За последние пару лет в нашей стране построены основы национальной платежной системы (сегодня это система «Мир», располагающая одноименной платежной картой) и запущена российская инфраструктура, поддерживающая транзакции международных платежных систем (на сегодняшний день их шесть, включая Visa и MasterCard).

Согласно планам компании «Национальная система платежных карт» (НСПК), к 2018 г. платежная карта «Мир» должна начать действовать на всей территории России. В ближайшее время, как заявил начальник управления безопасности НСПК Василий Окулесский, рынку будет представлен комплект сервисов, поддерживаемых картой «Мир». Планируется продвижение карты «Мир» за рубежом с использованием опыта «Газпромбанка», выпускающего карту «Мир», которая сегодня обслуживается всеми устройствами, принимающими MasterCard.

Г-н Окулесский напомнил, что НПС создается и развивается не как коммерческая структура, а как компонент национальной безопасности РФ, инструмент обеспечения суверенитета национального платежного пространства, что прежде всего подразумевает полную независимость НПС от внешних платежных систем. Это должны учитывать все участники НПС, в том числе банки, задействованные в обеспечении ее функционирования.

Важнейшим свойством НПС является также обеспечение безопасности и бесперебойности проведения транзакций по банковским картам внутри страны, что, по словам г-на Окулесского, подразумевает надежность ее функционирования а уровне не ниже 0,9999, что накладывает жесткие требования на всю инфраструктуру НПС, включая систему обеспечения ее ИБ. Учитывая столь жесткие технические требования, проект НСПК следует отнести к уникальным, в том числе и по масштабам.

Обеспечение безопасности платежной системы «Мир», как пояснил г-н Окулесский, разделяется на две составляющие: безопасность инфраструктуры платежной системы (понимаемой как ИБ любой системы) и безопасность платежных приложений, встроенных в платежные карты (сегодня это карта «Мир»).

ИКТ-инфраструктура платежной системы «Мир» включает более 500 сетевых устройств, три ЦОДа, более 300 физических и 700 виртуальных серверов, 15 СХД. Система мониторинга «Мира» контролирует более 100 тыс. параметров, по состоянию которых при необходимости запускаются соответствующие процессы профилактики и устранения неисправностей, изменения настроек.

Обеспечение ИБ этой инфраструктуры ведется компанией НСПК по нескольким направлениям. Как наиболее важные из них г-н Окулесский выделил: защиту каналов связи; антивирусную защиту (учитывающую отсутствие подключения объектов защиты к Интернету); обнаружение и предотвращение вторжений; межсетевое экранирование; идентификацию и управление доступом к ресурсам на основе ролевой модели; контроль целостности ПО физических и виртуальных серверов; управление уязвимостями ПО; систему протоколирования и мониторинга событий ИБ; удостоверяющий центр; средства обеспечения безопасности СУБД; контроль утечек конфиденциальной информации; систему защиты от НСД для рабочих мест; контроль действий привилегированных пользователей.

В декабре прошлого года система «Мир» была сертифицирована на соответствие стандарту PCI DSS 3.1. Однако г-н Окулесский подчеркивает, что в России должна быть создана собственная система оценки ИБ участников НПС, учитывающая как международный опыт в этой области, так и национальные особенности нашей страны, связанные с уровнем развития национального банковского бизнеса, подготовкой персонала, отличием в технических средствах и национальных требованиях к ИБ кредитно-финансовой отрасли.

Основные требования к участникам платежной системы «Мир» уже сформулированы — с ними можно ознакомиться в 19-м разделе правил системы. Сегодня ведется работа по конкретизации этих требований, а также конкретизации проведения проверок на соответствие им.

За основу построения системы обеспечения ИБ НПС взяты требования закона 161-ФЗ «О национальной платежной системе», а также главные требования постановления 382-П Банка России «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Подразумевается также гармонизация этих требований с требованиями международного стандарта PCI DSS.

Версия для печати