Заключение ассоциации российских банков




Скачать 85.78 Kb.
НазваниеЗаключение ассоциации российских банков
Дата05.10.2012
Размер85.78 Kb.
ТипДокументы


К исх. № А-01/5-118 от 21.02.2012


ЗАКЛЮЧЕНИЕ

АССОЦИАЦИИ РОССИЙСКИХ БАНКОВ

НА ПРОЕКТ ПОЛОЖЕНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ В НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ


Специалисты Ассоциации российских банков с участием банков-членов АРБ проанализировали проект Положения о защите информации в национальной платежной системе (далее – Проект, Положение), и сообщают, что Проект содержит ряд недостатков, требующих корректировки.

  1. Полагаем, что абзац третий пункта 2 Проекта после слова «соблюдение» необходимо дополнить словами «целостности и».

  2. Представляется, что разработка и реализация правовых, организационных и технических мер по защите информации в соответствии с пунктом 2 Проекта по своей сути не может быть направлена на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации, поскольку указанное право не имеет отношения к защите информации. В связи с этим абзац четвертый пункта 2 Проекта предлагаем исключить.

  3. Предлагаем пункт 3 Проекта изложить в следующей редакции:

«Для обеспечения защиты информации операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем, операторами услуг платежной инфраструктуры создаются структурные подразделения по защите информации в платежных системах (службы информационной безопасности платежных систем) или назначаются должностные лица (работники), ответственные за организацию защиты информации в платежных системах.

Для проведения работ по защите информации операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами платежных систем, операторами услуг платежной инфраструктуры могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации, деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств. Деятельность привлекаемых организаций должна осуществляться пределах их полномочий и без права ознакомления с защищаемой информацией.».

  1. Согласно абзацу второму пункта 4 Проекта условиями договоров о привлечении к деятельности по оказанию услуг по переводу денежных средств банковских платежных агентов (субагентов), заключаемых между операторами по переводу денежных средств и банковскими платежными агентами и между банковскими платежными агентами и банковскими платежными субагентами, предусматривается обязанность сторон по обеспечению защиты информации в соответствии с требованиями по защите информации, установленными Банком России.

Полагаем, что абзац второй пункта 4 Проекта следует исключить, поскольку в соответствии с абзацем первым пункта 4 Проекта при осуществлении переводов денежных средств разрабатываемые и реализуемые операторами по переводу денежных средств и банковскими платежными агентами (субагентами) правовые, организационные и технические меры по защите информации, в том числе применяемые средства защиты информации, должны соответствовать требованиям по защите информации, установленным Банком России.

Таким образом, установление подобной обязанности в договоре будет дублировать императивную норма нормативного акта, а нарушение обязанности по обеспечению защиты информации в соответствии с требованиями по защите информации, установленными Банком России, будет являться нарушением Положения, а не указанного договора.

  1. Предлагаем абзац первый пункта 5 Проекта после слов «в соответствии с законодательством Российской Федерации о национальной платежной системе» дополнить словами «и требованиями по защите информации, установленными Банком России».

  2. Согласно абзацу второму пункта 5 Проекта при взаимодействии платежных систем условиями договора о взаимодействии предусматривается обязанность операторов платежных систем обеспечить защиту информации в платежных системах.

Полагаем, что абзац второй пункта 5 Проекта следует исключить, поскольку в соответствии с абзацем первым пункта 5 Проекта защита информации в платежных системах осуществляется операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, являющимися участниками платежных систем, в соответствии с требованиями к защите информации, включенными операторами платежных систем в правила платежных систем, установленными в соответствии с законодательством Российской Федерации о национальной платежной системе.

Таким образом, установление подобной обязанности в договоре будет дублировать императивную норма нормативного акта, нарушение обязанности по обеспечению защиты информации в платежных системах будет являться нарушением Положения, а не указанного договора.

  1. Пункт 6 Проекта содержит перечень требований к защите информации, которые должны включаться в правила платежной системы. Учитывая, что пунктами 1 и 4 Проекта определено, что защита информации устанавливается Банком России, необходимость данного перечня требований к защите информации, представляется неочевидной.

Более того, избранный способ формулировки включенных в пункт 6 Проекта видов требований создает правовую неопределенность, что недопустимо. К примеру, абзац шестой пункта 6 Проекта содержит обязанность включать в правила платежной системы требования к определению угроз безопасности информации, в том числе к анализу уязвимостей, и разработке моделей угроз безопасности информации. При этом непонятно. что имеется в виду: требования к процессу определения угроз безопасности информации или требования собственно к видам угроз безопасности информации; требования к процессу анализа уязвимостей или требования к содержанию анализа уязвимостей.

  1. Абзац восьмой пункта 6 Проекта содержит обязанность включать в правила платежной системы требования к применению средств защиты информации (шифровальных (криптографических) средств, средств защиты информации от несанкционированного доступа, включая средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства анализа защищенности), в том числе прошедших в установленном порядке процедуру оценки соответствия.

Полагаем, что необходимость установления в Проекте данного требования отсутствует, а также неясен порядок применения указанных средств защиты информации. Наряду с изложенным, формулировка «в том числе прошедших в установленном порядке процедуру оценки соответствия» предполагает, что допустимо применение средств защиты информации и не прошедших в установленном порядке процедуру оценки соответствия.

  1. Предлагаем абзац первый пункта 7 Проекта необходимо дополнить словами «или требования к защите информации в платежной системе включаются в локальные правовые акты субъектов платежной системы.».

  2. Предлагаем абзац первый пункта 9 Проекта после слов «устанавливают порядок выявления» дополнить словами «и разбора».

  3. Предлагаем абзац второй пункта 9 Проекта после слов «Субъекты платежной системы» дополнить словом «документально».

  4. Пункт 6 Проекта устанавливает требования к защите информации, включаемые в правила платежной системы, в том числе требования к выявлению инцидентов, связанных с нарушениями требований к защите информации, и реагированию на них, а также к информированию участников платежной системы об инцидентах, связанных с нарушениями требований к защите информации. Согласно пункту 7 Проекта во исполнение установленных оператором платежной системы требований субъекты платежной системы должны утверждать локальные правовые акты.

Вместе с тем, согласно абзацу третьему пункта 9 Проекта субъектами платежной системы при их взаимодействии разрабатывается порядок совместных действий по реагированию на инциденты, связанные с нарушением требований к защите информации.

Полагаем, что поскольку требования по реагированию на инциденты, связанные с нарушением требований к защите информации, изначально устанавливаются оператором платежной системы и должны быть определены в правилах платежной системы, то недопустимо одновременно вменять обязанность субъектам платежной системы разрабатывать порядок совместных действий по реагированию на вышеуказанные инциденты. Учитывая изложенное полагаем, что абзац третий пункта 9 Проекта необходимо уточнить.

  1. Предлагаем абзац второй пункта 10 Проекта после слов «работ по созданию и эксплуатации» дополнить словом «этих».

  2. Предлагаем абзац третий пункта 10 Проекта после слов «на всех стадиях жизненного цикла» дополнить словом «этих».

  3. В соответствии с абзацем вторым пункта 11 Проекта организационные и технические меры по защите информации при использовании сетей общего пользования разрабатываются и реализуются в соответствии с требованиями к защите информации в платежной системе и, в том числе, предусматривают применение шифровальных (криптографических) средств защиты информации, средств межсетевого экранирования, антивирусной защиты, обнаружения вторжений и анализа защищенности.

Полагаем, что в Положении нецелесообразно устанавливать обязательное применение шифровальных (криптографических) средств защиты информации. В ряде случаев технологически это неоправданно. К тому же требование об установлении шифровальных (криптографических) средств защиты информации может повлечь необходимость дополнительных мер лицензирования и надзора. В этом случае очевидны значительные затраты для выполнения указанных требований.

В связи с этим в абзаце втором пункта 11 Проекта предлагаем исключить слова «шифровальных (криптографических) средств защиты информации» либо предусмотреть не обязанность, а возможность применения таких средств.

  1. Предлагаем пункт 13 Проекта изложить в следующей редакции:

«Удостоверение права распоряжаться денежными суммами, находящимися на счете участника платежной системы или его клиента, обеспечивается в соответствии с требованиями законодательства Российской Федерации, включая средства электронной подписи, аналоги собственноручной подписи, коды, пароли или иные средства, позволяющие подтвердить, что распоряжение о переводе денежных средств составлено уполномоченным на это лицом».

  1. Предлагаем абзац второй пункта 14 Проекта изложить в следующей редакции:

«Контроль (оценка) проводятся субъектом платежной системы самостоятельно или с привлечением на договорной основе организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации, деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, а также документы (сертификаты), предусмотренные нормами международных стандартов, связанных с обеспечением защиты информации в платежных системах.».

Следует отметить, что аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor). Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC. В штате компании, имеющей статус QSA, должны работать аттестованные QSA-аудиторы.

  1. Согласно пункту 16 Проекта контроль и надзор за выполнением требований, установленных Положением, осуществляется Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их полномочий и без права ознакомления с защищаемой информацией в соответствии с законодательством Российской Федерации о государственном контроле (надзоре).

Согласно пункту 17 Проекта, контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств осуществляется Центральным банком Российской Федерации в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.

Контроль и надзор за выполнением требований, установленных Проектом, по содержанию шире, чем контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств. В этой связи очевиден риск удвоения контроля за выполнением установленных требований, что приведет к неоправданному увеличению затрат поднадзорных организаций.

В связи с этим пункты 16 и 17 Проекта предлагаем скорректировать, четко разделив компетенцию контролирующих органов.


Исполнительный

вице-президент АРБ

по правовым вопросам А.В. Емелин


Исп. Н.А. Швачко, (495) 691-81-21


Похожие:

Заключение ассоциации российских банков iconЗаключение ассоциации российских банков на проект федерального
«О внесении изменений в части первую, вторую, третью и четвертую Гражданского кодекса Российской Федерации, а также в отдельные законодательные...
Заключение ассоциации российских банков iconXxiii съезда Ассоциации российских банков по вопросу «Повышение роли банков в обеспечении экономического роста России»
Участники Съезда обсудили доклад Президента арб и материалы к Съезду, подготовленные арб
Заключение ассоциации российских банков iconПлан работы Ассоциации российских банков и Московского банковского союза на 2012 г. №
План работы Ассоциации российских банков и Московского банковского союза на 2012 г
Заключение ассоциации российских банков iconТекст релиза
Заседание открыл Анатолий Илларионович Милюков, д э н., профессор, исполнительный вице-президента Ассоциации Российских Банков
Заключение ассоциации российских банков iconЗаключение Ассоциации российских банков по проекту Положения Банка России
Центральном банке Российской Федерации (Банке России)» (далее – Закон) и пришли к заключению, что проект Положения в целом соответствует...
Заключение ассоциации российских банков icon7 Декабря Международный день гражданской авиации
Праздник не установлен официально, на государственном уровне. Дата 2 декабря была принята в 2004 году по инициативе Ассоциации российских...
Заключение ассоциации российских банков iconГ. А. Тосунян Президент Ассоциации российских банков, доктор юридических наук, профессор
Но когда это не касается России, а внешних условий, можно называть все своими именами. Однако в самом термине содержится некая провокация...
Заключение ассоциации российских банков iconЗадача Организационного комитета выработка решений, обеспечивающих эффективное проведение мероприятия с учетом интересов кредитно-финансовых учреждений.
Нон стоп, организованного в рамках очередного этапа выполнения поручения Президента Российской Федерации от 14 ноября 2006 года по...
Заключение ассоциации российских банков iconКомитет по информационной безопасности Ассоциации российских банков был создан для решения многочисленных назревших задач
Ители банковских автоматизированных систем и программно- аппаратных средств защиты информации. В настоящее время Комитет насчитывает...
Заключение ассоциации российских банков iconАссоциация российских банков
Комитет по вопросам противодействия легализации доходов, полученных преступным путем, и финансированию терроризма
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница