СПРАВКА-ОБОСНОВАНИЕ
к проекту постановления Правления Национального банка Кыргызской Республики «Об утверждении Положения «О требованиях по обеспечению информационной безопасности операторов платежных систем и платежных организаций»
1. Цель и задачи
Проект постановления Правления Национального банка Кыргызской Республики «Об утверждении Положения «О требованиях по обеспечению информационной безопасности операторов платежных систем и платежных организаций» (далее – проект постановления) разработан в целях совершенствования нормативных правовых актов (НПА) по платежной системе, а также приведения в соответствие с конституционным Законом Кыргызской Республики «О Национальном банке Кыргызской Республики» и Законом Кыргызской Республики «О банках и банковской деятельности».
2. Описательная часть
Проектом постановления регламентированы требования к мероприятиям, преследующим минимизацию уязвимости информационных систем ОПС/ПО в целях обеспечения информационной безопасности.
Кроме этого, регламентированы требования к внутренним документам по информационной безопасности, к персоналу, к обеспечению непрерывности деятельности, к процессу управления рисками.
Принятие регулирующего нормативного акта, регламентирующего организацию и соблюдение информационной безопасности в ОПС/ПО, обеспечит минимизацию рисков, возможных для ОПС/ПО в связи с развитием информационных систем.
3. Прогнозы социальных, правовых, правозащитных, гендерных, экологических, экономических и коррупционных последствий
Принятие проекта постановления негативных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий не повлечет.
4. Информация о результатах общественного обсуждения
Материалы по проекту постановления будут размещены для общественного обсуждения на официальном интернет-сайте Национального банка и на Едином портале общественного обсуждения проектов нормативных правовых актов Кыргызской Республики (koomtalkuu.gov.kg) по итогам информационного заседания Правления Национального банка.
5. Анализ соответствия проекта законодательству
Представленный проект постановления не противоречит нормам законодательства Кыргызской Республики.
6. Информация о необходимости финансирования
Реализация норм проекта постановления не повлечет дополнительного финансирования.
7. Информация об анализе регулятивного воздействия (АРВ)
К проекту постановления рабочей группой, созданной приказом от 2 ноября 2022 года № 2022-Пр-141/231-О, проводится анализ регулятивного воздействия в соответствии с Методикой проведения анализа регулятивного воздействия, утвержденной постановлением Кабинета министров Кыргызской Республики.
|
|
|
Проект
Приложение к постановлению Правления Национального банка Кыргызской Республики от ______________________ № ______________________ |
ПОЛОЖЕНИЕ
«О требованиях по обеспечению информационной безопасности операторов платежных систем и платежных организаций»
Глава 1. Общие положения
1. Целью настоящего Положения является установление единых требований для операторов платежных систем и платежных организаций (далее – ОПС/ПО), направленных на повышение уровня информационной безопасности в ОПС/ПО, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала.
2. В целях настоящего Положения применяются определения, используемые в нормативных актах Национального банка Кыргызской Республики (далее – Национальный банк) по платежной системе, а также следующие определения:
Автоматизированная система – это система, состоящая из аппаратно-программного комплекса средств автоматизации деятельности организации, методов и мероприятий, реализующих информационную технологию выполнения установленных функций.
Авторизация – это процесс предоставления определенному объекту/субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.
Аутентификация – проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности.
Доступность информационного актива – свойство информационной безопасности ОПС/ПО, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.
Жизненный цикл информационной системы – период времени, который начинается момента принятия решения о необходимости создания информационной системы и заканчивается в момент ее полного изъятия из эксплуатации.
Идентификатор – уникальный признак субъекта или объекта доступа.
Идентификация – процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов.
Информационная система – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы, с помощью которых обеспечивается и распространяется информация.
Информационные активы – информация, имеющая ценность для ОПС/ПО с точки зрения достижения ее целей и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передаче форме.
Конфиденциальность информационного актива – состояние ресурсов ОПС/ПО, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.
Объект – процесс, выполняющийся в информационной системе, запрашивающий разрешение на получение доступа к информации.
Пароль – это секретный набор символов, предназначенный для подтверждения полномочий пользователя.
Пользователь автоматизированной системы – это субъект или объект, зарегистрированный в автоматизированной системе и использующий ее ресурсы (сотрудники, участники платежной системы);
Санкционирование – действие по предоставлению пользователю возможности выполнения (предоставления разрешения) конкретных действий в системе на основе его должностных обязанностей. Без специальной санкции ни одному пользователю не разрешается доступ к какой-либо информации или приложению.
Субъект – это пользователь, запрашивающий разрешение на получение доступа к информации.
Токен («ключ») – компактное устройство в виде USB-брелока или ключ в облаке (специальный защищенный сервер), которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных.
Целостность информационного актива – свойство информационной безопасности ОПС/ПО сохранять неизменность или обнаруживать факт изменения в своих информационных активах.
3. Система управления информационной безопасностью является частью общей системы управления, основанной на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности ОПС/ПО.
4. Национальный банк вправе осуществлять проверку ОПС/ПО на соблюдение требований, установленных настоящим Положением, а также другими нормативными правовыми актами Национального банка в части соблюдения информационной безопасности ОПС/ПО.
5. Руководство ОПС/ПО несет полную ответственность за использование и функционирование всей его информационной системы, в том числе за действия агентов и субагентов.
6. В управлении системой обеспечения информационной безопасностью ОПС/ПО должны непрерывно использовать такие процессы, как планирование, реализация, проверка и совершенствование.
7. Требования по информационной безопасности должны быть комплексно взаимосвязаны и непрерывны по всем стадиям жизненного цикла информационных систем.
Глава 2. Требования к документам по информационной безопасности
8. В целях обеспечения информационной безопасности в ОПС/ПО должны быть разработаны два уровня документации:
- общие политики;
- частные политики (документы, регламентирующие практику обеспечения информационной безопасности) и операционные процедуры по обеспечению информационной безопасности.
9. Общие политики должны отражать подходы руководства ОПС/ПО по обеспечению информационной безопасности ОПС/ПО, описывать общие принципы и цели обеспечения безопасности, систему мер, методов для достижения цели по обеспечению информационной безопасности. В ОПС/ПО должно быть назначено уполномоченное лицо, ответственное за реализацию политики по информационной безопасности.
10. Частные политики, регламентирующие практику обеспечения безопасности (далее – частные политики), должны отражать поддержку целей, установленных руководством, и дальнейшую детализацию общих принципов, определяющих подробные меры, необходимые для выполнения требований политики информационной безопасности.
11. Требования по обеспечению информационной безопасности, отображаемые в частных политиках по информационной безопасности ОПС/ПО, должны быть определены для следующих наиболее важных областей:
- требования к персоналу;
- назначение, распределение ролей и регистрация в информационной системе;
- процесс управления рисками информационной безопасности;
- обеспечение непрерывности деятельности;
- обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем;
- регистрация всех действий в автоматизированных системах;
- антивирусная защита;
- использование ресурсов сети интернет;
- резервное копирование и восстановление;
- физическая защита;
- управление инцидентами информационной безопасности и т.д.
12. Документы по операционным процедурам для обеспечения безопасности должны содержать описание практических приемов на техническом уровне, обеспечивающие внедрение необходимых практик. Процедуры должны соответствовать политикам ОПС/ПО.
13. ОПС/ПО должны обеспечить наличие и сохранность документов, которые содержат свидетельства выполненной деятельности и действий по обеспечению информационной безопасности (отчеты, акты, журналы) и отражать достигнутые результаты (промежуточные и окончательные) при реализации требований документов, относящихся к обеспечению информационной безопасности ОПС/ПО.
Глава 3. Требования к персоналу ОПС/ПО
14. ОПС/ПО должны иметь персонал в соответствии с требованиями, установленными в Положении «О регулировании деятельности платежных организаций и операторов платежных систем», утвержденном постановлением Правления Национального банка от 30 сентября 2019 года № 2019-П-14/50-2-(ПС) (далее – Положение о регулировании).
15. В ОПС/ПО должны быть разработаны процедуры приема на работу, включающие:
- проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;
- проверку профессиональных навыков и оценку профессиональной пригодности.
16. Все сотрудники ОПС/ПО должны быть письменно ознакомлены с требованиями по обеспечению информационной безопасности.
17. Подразделение или уполномоченное лицо, ответственное за обеспечение информационной безопасности, осуществляет и несет ответственность за организацию информационной безопасности в ОПС/ПО, а также должен на систематической основе актуализировать информацию об угрозах в сфере информационной безопасности, своевременно информировать руководство и сотрудников ОПС/ПО об угрозах, а также проводить мероприятия, направленные на повышение общего уровня осведомленности персонала в целях противодействия данным угрозам.
18. Функции подразделения или уполномоченного лица, ответственного за обеспечение информационной безопасности, не должны включать совмещение работ с функциями отдела информационных технологий (ИТ).
Кроме этого, должностные инструкции не должны содержать функциональные обязанности, присущие сотрудникам отдела ИТ, во избежание конфликта интересов.
19. Должностные обязанности подразделения или уполномоченного лица, ответственного за обеспечение информационной безопасности, должны включать:
1) контроль исполнения ОПС/ПО внутренних нормативных документов и нормативных правовых актов в области информационной безопасности;
2) анализ степени защищенности информационной безопасности;
3) разработку внутренних нормативных документов по информационной безопасности.
20. Обязанности и ответственность персонала по выполнению требований по обеспечению информационной безопасности должны быть включены в их должностные инструкции.
21. Неисполнение или ненадлежащее исполнение сотрудниками ОПС/ПО требований по обеспечению информационной безопасности приравнивается к невыполнению должностных обязанностей.
Глава 4. Назначение, распределение ролей и регистрация в автоматизированной системе
22. В ОПС/ПО должен быть разработан и принят документ, который содержит роли сотрудников, включая роли по обеспечению информационной безопасности.
23. В автоматизированной системе должны быть определены роли, обеспечивающие четкое разграничение полномочий сотрудников.
24. При предоставлении доступа сотрудникам к автоматизированной системе должны быть выполнены процедуры санкционирования, идентификации, аутентификации и авторизации пользователей. Перед выдачей идентификатора пользователю должна осуществляться проверка подтверждения его личности. Система должна фиксировать исполнителя, выдавшего идентификатор пользователю.
25. Работа всех пользователей автоматизированной системы должна осуществляться под уникальными учетными записями.
26. При распределении прав доступа сотрудников и участников платежной системы к информационным активам ОПС/ПО должны руководствоваться принципами:
- «знать своего служащего» (Know your Employee) – принцип, демонстрирующий озабоченность ОПС/ПО по поводу отношения сотрудников ОПС/ПО к таким своим обязанностям и возможным проблемам, как злоупотребление имуществом, финансовые трудности, которые могут приводить к проблемам с безопасностью;
- «необходимо знать» (Need to Know) – принцип безопасности, который ограничивает доступ к информации и ресурсам по обработке информации тем, кому требуется выполнять определенные обязанности;
- «наименьших привилегий» – принцип, означающий, что для выполнения определенной операции пользователь должен получать или предоставлять минимально необходимые привилегии.
27. В ОПС/ПО должен быть документально определен перечень информационных активов (автоматизированной системы и их типов) и права доступа сотрудников и участников к данным активам.
28. Формирование ролей должно осуществляться на основании существующих бизнес-процессов ОПС/ПО и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов информационной безопасности, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.
29. В ОПС/ПО должен осуществляться контроль за «привилегированным доступом», а именно: учетными записями с повышенным правом доступа к автоматизированным системам (учетные записи с правом администратора) в целях минимизации рисков и обеспечения безопасности критически важных автоматизированных систем.
30. Для каждой роли должны быть назначены лица, ответственные за их выполнение. Ответственность сотрудников должна быть зафиксирована в их должностных инструкциях.
31. Аутентификация пользователей в системе должна соответствовать критичности получаемой информации и осуществляться на основе одного или нескольких механизмов аутентификации:
- по знанию «что-то знать» (пароль, ПИН-код);
- по владению «что-то иметь» (смарт-карта, токен);
- по физическим характеристикам пользователя «кем-то быть» (отпечатки пальцев или другие биометрические данные).
Двухфакторная аутентификация включает в себя любые два из этих трех механизмов: человек «что-то знает» и «что-то имеет» или «кем-то является».
32. События по регистрации и изменению прав доступа пользователей должны фиксироваться в журнале событий системы.
33. В ОПС/ПО должны применяться защитные меры, направленные на обеспечение защиты от несанкционированного доступа, неразрешенных действий, нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации участников платежной системы и сотрудников ОПС/ПО. Все попытки неразрешенных действий и несанкционированного доступа к такой информации должны регистрироваться в журнале событий.
34. ОПС/ПО при предоставлении сотрудникам удаленного доступа к автоматизированной системе и корпоративным сервисам должны внедрить технологию многофакторной аутентификации.
35. При увольнении сотрудников или изменении должностных обязанностей сотрудников ОПС/ПО, имеющих доступ к информации автоматизированной системы, их права доступа к автоматизированной системе должны быть заблокированы или изменены.
36. В ОПС/ПО должна быть разработана и внедрена политика паролей. Политика паролей должна включать в себя как минимум такие основные правила и компоненты, как:
- требования к степени сложности и длине пароля;
- требования по недопустимости записи и хранения паролей на материальных носителях;
- ответственность пользователей за нарушение политики.
37. Сотрудники ОПС/ПО должны быть ознакомлены с политикой паролей и строго соблюдать ее требования в процессе работы.
38. ОПС/ПО должны разработать рекомендации по соблюдению требований политики информационной безопасности для:
- участников платежной системы (агенты, субагенты), имеющих доступ к платежной системе;
- держателей электронных кошельков (при наличии системы расчетов электронными деньгами);
- пользователей мобильных приложений, в том числе мобильных приложений агентов (при наличии мобильных приложений);
и проводить работу по информированию пользователей о соблюдении данных требований в процессе работы с ними.
Глава 5. Требования к процессу управления рисками информационной безопасности
39. В ОПС/ПО должна быть разработана политика по управлению рисками информационной безопасности, интегрированная с общей политикой управления рисками в платежной системе
40. ОПС/ПО должны определить ценность активов, выявить уязвимости, угрозы и риски. Выявленные риски должны быть количественно или качественно оценены. ОПС/ПО должны определить соответствующие меры и средства контроля для обработки рисков.
41. Организация процесса оценки рисков может быть основана на международном стандарте по информационной безопасности ISO 27005 или аналогичных стандартах.
Глава 6. Непрерывность деятельности ОПС/ПО
42. В целях обеспечения непрерывности деятельности в ОПС/ПО должны быть разработаны:
- политика непрерывности деятельности, которая должна содержать необходимые руководящие принципы для обеспечения непрерывности деятельности и необходимые ролям полномочия для выполнения возложенных на них задач;
- план восстановления деятельности, где необходимо описать процедуры, обеспечивающие оперативное восстановление работоспособности критичных систем и функций. План должен тестироваться на периодической основе.
Глава 7. Безопасность жизненного цикла автоматизированных систем ОПС/ПО
43. ОПС/ПО должны обеспечить комплексную защиту автоматизированных систем на всех стадиях жизненного цикла автоматизированной системы (проектирование, реализация, тестирование, приемка, эксплуатация, сопровождение, модернизация, снятие с эксплуатации должны быть документированы и утверждены руководством). При этом тестирование необходимо проводить в тестовой среде, идентичной с промышленной средой.
44. ОПС/ПО должны использовать только лицензионное программное обеспечение, допускается программное обеспечение с открытым исходным кодом либо собственной разработки при наличии полного комплекта документации, утвержденного руководителем (техническое задание, программа и методика испытаний, акт и журнал испытаний, акт ввода в промышленную эксплуатацию).
Глава 8. Ведение журнала регистрации событий
45. В ОПС/ПО должно быть обеспечено ведение журнала регистрации событий (логирование) осуществленной деятельности в автоматизированной системе, персональном компьютере, серверном и сетевом оборудовании, баз данных как средство для проведения аудита информационной безопасности и восстановления хода событий и ведения подотчетности. Журнал регистрации событий должен включать в себя действия всех пользователей, в том числе высокопривилегированных учетных записей (root, administrator, sysdba, dba).
46. Мониторинг и анализ информации журнала регистрации событий должен проводиться ежедневно администраторами автоматизированной системы (персонал технической поддержки), в том числе с применением автоматизированных систем, и все нестандартные ситуации, связанные с безопасностью, должны расследоваться.
47. Информация журнала регистрации событий должна храниться в электронном виде в течение периода времени, равного сроку хранения обрабатываемых данных соответствующей автоматизированной системы, но не менее 2 (двух) лет.
48. Информация журналов регистрации событий должна быть защищена от случайного или преднамеренного удаления, модификации или фальсификации. Отключение журналирования, удаление, модификация или фальсификация информации журналов регистрации должно рассматриваться как инцидент.
Глава 9. Антивирусная защита
49. В ОПС/ПО должны применяться только официально приобретенные (лицензионные) средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах автоматизированной системы должны осуществляться ответственными администраторами.
50. При обеспечении антивирусной защиты в ОПС/ПО должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности информационных процессов. Ответственность за выполнение требований процедур по антивирусной защите должна быть возложена на каждого сотрудника ОПС/ПО, имеющего доступ к персональному компьютеру и/или автоматизированной системе.
51. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. При обнаружении компьютерного вируса должны быть приняты меры по его обезвреживанию и восстановлению работоспособности рабочих мест.
52. Отключение или необновление антивирусных средств не допускается. Установка и обновление средств антивирусной защиты должны контролироваться ответственными сотрудниками.
Глава 10. Использование ресурсов сети интернет
53. В ОПС/ПО должны применяться меры по сегментации и межсетевому экранированию внутренних вычислительных сетей, а также по защите внутренних вычислительных сетей при взаимодействии с сетью интернет.
54. ОПС/ПО обязаны применять меры по регистрации изменений параметров настроек средств и систем защиты информации, межсетевого экранирования и защиты вычислительных сетей ОПС/ПО.
55. В ОПС/ПО должны быть определены и утверждены руководством ОПС/ПО цели использования сети интернет. Использование сети интернет в неустановленных целях должно быть запрещено.
56. ОПС/ПО необходимо определить порядок подключения и использования ресурсов сети интернет, включающий в том числе контроль со стороны подразделения, ответственного за обеспечение информационной безопасности.
57. В ОПС/ПО, осуществляющем дистанционное обслуживание клиентов посредством мобильных приложений в связи с повышенными рисками нарушения информационной безопасности при взаимодействии с сетью интернет, должны применяться средства защиты информации, обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.
58. При осуществлении дистанционного обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в течение сеанса работы.
59. Все операции клиентов в течение всего сеанса работы с мобильными приложениями должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях истечения времени сеанса работы (нарушения или разрыва соединения) необходимо обеспечить повторное выполнение указанных процедур.
60. Почтовый обмен через сеть интернет должен осуществляться с использованием защитных мер и противодействия распространению спама.
61. При взаимодействии с сетью интернет должны использоваться защитные меры противодействия атакам злоумышленников.
Глава 11. Резервное копирование и восстановление
62. В ОПС/ПО должны создаваться резервные копии по обработанным и проведенным платежам.
63. В качестве носителей данных должны использоваться внешние носители информации: жесткие диски, магнитные ленты, записываемые оптические цифровые диски и др.
64. Все резервные копии должны быть промаркированы с указанием хранимой информации, учетного номера и даты создания копии.
65. Резервные копии (или их дубликаты) должны храниться в удаленных помещениях, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, тепловых воздействий, механических воздействий, а также при поддержании внутренней температуры и влажности воздуха на заданном уровне.
66. В ОПС/ПО должны осуществляться процедуры периодического тестирования и восстановления данных архива резервных копий, согласно внутренним документам.
Глава 12. Требования к процессу управления инцидентами информационной безопасности
67. Управление инцидентами и уязвимостями информационной безопасности осуществляется на основе разработанных и четко используемых процессов, учитывая требования к операторам платежных систем и участникам платежных систем, установленных в Положении «О нештатных ситуациях в платежной системе», утвержденном постановлением Правления Национального банка от 2 сентября 2019 года №2019-П-14/46-2-(ПС), а также других нормативных актов Национального банка.
68. ОПС/ПО должны идентифицировать инциденты и уязвимости, они должны быть оценены и к ним должны быть приняты меры по предотвращению возникновения подобных инцидентов информационной безопасности. Уязвимости должны быть устранены.
69. Результаты анализа инцидентов информационной безопасности, а также рекомендации по минимизации вероятности возникновения инцидентов информационной безопасности и их возможного ущерба должны в дальнейшем использоваться для оценки рисков информационной безопасности.
Проект
АНАЛИТИЧЕСКАЯ ЗАПИСКА
НАЦИОНАЛЬНЫЙ БАНК КЫРГЫЗСКОЙ РЕСПУБЛИКИ
УТВЕРЖДАЮ
Председатель
Национального банка
Кыргызской Республики
Боконтаев К.К.
____________________
(подпись)
«____» ____________ 20__ года
Анализ регулятивного воздействия
к проекту Положения «О требованиях по обеспечению информационной безопасности операторов платежных систем и платежных организаций»
Основание для разработки: приказ Национального банка от 02.11.2022 г. № 2022-Пр-141/231-О
Сроки проведения АРВ: ноябрь 2022 г. декабрь 2022 г.
(начало) (окончание)
Рабочая группа:
|
№ |
Ф.И.О |
Подпись |
Организация |
|
1. |
Султаналиев А.З. |
|
начальник управления платежных систем Национального банка, руководитель рабочей группы |
|
2. |
Акулуева М.Ш. |
|
начальник отдела методологии, анализа и развития платежных систем управления платежных систем Национального банка |
|
3. |
Бардинов Э.Д. |
|
ведущий специалист отдела контроля и надзора за платежными системами управления платежных систем Национального банка |
|
4. |
Мамбеталиева А.З. |
|
ведущий специалист отдела методологии, анализа и развития платежных систем управления платежных систем Национального банка (секретарь рабочей группы) |
|
5. |
Жунушалиев А.Н. |
|
специалист группы надзора за деятельностью операторов платежных систем и платежных организаций отдела по операторам платежных систем и платежным организациям управления платежных систем Национального банка |
|
6. |
Абдылдаев К.У. |
|
главный администратор группы методологии и информационной безопасности в банковской и платежной системах управления безопасности и информационной защиты Национального банка |
|
7. |
Адилов Т. |
|
представитель ОЮЛ «Ассоциация операторов платежных систем KG (КЕЙ-ДЖИ)» (по согласованию) |
|
8. |
Безуглов А.Л. |
|
представитель ОЮЛ «Ассоциация операторов платежных систем KG (КЕЙ-ДЖИ)» (по согласованию) |
Контактные данные ответственного лица: Мамбеталиева А.З., ведущий специалист отдела методологии, анализа и развития платежных систем управления платежных систем Национального банка (секретарь рабочей группы), тел.: 66-90-99, e-mail: azmambetalieva@nbkr.kg.
Объем: ________ стр.
I. Проблемы и основания для изменения регулирования
1. Описание проблемы
Наряду с развитием цифровых технологий и ростом безналичных расчетов, совершенствуются атаки на информационные системы. Вместе с этим возникает потребность усиления требований к обеспечению информационной безопасности для снижения уязвимостей платежных систем, обеспечения целостности баз данных и т.д.
Национальный банк в целях осуществления функций по регулированию деятельности операторов платежных систем и участников платежных систем, согласно пункту 4 части 2 статьи 26 Закона «О платежной системе Кыргызский Республики», обязан устанавливать требования по информационной безопасности, надежности, непрерывности работы платежной системы.
В рамках совершенствования нормативных правовых актов необходимо установить требования к операторам платежных систем и платежным организациям в целях обеспечения информационной безопасности.
Заинтересованные стороны:
1) орган регулирования – Национальный банк;
2) операторы платежных систем и платежные организации;
3) пользователи услуг – юридические и физические лица.
2. Масштаб проблемы
На сегодняшний день на территории Кыргызской Республики осуществляют деятельность 23 организации, имеющие лицензии оператора платежных систем и платежной организации (далее – ОПС/ПО). Каждая организация имеет лицензию и оператора платежной системы и платежной организации.
В основном ОПС/ПО принимают оплату от физических лиц за услуги поставщиков товаров/услуг резидентов и нерезидентов, в том числе в пользу государственного бюджета через платежные терминалы по всей стране, обрабатывают платежи и распределяют по получателям.
Кроме того, они заключают агентские договорные отношения друг с другом, с коммерческими банками и физическими лицами в целях приема платежей, тем самым «платеж» проходит путь от плательщика до получателя через несколько участников платежной системы. Таким образом участники вовлечены в цепочку проведения и обработки платежей.
3. Основания для изменения регулирования, актуальность решения проблемы
В данное время требования по обеспечению информационной безопасности частично регламентированы в следующих НПА Национального банка:
1. Положение «О регулировании деятельности платежных организаций и операторов платежных систем», утвержденное постановлением Правления Национального банка Кыргызской Республики от 30 сентября 2019 года № 2019-П-14/50-2-(ПС);
2. Политика по управлению рисками в платежной системе Кыргызской Республики, утвержденная постановлением Правления Национального банка Кыргызской Республики от 15 июня 2016 года № 25/8;
3. Положение «О нештатных ситуациях в платежной системе», утвержденное постановлением Правления Национального банка Кыргызской Республики от 2 сентября 2019 года №2019-П-14/46-2-(ПС).
Для актуализации вопросов по информационной безопасности в соответствии с международными стандартами необходимо разработать нормативный акт, регламентирующий требования по обеспечению информационной безопасности в ОПС/ПО.
4. Международный опыт
Республика Казахстан. Главой 6 Правил организации деятельности платежных организаций, утвержденных постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 215, регламентированы требования к программно-техническим средствам платежных организаций и системе управления информационной безопасностью.
Российская Федерация. Статьей 27 Федерального закона «О национальной платежной системе» от 27.06.2011 № 161-ФЗ и Положением «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 9 июня 2012 года № 382-П регламентированы требования к обеспечению защиты информации в платежной системе.
II. Описание предлагаемого регулирования
5. Цель государственного регулирования
Установление требований для ОПС/ПО по обеспечению информационной безопасности в целях надлежащего функционирования ОПС/ПО и минимизации рисков, связанных с информационной безопасностью.
6. Предлагаемое регулирование
6.1. Вариант регулирования «Оставить все как есть».
6.2. Предпочтительный вариант регулирования разработать нормативный правовой акт, регламентирующий требования по обеспечению информационной безопасности операторов платежных систем и в платежных организациях.
6.1. Вариант регулирования «Оставить все как есть».
В связи с растущими атаками на информационные системы, появлением новых видов кибер угроз с развитием информационных систем и инновационных способов проведения платежей, данный вариант решения не позволяет решить текущую проблему. Поэтому вариант «оставить все как есть» не применим для решения вышеуказанной проблемы.
6.2. Вариант регулирования «Разработка проекта нормативного правового акта»
С целью совершенствования нормативных правовых актов предлагается разработать и принять требования по информационной безопасности к ОПС/ПО.
7. Оценка вероятных социальных и экономических последствий регулирования
7.1. Ожидаемая результативность – наличие НПА, регламентирующего требования к ОПС/ПО по вопросам информационной безопасности.
7.2. Ожидаемое воздействие на экономику, социальный сектор и экологию:
1) воздействие на экономику: позитивное, так как будет усилена информационная безопасность, тем самым потери от утечки информации или кибератак будут минимизированы;
2) воздействие на социальную сферу: позитивное, поскольку у пользователей услуг будет уверенность, что они осуществляют платежи через надежные организации;
3) воздействие на экологию: не имеет воздействия на экологию. При осуществлении безналичных расчетов и мероприятий по защите информационной безопасности в целом выбросов опасных веществ не производится.
7.3. Ожидаемое воздействие на основные группы заинтересованных сторон –адресатов регулирования:
- операторы платежных систем и платежные организации и их агенты/субагенты: позитивное, так как соблюдение требований информационной безопасности нивелирует их возможные финансовые потери и риски.
8. Оценка затрат и выгод
8.1. Оценка затрат и выгод субъектов предпринимательства:
Затраты операторов платежных систем и платежных организаций ожидаются в пределах заложенных бюджетов на обеспечение информационной безопасности.
Выгоды: предупреждение возможных потерь от возможных атак со стороны сторонних злоумышленников или внутренних мошеннических злоупотреблений и т.д.
8.2. Оценка затрат и выгод государственного бюджета.
Затраты из государственного бюджета не предусмотрены, так как регулирование касается коммерческих структур и дотаций из государственного бюджета не потребуются.
9. Оценка реализационных рисков
Вопросы обеспечения информационной безопасности в целом играют важную роль для успешного функционирования организации. В связи с этим реализационные риски являются низкими.
10. Оценка воздействия на конкуренцию
Так как требования будут выставляться единые для всех ОПС/ПО, конкуренции между ними не должно возникнуть. Привилегии ни для кого не предусмотрены.
11. Мнения заинтересованных сторон
Мнения будут собраны в процессе общественного обсуждения.
12. Обоснование выбора предлагаемого регулирования
Проект постановления по варианту 2 должен быть рекомендован для принятия, поскольку данный вариант разработан в целях совершенствования нормативных правовых актов.
13. Приложение
К аналитической записке прилагаются:
- уведомление о разработке проекта нормативного правового акта по форме, согласно Приложению 1 к Методике АРВ;
- реестр предложений и ответов (при наличии) по форме, согласно Приложению 2 к Методике АРВ;
Приложение 1
УВЕДОМЛЕНИЕ
о разработке проекта нормативного правового акта от 4 ноября 2022 года
Национальный банк Кыргызской Республики (далее – Национальный банк) извещает о проведении анализа регулятивного воздействия, разработке проекта нормативного правового акта и сборе предложений заинтересованных лиц по обеспечению информационной безопасности операторов платежных систем и в платежных организациях.
1. Проблемы и основания.
Разработка проекта нормативного акта направлена на совершенствование нормативных актов и на минимизацию рисков в связи с ежегодными усиливающимися атаками на информационные системы».
2. Цель предлагаемого регулирования – установление требований к организации и соблюдению операторами платежных систем и платежными организациями информационной безопасности в целях минимизации рисков.
3. Оценка ожидаемых выгод и преимуществ предлагаемого регулирования:
- совершенствование нормативных правовых актов Национального банка;
- минимизация рисков операторов платежных систем и платежных организаций.
4. Оценка возможных неблагоприятных последствий:
Принятие данного нормативного правового акта не повлечет неблагоприятных последствий.
5. Характеристика и оценка численности субъектов предпринимательства – адресатов предлагаемого регулирования.
Предлагаемое регулирование касается деятельности операторов платежных систем и платежных организаций, количество которых по состоянию на сегодняшний день составляет 22 организации.
6. Приблизительная оценка дополнительных расходов и выгод потенциальных адресатов предлагаемого регулирования, связанных с его введением
Субъекты предлагаемого регулирования не понесут дополнительных затрат.
7. Приблизительная оценка расходов и выгод бюджета Кыргызской Республики, связанных с введением предлагаемого регулирования
Проект не требует дополнительных расходов из бюджета Кыргызской Республики.
Перечень вопросов для участников публичных консультаций:
- являются ли указанные проблемы верными, требующими решения путем изменения регулирования;
- является ли указанная цель обоснованной, важной для достижения;
- является ли предлагаемый способ решения проблем (регулирование) наиболее предпочтительным;
- какие выгоды и преимущества могут возникнуть в случае принятия предлагаемого регулирования;
- какие риски и негативные последствия могут возникнуть в случае принятия предлагаемого регулирования;
- существуют ли более эффективные альтернативные способы решения проблем;
- общее мнение относительно предлагаемого регулирования.
Контакты и сроки для обсуждения предложений:
|
1. Предложения принимаются: |
|
|
- по электронной почте |
azmambetalieva@nbkr.kg |
|
- на почтовый адрес |
720001, Кыргызская Республика, г. Бишкек, пр. Чуй, 168 |
|
2. Срок приема предложений не позднее |
19 ноября 2022 г. |
|
3. Срок размещения реестра предложений и ответов на официальном интернет-сайте Национального банка не позднее |
26 ноября 2022 г. |
Приложение 2
РЕЕСТР
предложений и ответов
(по результатам рассмотрения предложений в рамках уведомления о разработке проекта нормативного правового акта от 04.11.2022 г.)
|
Регистрационный № |
Автор (участник публичных консультаций) |
Дата получения |
Замечания и (или) предложения |
Позиция органа-разработчика |
|
1. |
ОсОО «ПЭЙ 24» |
16.11.2022 г. |
1. Обязательное наличие в штате оператора платежной системы/платежной организации (ОПС/ПО) отдельного сотрудника ИБ. 2. Сотрудник ИБ не должен совмещать работу в отделе информационных технологий (ИТ), а его должностная инструкция не должна содержать функциональные обязанности, присущие сотрудникам отдела ИТ, во избежание конфликта интересов. 3. В должностные обязанности сотрудника ИБ должны входить: - контроль исполнения ОПС/ПО внутренних нормативных документов и нормативных правовых актов в области ИБ: - анализ степени защищенности ИБ; - разработка перечня документов по ИБ, в том числе: · политика информационной безопасности; · правила безопасного использования ИТ-ресурсов ОПС/ПО; · требования к парольной защите; · требования к обучению и осведомленности персонала правилам ИБ. |
Представленные предложения больше подходят для включения в требования, устанавливаемые в нормативном правовом акте (далее – НПА). В связи с этим они будут рассмотрены в финальной версии НПА после проведения анализа регулятивного воздействия. |
