запрашивать у операторов по переводу денежных средств и платежных агентов (субагентов) среди прочего информацию – об уровне обеспечения защиты информации при осуществлении переводов денежных средств – об информационно-коммуникационных технологиях, а также электронных носителях и технических устройствах, используемых при предоставлении платежных услуг – а также о попытках (в том числе реализованных) негативного воздействия на предоставляемые услуги, зафиксированных субъектом НПС, в том числе в случаях мошеннических действий и (или) сетевых взломов, сопровождаемых несанкционированным проникновением в операционную (информационную) систему субъекта НПС
Что может запрашивать Банк России? • У операционных, платежных клиринговых и расчетных центров ЦБ не может запрашивать информацию об уровне обеспечения защиты информации, но может об уровне бесперебойности оказания операционных услуг и иных услуг платежной инфраструктуры, о попытках (в том числе реализованных) негативного воздействия на предоставляемые услуги, зафиксированных операторами услуг платежной инфраструктуры, в том числе в случаях мошеннических действий и (или) сетевых взломов, сопровождаемых несанкционированным проникновением в операционную (информационную) систему субъекта НПС и о способах снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы • У операторов платежной системы нельзя вообще ничего запрашивать в контексте рисков, безопасности, инцидентов и т.д.
О значимых платежных системах • Отдельно 380-П выделяет оценку значимой платежной системы, в рамках которой оценивается деятельность такой платежной системы по ряду показателей, включая и уровень защиты информации при переводе денежных средств • Если в процессе анализа значимых платежных систем находятся недостатки, то ЦБ может выступить с предложением по совершенствованию защиты информации
Положение 381-П • Положение Банка России от 9 июня 2012 № 381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе», принятых в соответствие с ним нормативных актов Банка России» устанавливает порядок осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем и операторами услуг платежной инфраструктуры
Положение 381-П • Надзор Банк России, процедура которого и описана в 381-П, включает в себя: – дистанционный надзор, – проведение плановых (1 раз в 2 года) и внеплановых инспекционных проверок, – применение действий и мер принуждения в случае нарушения поднадзорной организацией требований Федерального закона № 161-ФЗ, принятых в соответствии с ним нормативных актов Банка России
КАКОЕ НАКАЗАНИЕ ЗА НЕСОБЛЮДЕНИЕ?
Что будет, если нарушить? • Нарушения требований Федерального закона №161-ФЗ, принятых в соответствии с ним нормативных актов Банка России, выявленные при осуществлении надзора и подтвержденные документами и информацией, являются основанием для применения к поднадзорной организации действий и мер принуждения, предусмотренных статьей 34 №161-ФЗ – доведение до нарушителя информации о нарушении – направление нарушителю рекомендаций об устранении нарушения – направление нарушителю предписание об устранении нарушения – ограничение (приостановление) оказания операционных услуг – исключение оператора платежной системы из реестра таких операторов – привлечение к административной ответственности
В КАЧЕСТВЕ РЕЗЮМЕ
Не все вопросы пока закрываются требованиями по НПС Безопасность транзакций Макро-платежи Мобильный кошелек Частота использования Микро-платежи
А если смартфон без NFC? • Различные ридеры смарт-карт, сканеры чеков и т.д. • Mobile Acceptance Devices – PayPal HERE Mobile Credit Card Reader, Square или CardEase Mobile • А есть ли к ним требования по ИБ?
От СТО БР ИББС к ИБ НПС! А дальше?.. СТО НПС 1.0 НПС х.0 • Банки • Оператор платежной • Оператор платежной системы системы • Мобильный оператор • Мобильный оператор (как платежный агент) • Банки • Банки • Разработчик клиентского приложения • Продавец товаров и услуг • Аутентификационный посредник
security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 81

Recomendados

Гузелия Имаева_НАФИ
Гузелия Имаева_НАФИГузелия Имаева_НАФИ
Гузелия Имаева_НАФИ
Aleksandrs Baranovs
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системе
LETA IT-company
 
Борис Гаврилов_Промсвязьбанк
Борис Гаврилов_ПромсвязьбанкБорис Гаврилов_Промсвязьбанк
Борис Гаврилов_Промсвязьбанк
Aleksandrs Baranovs
 
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Victor Dostov
 
Gorozhankin. электронная коммерция законодательные и ментальные преграды
Gorozhankin. электронная коммерция законодательные и ментальные преградыGorozhankin. электронная коммерция законодательные и ментальные преграды
Gorozhankin. электронная коммерция законодательные и ментальные преграды
Annely Nurkaliyeva
 
Мобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in RussiaМобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in Russia
Timur AITOV
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_Открытие
Aleksandrs Baranovs
 
Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.
Aleksandrs Baranovs
 

Recomendados

Гузелия Имаева_НАФИ
Гузелия Имаева_НАФИГузелия Имаева_НАФИ
Гузелия Имаева_НАФИ
Aleksandrs Baranovs
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системе
LETA IT-company
 
Борис Гаврилов_Промсвязьбанк
Борис Гаврилов_ПромсвязьбанкБорис Гаврилов_Промсвязьбанк
Борис Гаврилов_Промсвязьбанк
Aleksandrs Baranovs
 
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Dostov masterclass on eMoney and other new challenges for a traditional bank ...
Victor Dostov
 
Gorozhankin. электронная коммерция законодательные и ментальные преграды
Gorozhankin. электронная коммерция законодательные и ментальные преградыGorozhankin. электронная коммерция законодательные и ментальные преграды
Gorozhankin. электронная коммерция законодательные и ментальные преграды
Annely Nurkaliyeva
 
Мобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in RussiaМобильные финансы 2011\Mobile banking in Russia
Мобильные финансы 2011\Mobile banking in Russia
Timur AITOV
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_Открытие
Aleksandrs Baranovs
 
Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.
Aleksandrs Baranovs
 
Управление цифровым обслуживанием клиентов
Управление цифровым обслуживанием клиентовУправление цифровым обслуживанием клиентов
Управление цифровым обслуживанием клиентов
Aleksandrs Baranovs
 
Надежда Прасолова_ЦБ России
Надежда Прасолова_ЦБ РоссииНадежда Прасолова_ЦБ России
Надежда Прасолова_ЦБ России
Aleksandrs Baranovs
 
Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Современные тенденции развития рынка платежей и их проекция на мобильную комм...Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Aleksandrs Baranovs
 
Инструменты QIWI для монетизации игровой аудитории, Дмитрий Даниленко, QIWI
Инструменты QIWI для монетизации игровой аудитории, Дмитрий Даниленко, QIWIИнструменты QIWI для монетизации игровой аудитории, Дмитрий Даниленко, QIWI
Инструменты QIWI для монетизации игровой аудитории, Дмитрий Даниленко, QIWI
Aleksandrs Baranovs
 
Алексей Назаров, PayBox
Алексей Назаров, PayBoxАлексей Назаров, PayBox
Алексей Назаров, PayBox
InSales
 
Prichiny i sledstvija izmenenija zakonodatelstva
Prichiny i sledstvija izmenenija zakonodatelstvaPrichiny i sledstvija izmenenija zakonodatelstva
Prichiny i sledstvija izmenenija zakonodatelstva
E-Money News
 
Asi dostov-2015
Asi dostov-2015Asi dostov-2015
Asi dostov-2015
Petr Didenko
 
рынок E commerce казахстана. итоги 2013 года АКИБ.
рынок E commerce казахстана. итоги 2013 года АКИБ.рынок E commerce казахстана. итоги 2013 года АКИБ.
рынок E commerce казахстана. итоги 2013 года АКИБ.
Evgeniy Shchepelin
 
2014 06-09 дбо-mw
2014 06-09 дбо-mw2014 06-09 дбо-mw
2014 06-09 дбо-mw
J'son and Partners Consulting
 
рынок электронной коммерции республики казахстан
рынок электронной коммерции республики казахстанрынок электронной коммерции республики казахстан
рынок электронной коммерции республики казахстан
J'son and Partners Consulting
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Procontent.Ru Magazine
 
Дистанционный банкинг
Дистанционный банкингДистанционный банкинг
Дистанционный банкинг
Константин Гризов
 
сибирские интернет недели. платежная система и ценности потребителя - как мы...
сибирские интернет недели. платежная система и ценности потребителя - как мы...сибирские интернет недели. платежная система и ценности потребителя - как мы...
сибирские интернет недели. платежная система и ценности потребителя - как мы...
Bogdan Shevchenko
 
Тимур Аитов Платежи 07 ноября 2011
Тимур Аитов Платежи 07 ноября 2011Тимур Аитов Платежи 07 ноября 2011
Тимур Аитов Платежи 07 ноября 2011
Timur AITOV
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбо
Евгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБО
Евгений Царев
 
Презентация Системы А3 на Петербургском международном экономическом форуме (1...
Презентация Системы А3 на Петербургском международном экономическом форуме (1...Презентация Системы А3 на Петербургском международном экономическом форуме (1...
Презентация Системы А3 на Петербургском международном экономическом форуме (1...
Дмитрий Мишинов
 
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS ConferenceНаталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
Procontent.Ru Magazine
 
риф + киб 2012
риф + киб 2012риф + киб 2012
риф + киб 2012
Bogdan Shevchenko
 
Татьяня Алексеева Yandex.Money
Татьяня Алексеева Yandex.MoneyТатьяня Алексеева Yandex.Money
Татьяня Алексеева Yandex.Money
Aleksandrs Baranovs
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
LETA IT-company
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
LETA IT-company
 

Más contenido relacionado

La actualidad más candente

Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Procontent.Ru Magazine
 
сибирские интернет недели. платежная система и ценности потребителя - как мы...
сибирские интернет недели. платежная система и ценности потребителя - как мы...сибирские интернет недели. платежная система и ценности потребителя - как мы...
сибирские интернет недели. платежная система и ценности потребителя - как мы...
Bogdan Shevchenko
 
Тимур Аитов Платежи 07 ноября 2011
Тимур Аитов Платежи 07 ноября 2011Тимур Аитов Платежи 07 ноября 2011
Тимур Аитов Платежи 07 ноября 2011
Timur AITOV
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбо
Евгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБО
Евгений Царев
 
Презентация Системы А3 на Петербургском международном экономическом форуме (1...
Презентация Системы А3 на Петербургском международном экономическом форуме (1...Презентация Системы А3 на Петербургском международном экономическом форуме (1...
Презентация Системы А3 на Петербургском международном экономическом форуме (1...
Дмитрий Мишинов
 
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS ConferenceНаталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
Procontent.Ru Magazine
 

La actualidad más candente (20)

Управление цифровым обслуживанием клиентов
Управление цифровым обслуживанием клиентовУправление цифровым обслуживанием клиентов
Управление цифровым обслуживанием клиентов
 
Надежда Прасолова_ЦБ России
Надежда Прасолова_ЦБ РоссииНадежда Прасолова_ЦБ России
Надежда Прасолова_ЦБ России
 
Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Современные тенденции развития рынка платежей и их проекция на мобильную комм...Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Современные тенденции развития рынка платежей и их проекция на мобильную комм...
 
Инструменты QIWI для монетизации игровой аудитории, Дмитрий Даниленко, QIWI
Инструменты QIWI для монетизации игровой аудитории, Дмитрий Даниленко, QIWIИнструменты QIWI для монетизации игровой аудитории, Дмитрий Даниленко, QIWI
Инструменты QIWI для монетизации игровой аудитории, Дмитрий Даниленко, QIWI
 
Алексей Назаров, PayBox
Алексей Назаров, PayBoxАлексей Назаров, PayBox
Алексей Назаров, PayBox
 
Prichiny i sledstvija izmenenija zakonodatelstva
Prichiny i sledstvija izmenenija zakonodatelstvaPrichiny i sledstvija izmenenija zakonodatelstva
Prichiny i sledstvija izmenenija zakonodatelstva
 
Asi dostov-2015
Asi dostov-2015Asi dostov-2015
Asi dostov-2015
 
рынок E commerce казахстана. итоги 2013 года АКИБ.
рынок E commerce казахстана. итоги 2013 года АКИБ.рынок E commerce казахстана. итоги 2013 года АКИБ.
рынок E commerce казахстана. итоги 2013 года АКИБ.
 
2014 06-09 дбо-mw
2014 06-09 дбо-mw2014 06-09 дбо-mw
2014 06-09 дбо-mw
 
рынок электронной коммерции республики казахстан
рынок электронной коммерции республики казахстанрынок электронной коммерции республики казахстан
рынок электронной коммерции республики казахстан
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
 
Дистанционный банкинг
Дистанционный банкингДистанционный банкинг
Дистанционный банкинг
 
сибирские интернет недели. платежная система и ценности потребителя - как мы...
сибирские интернет недели. платежная система и ценности потребителя - как мы...сибирские интернет недели. платежная система и ценности потребителя - как мы...
сибирские интернет недели. платежная система и ценности потребителя - как мы...
 
Тимур Аитов Платежи 07 ноября 2011
Тимур Аитов Платежи 07 ноября 2011Тимур Аитов Платежи 07 ноября 2011
Тимур Аитов Платежи 07 ноября 2011
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбо
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБО
 
Презентация Системы А3 на Петербургском международном экономическом форуме (1...
Презентация Системы А3 на Петербургском международном экономическом форуме (1...Презентация Системы А3 на Петербургском международном экономическом форуме (1...
Презентация Системы А3 на Петербургском международном экономическом форуме (1...
 
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS ConferenceНаталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
Наталья Хайтина, Яндекс.Деньги, VI Mobile VAS Conference
 
риф + киб 2012
риф + киб 2012риф + киб 2012
риф + киб 2012
 
Татьяня Алексеева Yandex.Money
Татьяня Алексеева Yandex.MoneyТатьяня Алексеева Yandex.Money
Татьяня Алексеева Yandex.Money
 

Destacado

Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
LETA IT-company
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
LETA IT-company
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
ArtemAgeev
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Aleksey Lukatskiy
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurement
Aleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
Aleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
Aleksey Lukatskiy
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
Aleksey Lukatskiy
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
Aleksey Lukatskiy
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
Aleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Aleksey Lukatskiy
 

Destacado (20)

Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurement
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
 
Cyberwarfare examples
Cyberwarfare examplesCyberwarfare examples
Cyberwarfare examples
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Mobility and cloud security
Mobility and cloud securityMobility and cloud security
Mobility and cloud security
 
Mobile security office
Mobile security officeMobile security office
Mobile security office
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
 

Similar a Краткий обзор требований по защите информации в НПС

Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)
Евгений Царев
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
С.Поликарпов Выбор платежной системы для интернет проекта. как не ошибиться
С.Поликарпов Выбор платежной системы для интернет проекта. как не ошибитьсяС.Поликарпов Выбор платежной системы для интернет проекта. как не ошибиться
С.Поликарпов Выбор платежной системы для интернет проекта. как не ошибиться
Виталий Дудка
 
Мобильный банкинг на практике 2011 Тимур Аитов 21 апреля 2011 инфопространство
Мобильный банкинг на практике 2011 Тимур Аитов 21 апреля 2011 инфопространствоМобильный банкинг на практике 2011 Тимур Аитов 21 апреля 2011 инфопространство
Мобильный банкинг на практике 2011 Тимур Аитов 21 апреля 2011 инфопространство
Timur AITOV
 
Прием платежей для бизнеса, внимание к мошенникам и B2C платежи
Прием платежей для бизнеса, внимание к мошенникам и B2C платежиПрием платежей для бизнеса, внимание к мошенникам и B2C платежи
Прием платежей для бизнеса, внимание к мошенникам и B2C платежи
BranchMarketing
 
Dostov c5 presentation 06 12 2012
Dostov c5 presentation 06 12 2012Dostov c5 presentation 06 12 2012
Dostov c5 presentation 06 12 2012
Victor Dostov
 

Similar a Краткий обзор требований по защите информации в НПС (20)

Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
 
Cashmob payment messenger
Cashmob payment messengerCashmob payment messenger
Cashmob payment messenger
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
12 Волощук Ольга - Velcom
12 Волощук Ольга - Velcom12 Волощук Ольга - Velcom
12 Волощук Ольга - Velcom
 
Система еКассир. Опыт внедрения сети платежных терминалов самообслуживания в ...
Система еКассир. Опыт внедрения сети платежных терминалов самообслуживания в ...Система еКассир. Опыт внедрения сети платежных терминалов самообслуживания в ...
Система еКассир. Опыт внедрения сети платежных терминалов самообслуживания в ...
 
информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)информационная безопасность национальной платежной системы (нпс)
информационная безопасность национальной платежной системы (нпс)
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
Karma. блокчейн протокол p2p-обмена
Karma. блокчейн протокол p2p-обменаKarma. блокчейн протокол p2p-обмена
Karma. блокчейн протокол p2p-обмена
 
Read more
Read moreRead more
Read more
 
С.Поликарпов Выбор платежной системы для интернет проекта. как не ошибиться
С.Поликарпов Выбор платежной системы для интернет проекта. как не ошибитьсяС.Поликарпов Выбор платежной системы для интернет проекта. как не ошибиться
С.Поликарпов Выбор платежной системы для интернет проекта. как не ошибиться
 
Мобильный банкинг на практике 2011 Тимур Аитов 21 апреля 2011 инфопространство
Мобильный банкинг на практике 2011 Тимур Аитов 21 апреля 2011 инфопространствоМобильный банкинг на практике 2011 Тимур Аитов 21 апреля 2011 инфопространство
Мобильный банкинг на практике 2011 Тимур Аитов 21 апреля 2011 инфопространство
 
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
О работе Системы регистрации начислений и платежей (ИС РНИП) и Единого платеж...
 
Кованцов Н.
Кованцов Н.Кованцов Н.
Кованцов Н.
 
priorbank. Distance systems of client service
priorbank. Distance systems of client servicepriorbank. Distance systems of client service
priorbank. Distance systems of client service
 
Прием платежей для бизнеса, внимание к мошенникам и B2C платежи
Прием платежей для бизнеса, внимание к мошенникам и B2C платежиПрием платежей для бизнеса, внимание к мошенникам и B2C платежи
Прием платежей для бизнеса, внимание к мошенникам и B2C платежи
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Выбор платежной системы для интернет-проекта. Как не ошибиться?
Выбор платежной системы для интернет-проекта. Как не ошибиться? Выбор платежной системы для интернет-проекта. Как не ошибиться?
Выбор платежной системы для интернет-проекта. Как не ошибиться?
 
Gorozhankin
GorozhankinGorozhankin
Gorozhankin
 
PayOkey
PayOkeyPayOkey
PayOkey
 
Dostov c5 presentation 06 12 2012
Dostov c5 presentation 06 12 2012Dostov c5 presentation 06 12 2012
Dostov c5 presentation 06 12 2012
 

Más de Aleksey Lukatskiy

Más de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Último

Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 

Último (9)

Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 

Краткий обзор требований по защите информации в НПС

  • 1. Информационная безопасность в рамках Национальной платежной системы. Краткий обзор Лукацкий Алексей, консультант по безопасности security-request@cisco.com
  • 2. Почему Cisco говорит о законодательстве? КЦ РГ ТК22 ТК122 ТК362 АРБ ЦБ «Безопасность «Защита «Защита Консультации Разработка ИТ» (ISO SC27 в информации в информации» банков по рекомендаций по России) кредитных при ФСТЭК вопросам ПДн ПДн и СТО БР учреждениях» ИББС v4 ФСБ МКС НАУФОР НПС ФСТЭК Экспертиза Отраслевой Разработка Экспертиза документов Предложения стандарт документов документов
  • 3. Еженедельный выпуск НПА по ИБ за последний год 7 6 5 4 3 2 1 0
  • 4. НПС – один из приоритетов последних дней 1 2 1 8 Все НПС 4 Банки Госорганы 5 39 2 Операторы связи ТЭК УК, ТСЖ, ЖК, ЖСК Нотариусы
  • 5. НПС – вершина регулирования отрасли денежных переводов Требование Объект Статус Обязательность Санкции Оценка защиты соответствия ISO 270хх Вся КИ Международный Рекомендация Нет Аудит стандарт СТО БР БТ, КТ, Стандарт Рекомендация Нет Аудит, ИББС ПДн организации (де-юре) самооценка ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует PCI DSS БТ, Международный Обязательный Штраф Аудит, ПДн стандарт (де-юре) самооценка Рекомендация (де-факто) НПС БТ, КТ, Закон Обязательный Штраф, Аудит, ПДн приостановление самооценка деятельности
  • 6. РАЗВЕ СТО БР ИББС НЕ ХВАТАЕТ?
  • 7. Мобильные платежи как пример неподвластности СТО • Mobile Peer-to-Peer платежи – Неформализованные транзакции между двумя людьми • Платежи на базе Premium SMS • mCommerce • Сканирование – QR Code – Сканирование чеков • Proximity – IrDA – Bluetooth – NFC • Mobile Acceptance Devices
  • 8. Premium SMS с точки зрения СТО БР ИББС Мобильное Мобильный Контент- Банк устройство оператор провайдер • К участникам схемы “Premium SMS” требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией – Денежные средства могут списываться со счета абонента у оператора связи
  • 9. NFC с точки зрения СТО БР ИББС Платежные системы Банк Мобильное Торгово-сервисное устройство предприятие • К участникам схемы NFC требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией
  • 10. Кто главный? 4 модели мобильных платежей • В рамках СТО БР ИББС «главным» Оператор Банк всегда является банк, • Независимо • Оператор как основной от банков дает только участник перевода транспорт денежных средств • В модели мобильных платежей роль банка «Дружба» P2P уже не так очевидна и • Необходима • Провайдер СТО БР ИББС доверенная услуг применим не во всех сторона работает случаях напрямую с покупателем
  • 12. Предыстория НПС • Национальная система платежных карт – проект создания в РФ альтернативы международным платежным системам Visa и Mastercard, а также одноэмитентным платежным системам • Задачи – Функционирование на национальном уровне независимой от влияния международных платежных систем структуры расчетов по карточкам (защита граждан) – Реализация социальной функции, используя карты НСПК в качестве основы для предоставления различных госуслуг в электронном виде – Обеспечение перехода от использования наличных денег к полнофункциональным безналичным расчетам за товары, услуги и сделки • УЭК – часть проекта НСПК
  • 13. Что такое НПС? • Национальная платежная система – это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы) • Цель НПС – унификация подходов к осуществлению безналичных денежных переводов и вывод из тени (контроль) платежных систем, ранее непопадающих под регулирование с целью предотвращения финансирования терроризма/экстремизма и легализации доходов, полученных преступным путем
  • 15. Базовые определения • Перевод денежных средств - действия оператора по переводу денежных средств в рамках применяемых форм безналичных расчетов по предоставлению получателю средств денежных средств плательщика • Платежная система - совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств • Значимая платежная система - платежная система, отвечающая критериям, установленным ФЗ-161 (системно значимая платежная система или социально значимая платежная система)
  • 16. Примеры платежных систем • ОРПС (бывшая СБЕРКАРТ) • Золотая Корона • Visa • Яндекс.Деньги • Webmoney • Western Union • Contact • Единая система почтовых переводов (ЕСПП) • Qiwi (ОСМП) • Деньги в Контакте • Рапида
  • 18. Участники НПС • Оператор по переводу денежных средств • Оператор по переводу электронных денежных средств • Банковский платежный агент • Банковский платежный субагент • Платежный агент • Организация федеральной почтовой связи • Оператор платежной системы • Оператор услуг платежной инфраструктуры – Операционный центр – Расчетный центр – Платежный клиринговый центр • Центральный платежный клиринговый контрагент
  • 19. Оператор по переводу денежных средств • Оператор по переводу денежных средств – организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств • Операторами по переводу денежных средств являются: – Банк России – кредитные организации, имеющие право на осуществление перевода денежных средств – Внешэкономбанк
  • 20. Оператор электронных денежных средств • Оператор электронных денежных средств - оператор по переводу денежных средств, осуществляющий перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств) • Оператором электронных денежных средств является кредитная организация, в том числе небанковская кредитная организация, имеющая право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, предусмотренная пунктом 1 части третьей статьи 1 Федерального закона «О банках и банковской деятельности»
  • 21. Банковский платежный агент (субагент) • Банковский платежный агент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления деятельности, предусмотренной ФЗ-161 • Банковский платежный субагент - юридическое лицо, за исключением кредитной организации, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления деятельности, предусмотренной ФЗ-161
  • 22. Оператор платежной системы • Оператор платежной системы - организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные ФЗ-161 • Оператором платежной системы может являться кредитная организация, организация, не являющаяся кредитной организацией и созданная в соответствии с законодательством Российской Федерации, Банк России или Внешэкономбанк • Оператор платежной системы может совмещать свою деятельность с деятельностью оператора по переводу денежных средств, оператора услуг платежной инфраструктуры и с иной деятельностью, если это не противоречит законодательству Российской Федерации – Для некредитной организации нельзя совмещать с ролью расчетного центра
  • 23. Кто еще может стать оператором платежной системы? • Банк России устанавливает значение переводов денежных средств, осуществляемых в течение трех месяцев подряд между банковскими счетами не менее трех операторов по переводу денежных средств, в размере 1500 миллионов рублей, при превышении которого оператор по переводу денежных средств, у которого открыты эти банковские счета, обязан обеспечить направление в Банк России заявления о регистрации оператора платежной системы – Указание 2814-У от 02.05.2012 «О размере значения переводов денежных средств, при превышении которого оператор по переводу денежных средств обязан обеспечить направление в Банк России заявления о регистрации оператора платежной системы»
  • 24. Оператор услуг платежной инфраструктуры • Оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр • Оператором услуг платежной инфраструктуры может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк • Оператор услуг платежной инфраструктуры может совмещать оказание операционных услуг, услуг платежного клиринга и расчетных услуг (исключая некредитные организации), в том числе в рамках одной организации • Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора платежной системы
  • 25. Оператор услуг платежной инфраструктуры • Операционный центр - организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями • Расчетный центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы
  • 26. Платежный клиринговый центр • Платежный клиринговый центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств и выполнение иных действий, предусмотренных ФЗ-161 • Центральный платежный клиринговый контрагент - платежный клиринговый центр, выступающий в соответствии с настоящим Федеральным законом плательщиком и получателем средств по переводам денежных средств участников платежной системы
  • 27. Один участник = разные статусы Контент- провайдер Мобильное Мобильный Банк устройство оператор (оператор ПС или платежный агент Платежные или вообще не участник НПС (ст.13)?) сервисы • Мобильный оператор переводит денежные средства через платежные сервисы (например, Intervale) • Мобильный оператор работает напрямую с контент- провайдерами, списывая средства со счета абонента у оператора
  • 28. TSM в NFC: кто он для НПС? • Оператор платежной системы? • Операционный центр? • Клиринговый центр? Мобильное устройство Secure Element TSM Терминал
  • 29. Экосистема мобильных платежей еще сложнее • + Органы по оценке соответствия • + Регуляторы и органы по стандартизации • + Производители средств защиты • + Производители оборудования Источник: “Mobile Payment. 2nd edition”, EPC492-09
  • 31. Защита информации в НПС • Обеспечение защиты информации в платежной системе – Ст.27 ФЗ-161 (вступает в силу с 01.07.2012) • Участники НПС обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации
  • 32. Кто устанавливает требования по защите информации • Правительство Российской Федерации устанавливает требования к защите указанной информации – Ст.27.1 ФЗ-161 • Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются ФСБ, и ФСТЭК, в пределах их полномочий и без права ознакомления с защищаемой информацией – Ст.27.2 ФЗ-161
  • 33. Но не только ФСТЭК и ФСБ • Участники НПС обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с ФСБ и ФСТЭК – Ст.27.3 ФЗ-161 • Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с ФСТЭК и ФСБ – Ст.27.3 ФЗ-161
  • 34. На кого распространяются требования по защите? Участник НПС Обязан выполнять требования по защите Оператор по переводу денежных средств + Банковские платежные агенты (субагенты) + Оператор платежной системы + Оператор услуг платежной инфраструктуры + Организация федеральной почтовой ̶ связи Клиент ̶
  • 35. Структура нормативно-правовых актов ФЗ-161 от 27.06.2011 Документы ПП-584 от Банка 13.06.2012 России 380-П от 381-П от 382-П от 2831-У от 31.05.2012 09.06.2012 09.06.2012 09.06.2012
  • 37. Постановление Правительства №584 • Об утверждении положения о защите информации в платежной системе • Настоящее Положение устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем и операторами услуг платежной инфраструктуры в платежной системе
  • 38. 3 цели защиты информации 1. Обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации 2. Соблюдение конфиденциальности информации 3. Реализация права на доступ к информации в соответствии с законодательством Российской Федерации
  • 39. Обязательные требования: великолепная десятка 1. Создание и организация функционирования структурного подразделения по защите информации или назначение должностного лица, ответственного за организацию защиты информации 2. Включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации 3. Осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем 4. Проведение анализа рисков нарушения требований к защите информации и управление такими рисками 5. Разработка и реализация систем защиты информации в информационных системах
  • 40. Обязательные требования: великолепная десятка 6. Применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности) 7. Выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них 8. Обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования 9. Определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию 10. Организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года
  • 41. Кто может выполнять работы по защите? • Для проведения работ по защите информации операторами и агентами могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации • Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации
  • 42. Есть ли жесткие требования? • Применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации • Требования использования только сертифицированных СЗИ (не СКЗИ) нет – Фрагмент «в том числе прошедших в установленном порядке процедуру оценки соответствия» из проекта Постановления в финальной редакции был убрал • Требование наличия лицензии у участника НПС для обеспечения защиты для собственных нужд также не устанавливается
  • 44. Требования по ИБ есть не только в документах по НПС • Положением 242-П от 16.12.2003 «Об организации внутреннего контроля в кредитных организациях и банковских группах» • Письмо 70-Т от 23.06.2004 «О типичных банковских рисках» • Письмо 92-Т от 30.06.2005 «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» • Письмо 76-Т от 24.05.2005 «Об организации управления операционным риском в кредитных организациях» • Письмо 60-Т от 27.04.2007 «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)»
  • 45. Требования по ИБ есть не только в документах по НПС • Письмо 140-Т от 05.09.2007 «По вопросам территориальных учреждений» (о проверках обеспечения кредитными организациями требований к информационной безопасности) • Письмо 197-Т от 7.12.2007 «О рисках при дистанционном банковском обслуживании» • Письмо 36-Т от 31.03.2008 «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» • Письмо 11-Т от 30.01.2009 «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»
  • 46. Требования по ИБ есть не только в документах по НПС • Письмо 141-Т от 26.10.2010 «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания» • Положение 379-П от 31.05.2012 «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах»
  • 47. Структура документов Банка России по защите в НПС 380-П от 31.05.2012 381-П от 09.06.2012 382-П от 09.06.2012 2831-У от 09.06.2012 • Положение о • Положение о • Положение о • Об отчетности по порядке порядке требованиях к обеспечению осуществления осуществления обеспечению защиты наблюдения в надзора за защиты информации при национальной соблюдением не информации при осуществлении платежной системе являющимися осуществлении переводов кредитными переводов денежных средств организациями денежных средств и операторов операторами о порядке платежных систем, платежных систем, осуществления операторов услуг операторами услуг Банком России платежной платежной контроля за инфраструктуры, инфраструктуры соблюдением операторов по требований требований к переводу денежных Федерального обеспечению средств закона от 27 июня защиты 2011 года N 161-ФЗ информации при "О национальной осуществлении платежной системе", переводов принятых в денежных средств соответствии с ним нормативных актов Банка России
  • 48. Как связаны ПП-584 и документы Банка России? Требование из ПП-584 Документ ЦБ Функционирование структурного подразделения 382-П, СТО БР ИББС Включение в должностные инструкции 382-П, СТО БР ИББС обязанностей по защите информации Моделирование угроз и анализ уязвимости СТО БР ИББС Анализ и управление рисками 242-П, 92-Т, 70-Т, 76-Т, 379-П и т.д. Разработка и реализация системы защиты 382-П, СТО БР ИББС Применение средств защиты 382-П, СТО БР ИББС Выявление инцидентов 382-П, СТО БР ИББС Обеспечение защиты при использовании ССОП 197-Т, 36-Т, 11-Т, 141-Т, 382-П Разграничение доступа 382-П Организация и проведения контроля 382-П, 2831-У, 380-П, 381-П, СТО БР ИББС
  • 50. Положение Банка России 382-П от 09.06.2012 Участник НПС Обязан выполнять Кто контролирует требования 382-П выполнение 382-П Оператор по переводу денежных средств + Банк России Банковские платежные Оператор по агенты (субагенты) + переводу денежных средств Оператор платежной системы + Банк России Оператор услуг платежной инфраструктуры + Банк России Организация федеральной ̶ ̶ почтовой связи Клиент ̶ ̶ • Положение 382-П согласовано с ФСБ и ФСТЭК
  • 51. Что защищаем? • Информации об остатках денежных средств на банковских счетах • Информации об остатках электронных денежных средств • Информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы – требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы
  • 52. Что защищаем? • Информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра • Информации о платежных клиринговых позициях; информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт • Ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств
  • 53. Что защищаем? • Информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств по защите информации • Информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств
  • 54. Как защищать ПДн при переводе денежных средств? Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации Постановление Проект постановления Правительства по Правительства 382-П требованиям к безопасности ПДн №584 Проект приказа Проект приказа ФСБ ФСТЭК
  • 55. Какие требования по защите информации НПС? Этапы жизненного Назначение и Защита от цикла объектов Доступ к объектам распределение прав и несанкционированного информационной инфраструктуры обязанностей доступа инфраструктуры Контроль выполнения Защита при Защита от технологии обработки использовании Применение СКЗИ вредоносного кода защищаемой Интернет информации Организация и Повышение Выявление Реализация порядка функционирование осведомленности инцидентов и обеспечения защиты подразделения ИБ работников реагирование на них информации Информирование Совершенствование Оценка выполнения оператора платежной инфраструктуры требований системы ее защиты участниками об ОЗИ
  • 56. Нововведения 382-П • Операторы по переводу денежных средств обязаны регулярно информировать клиентов о новых угрозах и рисках и рекомендациях по их нейтрализации/управлению • В топ-менеджменте операторов по переводу денежных средств или операторов услуг платежной инфраструктуры назначаются кураторы по ИБ, которые не должны совпадать с кураторами по ИТ • На оператора платежной системы возлагается большая работа по реагированию на инциденты, разработке методик анализа и реагирования, информированию операторов по переводу и операторов инфраструктуры о выявленных инцидентах и т.д. • Оценка соответствия требованиям по ИБ проводится самостоятельно или с приглашением внешних организаций в соответствие с методикой, приведенной в приложении к 382-П • Требование сертификации к средствам защиты не предъявляется
  • 57. Информирование оператора платежной системы • Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать оператора платежной системы о том, как они осуществляют защиту информации • В информирование включается информация: – о степени выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств – о реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств – о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств – о результатах проведенных оценок соответствия – о выявленных угрозах и уязвимостях в обеспечении защиты информации
  • 58. Применение СКЗИ • Оператор платежной системы самостоятельно определяет необходимость использования СКЗИ, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации • Если необходимость СКЗИ определена, то работы по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с Федеральным законом от 6 апреля 2011 года 63-ФЗ «Об электронной подписи», Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), и технической документацией на СКЗИ • В случае если участники НПС применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа
  • 59. А теперь вопросы по применению СКЗИ • А если СКЗИ иностранного производства? – ФЗ-66 «Об электронной подписи» и ПКЗ-2005 на них не распространяется Обмен собственной • Обладатель информации информацией • Собственник (владелец) системы Обмен с госорганами • Госорган Обмен с организациями • Организация госзаказа госзаказа Обработка и хранение • Обладатель информации без передачи • Пользователь (потребитель)
  • 60. А теперь вопросы по применению СКЗИ • А если СКЗИ иностранного производства ввезена легально? – По разрешению ФСБ – По упрощенной схеме (под исключение «Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций») Упрощенная схема По лицензии • Ввоз по нотификации • Разрешение ФСБ • Ввоз по лицензии Минпромторга
  • 61. Контроль исполнения • Банк России проводит проверки (380-П): – операторов платежных систем, являющихся кредитными организациями – операторов услуг платежной инфраструктуры, являющихся кредитными организациями – операторов по переводу денежных средств, являющихся кредитными организациями • Банк России проводит инспекционные проверки (381-П) – операторов платежных систем, не являющихся кредитными организациями – операторов услуг платежной инфраструктуры, не являющихся кредитными организациями • Информацию и документы о соблюдении правил защиты информации платежными агентами (субагентами) Банк России запрашивает у операторов по переводу денежных средств
  • 63. Указание 2831-У • Указание «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» • Оно устанавливает формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств, сроки предоставления отчетности и методики составления отчетности – На платежных агентов (субагентов) данное указание не распространяется – Но Банк России может самостоятельно запрашивать у платежных агентов информацию в рамках 380-П
  • 64. Указание 2831-У • Сведения о выполнении участниками НПС требований к обеспечению защиты информации 0403202 при осуществлении денежных переводов • Предоставляется не позднее тридцати рабочих дней со дня завершения оценки выполнения требований, установленных 382-П • Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты 0403203 информации при осуществлении переводов денежных средств • Ежемесячно, не позднее 10-го рабочего дня месяца
  • 65. О каких инцидентах уведомлять? • Воздействие программного кода, приводящее к нарушению штатного функционирования средства вычислительной техники, результатом которого является нарушение предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств • Реализация воздействий на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств, с целью создания условий невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств
  • 66. О каких инцидентах уведомлять? • Нарушение конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами • Компрометация ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств • Осуществление переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами, вследствие нарушения конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами или вследствие компрометации ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств
  • 67. О каких инцидентах уведомлять? • Воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, оформленных в рамках применяемой формы безналичных расчетов, распоряжениях участников платежной системы, распоряжениях платежного клирингового центра • Невозможность предоставления услуг по переводу денежных средств в платежной системе в течение трех часов и более
  • 68. НАДЗОР В РАМКАХ 380-П И 381-П
  • 69. Положение 380-П • Положение Банка России от 31 мая 2012 года № 380-П «О порядке осуществления наблюдения в национальной платежной системе» устанавливает общий порядок наблюдения Банком России за деятельностью операторов по переводу денежных средств, операторов платежных систем, операторов услуг платежной инфраструктуры (наблюдаемых организаций), других субъектов национальной платежной системы, за оказываемыми ими услугами, а также за развитием платежных систем, платежной инфраструктуры
  • 70. Что может запрашивать Банк России? • В рамках мониторинга Банк России вправе запрашивать у операторов по переводу денежных средств и платежных агентов (субагентов) среди прочего информацию – об уровне обеспечения защиты информации при осуществлении переводов денежных средств – об информационно-коммуникационных технологиях, а также электронных носителях и технических устройствах, используемых при предоставлении платежных услуг – а также о попытках (в том числе реализованных) негативного воздействия на предоставляемые услуги, зафиксированных субъектом НПС, в том числе в случаях мошеннических действий и (или) сетевых взломов, сопровождаемых несанкционированным проникновением в операционную (информационную) систему субъекта НПС
  • 71. Что может запрашивать Банк России? • У операционных, платежных клиринговых и расчетных центров ЦБ не может запрашивать информацию об уровне обеспечения защиты информации, но может об уровне бесперебойности оказания операционных услуг и иных услуг платежной инфраструктуры, о попытках (в том числе реализованных) негативного воздействия на предоставляемые услуги, зафиксированных операторами услуг платежной инфраструктуры, в том числе в случаях мошеннических действий и (или) сетевых взломов, сопровождаемых несанкционированным проникновением в операционную (информационную) систему субъекта НПС и о способах снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы • У операторов платежной системы нельзя вообще ничего запрашивать в контексте рисков, безопасности, инцидентов и т.д.
  • 72. О значимых платежных системах • Отдельно 380-П выделяет оценку значимой платежной системы, в рамках которой оценивается деятельность такой платежной системы по ряду показателей, включая и уровень защиты информации при переводе денежных средств • Если в процессе анализа значимых платежных систем находятся недостатки, то ЦБ может выступить с предложением по совершенствованию защиты информации
  • 73. Положение 381-П • Положение Банка России от 9 июня 2012 № 381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе», принятых в соответствие с ним нормативных актов Банка России» устанавливает порядок осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем и операторами услуг платежной инфраструктуры
  • 74. Положение 381-П • Надзор Банк России, процедура которого и описана в 381-П, включает в себя: – дистанционный надзор, – проведение плановых (1 раз в 2 года) и внеплановых инспекционных проверок, – применение действий и мер принуждения в случае нарушения поднадзорной организацией требований Федерального закона № 161-ФЗ, принятых в соответствии с ним нормативных актов Банка России
  • 76. Что будет, если нарушить? • Нарушения требований Федерального закона №161-ФЗ, принятых в соответствии с ним нормативных актов Банка России, выявленные при осуществлении надзора и подтвержденные документами и информацией, являются основанием для применения к поднадзорной организации действий и мер принуждения, предусмотренных статьей 34 №161-ФЗ – доведение до нарушителя информации о нарушении – направление нарушителю рекомендаций об устранении нарушения – направление нарушителю предписание об устранении нарушения – ограничение (приостановление) оказания операционных услуг – исключение оператора платежной системы из реестра таких операторов – привлечение к административной ответственности
  • 78. Не все вопросы пока закрываются требованиями по НПС Безопасность транзакций Макро-платежи Мобильный кошелек Частота использования Микро-платежи
  • 79. А если смартфон без NFC? • Различные ридеры смарт-карт, сканеры чеков и т.д. • Mobile Acceptance Devices – PayPal HERE Mobile Credit Card Reader, Square или CardEase Mobile • А есть ли к ним требования по ИБ?
  • 80. От СТО БР ИББС к ИБ НПС! А дальше?.. СТО НПС 1.0 НПС х.0 • Банки • Оператор платежной • Оператор платежной системы системы • Мобильный оператор • Мобильный оператор (как платежный агент) • Банки • Банки • Разработчик клиентского приложения • Продавец товаров и услуг • Аутентификационный посредник
  • 81. security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 81