Банковское обозрение

Финансовая сфера

  • Новогодние вопросы по ИБ
04.10.2012
Новогодние вопросы по ИБ

В связи с выходом закона «О национальной платежной системе» 161–ФЗ возник ряд вопросов, в том числе по обеспечению информационной безопасности. В Центробанке также прошли некоторые изменения в распределении обязанностей между соответствующими отделами



В статье 27 161-ФЗ ясно написано, что у Банка России появилось ранее отсутствующее право формировать базу для регулирования вопросов защиты информации в национальной платежной системе, в частности, в платежах. А также право осуществлять надзор и наблюдение в национальной платежной системе.
При этом следует обратить внимание на то, что правила, которые будет вырабатывать ЦБ, в обязательном порядке должны быть согласованы с двумя другими не менее важными регуляторами в этой сфере: Федеральной службой безопасности (ФСБ) и Федеральной службой технического экспортного контроля (ФСТЭК).
Исторически сложилось так (и этого никто не менял), что интерфейсом взаимодействия с этими двумя уважаемыми организациями было и остается Главное управление безопасности и защиты информации (ГУБЗИ). При этом вопросы регулирования, надзора, формирования отчетности, наблюдения, в основном, сосредоточены в департаменте регулирования расчетов. Но методологически без участия ГУБЗИ очень многие действия будут просто невозможны в силу того, что оно выступает интерфейсом взаимодействия с правоохранительными органами и органами, обеспечивающими государственную безопасность.

Что на этом фоне будет происходить со стандартом Банка России СТО БР ИББС и с документами, которые развивают его? Ответственно заявляю, что ничего с ним происходить не буде

Что на этом фоне будет происходить со стандартом Банка России СТО БР ИББС и с документами, которые развивают его? Ответственно заявляю, что ничего с ним происходить не будет. Стандарт был, есть и будет, и он будет развиваться. Сопровождение этих работ внутри Центробанка всегда было зоной ответственности ГУБЗИ. Безусловно, как это положено по закону «О техническом регулировании», формирование этих стандартов происходит с участием соответствующих технических комитетов. В Банке России существуют технический комитет №122 «Стандартизация финансовых услуг», технический комитет №362 «Защита информации» и другие. И эта работа будет осуществляться там.
Конечно, вопросы безопасности вообще и вопросы информационной безопасности, в частности, сосредоточены не только в технологии платежей, но и в ряде других, не менее важных для банка технологий. Банк обязан обеспечить защиту не только банковской тайны, что предписано 26 статьей закона «О банках и банковской деятельности», но и защиту коммерческой тайны,  которая подчас не является и не может являться платежной информацией. В этом смысле стандарт Банка России дает более широкое поле для деятельности служб безопасности кредитных организаций, дает больше полномочий руководству кредитных организаций для регулятивного воздействия на ситуацию в банке. И, безусловно, дает больше возможностей, в том числе, и подразделениям рисков, и подразделениям служб внутреннего контроля банков для того, чтобы осуществить свою прямую и непосредственную деятельность, которая, кстати, тоже предписана Центральным Банком. Я говорю о рекомендациях Центрального Банка в части управления рисками и о положении Банка России о службах внутреннего контроля. Эту работу никто не отменял, ее надо как-то выстраивать. Для этого есть хорошая и основательно проработанная методологическая база в виде стандартов Банка России.
Поэтому те кредитные организации (а их достаточно большое количество), которые уведомили Центральный Банк о том, что они приняли стандарт Банка России, в этом смысле ничего не теряют. Они продолжают использовать методический подход, который мы продолжаем сопровождать.
Как происходит разделение между подразделениями Центрального Банка с точки зрения регулирования других вопросов? Департамент регулирования расчетов становится головным подразделением, которое определяет нормативную базу с точки зрения национальной платежной системы; определяет, как осуществляется наблюдение в национальной платежной системе. ГУБЗИ, как одно из подразделений центрального аппарата, безусловно, будет в этом участвовать.
Но вопросы безопасности не ограничиваются вопросами, связанными с расчетами, — есть много других тем, которые не менее интересны банковскому сообществу. Например, не так давно вышло постановление Правительства №313, определяющее требования к организациям, которые собираются получить лицензию Федеральной службы безопасности на работу с криптографическими средствами защиты. Это постановление создало определенные проблемы для банков в понимании того, как им поступать. Но хочу обратить внимание, что и у Федеральной службы безопасности это тоже вызвало определенные проблемы. Поэтому Центробанк, понимая всю сложность ситуации, наладил серьезное конструктивное взаимодействие с ФСБ в этом вопросе. И совместными усилиями мы сейчас пытаемся выработать позицию, которая дала бы возможность спокойно работать банковскому сообществу, и спокойно выполнять свои обязанности Федеральной службе безопасности. При этом нужно соблюсти как государственные интересы, так и интересы коммерческих банков. Эта работа сосредоточена в ГУБЗИ и находится, в том числе, на контроле у председателя правления ЦБ.
В зоне контроля ГУБЗИ находится и ряд моментов, которые связаны и с правоохранительной деятельностью, и с обеспечением безопасности. И в этом мы будем стараться советоваться с участниками рынка, с представителями кредитных организаций, и совместными усилиями будем добиваться положительного результата.
Внутри Центробанка есть понимание всей сложности вопросов, которые возникают с точки зрения национальной платежной системы. Эти вопросы не решаются просто нормативным регулированием или выпуском отдельных указаний, форм отчетности. Нужна серьезная системная работа, и работа не одного и не двух подразделений. В это вовлечены и подразделения надзора, и подразделения безопасности, и подразделения регулирования расчетов. Для ЦБ это тема новая, и она будет развиваться. Но совместными усилиями мы добьемся положительных результатов.

 

По материалам конференции «XVII Форум разработчиков интегрированных банковских систем — 2012»




Присоединяйся к нам в телеграмм