Коллектив авторов - Платежные системы
Стандарт (СТО БР ИББС-1.0) устанавливает общие требования к обеспечению информационной безопасности в кредитных организациях автоматизированных банковских систем на стадиях жизненного цикла, банковских платежных и информационных технологических процессов, средствами антивирусной защиты, при назначении и распределении ролей и обеспечении доверия к персоналу, при управлении доступом и регистрации, при использовании ресурсов сети Интернет, при использовании средств криптографической защиты информации.
Кроме того, данный стандарт Банка России определяет требования к организации и функционированию службы информационной безопасности организации банковской системы РФ, к определению области действия системы обеспечения информационной безопасности, к выбору подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности, к разработке планов обработки рисков нарушения информационной безопасности, к разработке внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности, к организации реализации планов внедрения системы обеспечения информационной безопасности, к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности, к организации обнаружения и реагирования на инциденты информационной безопасности, к мониторингу и контролю защитных мер, к проведению самооценки информационной безопасности, к проведению аудита информационной безопасности, к принятию решений по стратегическим и тактическим улучшениям системы обеспечения информационной безопасности.
Стандарт (СТО БР ИББС-1.2-2010) детально прописывает методику оценки соответствия информационной безопасности организаций требованиям вышеуказанного стандарта, которая определяет: состав показателей информационной безопасности и способы их оценивания; способы оценивания текущего уровня информационной безопасности; способы оценивания менеджмента информационной безопасности организации и уровня осознания информационной безопасности; способы определения итогового уровня соответствия информационной безопасности организации требованиям.
Существует также стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» (СТО БР ИББС-1.1-2007), который устанавливает требования к проведению внешнего аудита информационной безопасности.
Неотъемлемым элементом повышения безопасности системы розничных платежей является работа Банка России по повышению финансовой грамотности населения.
Повышение финансовой грамотности населения в сфере платежных услуг способствует формированию у населения стимулов и навыков разумного и ответственного использования безналичных платежных инструментов, раскрывает их преимущества, повышает уровень доверия и содействует развитию безналичных расчетов.[222]
Так, Банк России является создателем специальной Памятки для держателей банковских карт о мерах безопасного использования банковских карт.[223] Памятка содержит рекомендации по обеспечению максимальной сохранности банковской карты, ее реквизитов, ПИН и других данных, а также по снижению возможных рисков при совершении операций с использованием банковской карты в банкомате, при безналичной оплате товаров и услуг, в том числе через сеть Интернет.
Кроме того, Банк России способствует росту финансовой грамотности населения, размещая информацию об особенностях осуществления розничных платежей и ответы на наиболее часто встречающиеся вопросы населения на сайте ЦБ РФ, а также путем реализации совместных проектов с банковскими ассоциациями (выставок, семинаров и др.).
Защита информации в системе розничных платежей также относится к приоритетным направлениям их развития. В это связи Банк России как регулирующий орган устанавливает ряд требований к защите информации и как надзорный орган контролирует их соблюдение. Так, Положение ЦБ РФ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»[224] определяет требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры должны обеспечивать защиту информации при осуществлении переводов. Кроме того, данный нормативный акт устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации в рамках осуществляемого Банком России надзора в национальной платежной системе.
Данные требования регламентируют функциональные права и обязанности лиц, связанных с осуществлением переводов, технические требования к объектам информационной инфраструктуры, требования, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники, требования к обработке информации, технологические меры защиты информации, требования к организации и функционированию службы информационной безопасности, требования к реагированию на инциденты нарушения информационной безопасности и др.
В соответствии с п. 2.3. указанного Положения Выполнение требований к обеспечению защиты информации при осуществлении переводов денежных средств обеспечивается путем:
– выбора организационных мер защиты информации; определения во внутренних документах оператора по переводу денежных средств, банковского платежного агента (субагента), оператора платежных систем, оператора услуг платежной инфраструктуры порядка применения организационных мер защиты информации; определения лиц, ответственных за применение организационных мер защиты информации; применения организационных мер защиты; реализации контроля применения организационных мер защиты информации; выполнения иных необходимых действий, связанных с применением организационных мер защиты информации;
– выбора технических средств защиты информации; определения во внутренних документах оператора по переводу денежных средств, банковского платежного агента (субагента), оператора платежных систем, оператора услуг платежной инфраструктуры порядка использования технических средств защиты информации, включающего информацию о конфигурации, определяющую параметры работы технических средств защиты информации; назначения лиц, ответственных за использование технических средств защиты информации; использования технических средств защиты информации; реализации контроля за использованием технических средств защиты информации; выполнения иных необходимых действий, связанных с использованием технических средств защиты информации.
Для обеспечения контроля соблюдения требований по защите информации при осуществлении переводов Банк России проводит проверки операторов, запрашивает и получает документы и информацию о их деятельности, связанной с выполнением требований к обеспечению защиты информации при осуществлении переводов денежных средств; требует разъяснения по полученной информации; запрашивает и получает у операторов по переводу денежных средств документы и информацию, в том числе содержащую персональные данные, о деятельности операторов по переводу денежных средств по обеспечению контроля соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств.
Банком России также осуществляет дистанционный контроль соблюдения требований по защите информации при осуществлении переводов, для чего устанавливает формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств, сроки предоставления отчетности и методики составления отчетности.[225]
1. Развитие инфраструктуры розничных платежей.
Отметим, что развитие инфраструктуры розничных платежей – одно из направлений развития национальной платежной системы, зафиксированных в Стратегии.[226] Стратегическим задачами Банка России в этой связи являются:
– Поддержка инициатив участников рынка платежных услуг по интеграции платежных клиринговых и расчетных инфраструктур розничных платежных систем для повышения эффективности их использования и снижения издержек операторов услуг платежной инфраструктуры, в частности путем создания клиринговых центров национального уровня.