В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Олег Слепов, менеджер по развитию бизнеса Центра информационной безопасности компании "Инфосистемы Джет"
Прежде чем говорить о безопасности применения платежных систем, необходимо определиться в понятиях. Термин "платежная система" включает в себя как минимум системы расчетов электронными деньгами в Интернете (например. Webmoney, Яндекс.Деньги и т.п.), системы передачи финансовых данных в межбанковском обмене (платежная система Банка России или SWIFT), системы расчетов по банковским картам (VISA, Master Card и т.п.) и многое другое, Естественно, каждая из этих систем требует особого подхода к обеспечению защиты.
КОМПАНИЯ "Инфосистемы Джет" обладает уникальным опытом по проведению работ в данной области. Из 300 проектов по информационной безопасности более трети проведены нашими специалистами в кредитно-финансовых организациях. Практика показала, что наиболее актуальной темой в настоящее время является безопасность систем расчетов по банковским картам. За последние годы на рынке появился устойчивый спрос на этот вид услуг, чему есть несколько причин.
Причина первая
Консорциум PCICo (American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International) разработал и выпустил стандарт Payment Card Industry Data Security (PCI DSS), направленный на повышение уровня безопасности в индустрии платежных карт. В январе 2007 г. PCICo объявил о том, что российские банки должны соответствовать этому стандарту, а уже в январе 2008 г. принял решение штрафовать организации, не прошедшие сертификацию.
Причина вторая
Появился российский стандарт СТО БР ИББС-1.0-2006, который предъявляет серьезные требования к обеспечению безопасности использования банковских технологий. В настоящее время российские финансово-кредитные организации проявляют повышенный интерес к данному стандарту, поскольку он унифицирует требования по информационной безопасности для банков, в том числе это касается и безопасности применения платежных систем.
Причина третья
Со вступлением в силу Федерального закона РФ "О персональных данных" (ЗПД) многие организации обращаются к нам за помощью провести оценку соответствия информационной безопасности компании требованиям ЗПД. Объектом применения данного закона является любая платежная система, поскольку в ее информационных системах обрабатываются и хранятся персональные данные клиентов. Проблема заключается в том, что хотя закон вступил в силу с января 2007 г., соответствующие разъяснительные документы, позволяющие проводить работы по защите персональных данных, ФСТЭК разработал только сейчас.
Причина четвертая
Нельзя забывать, что требования к безопасности платежных систем предъявляют и бизнес-компании. Руководство многих кредитно-финансовых организаций уже давно задумалось над тем, что необходимо проводить как минимум анализ операционных рисков. Риски информационной безопасности рассматриваются как часть операционных рисков, а управление ими позволяет обеспечить устойчивость компании на рынке. Помимо этого мотивацией к обеспечению эффективной защиты информации являются и контрактные обязательства, так как современные российские банки активно работают с различными международными организациями. Эти организации предъявляют жесткие условия к выполнению нормативных требований по безопасности платежных систем. Они готовы сотрудничать с российскими банками при выполнении как минимум двух условий - повышение общего уровня защищенности и обеспечение прозрачности процессов ИБ.
Заключение
Из вышесказанного следует, что вопросы безопасности платежных систем в настоящее время являются ключевыми для организаций кредитно-финансовой сферы. Именно поэтому компания "Инфосистемы Джет" уделяет работе в данном направлении большое внимание и предлагает комплекс услуг, начиная с приведения информационной безопасности в соответствие с законодательными и нормативными требованиями и заканчивая внедрением конкретных организационных мер и программно-технических средств, предназначенных для эффективной защиты систем расчетов по банковским картам.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2008