#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Последняя дискуссия в АИС’е показала, что многие коллеги из банков и других, как теперь принято говорить, участников Национальной платежной системы :-) еще не ознакомились с новой нормативкой. Пару недель назад, пока сам анализировал новые документы, подготовил презентацию из разряда «почитать». Ее нельзя назвать краткой и простой, но уверен, что многим она окажется полезной.

Несколько замечаний по ходу:
  • Электронные деньги, это в первую очередь деньги
  • При анализе документов нужно помнить, что «национальная платежная система» и «платежная система» - разные вещи
  • Согласно № 161-ФЗ требования по защите информации устанавливает ЦБ и согласует их с ФСБ и ФСТЭК. В настоящий момент № 382-П хоть и зарегистрирован в Минюсте, но формально не согласован с регуляторами.
  • В настоящий момент существует только одна платежная система – Платежная система Банка России, поэтому ст.27 № 161-ФЗ и все подзаконные акты по защите информации, распространяются только на нее. Других платежных систем нет, поэтому формально новых субъектов регулирования (мобильных операторов, Яндекс.Деньги/ Webmoney и т.п.) подзаконные акты по защите информации не касаются. Коллизия?
  • Требования по защите информации предъявлены не для всей НПС
  • Согласно № 380-П "О порядке осуществления наблюдения в национальной платежной системе" ничто не мешает ЦБ запрашивать информацию по защите у всех участников НПС
  • Дополнительно в перечень документов ЦБ по ИБ включил 379-П «О бесперебойности и анализе рисков», который, на мой взгляд, должен быть изучен безопасниками
  • И в N 584-ПП и в документах ЦБ речь идет об анализе рисков, а не об оценке рисков
  • Инциденты, о которых нужно докладывать в ЦБ по №2831-У так или иначе связаны с перебоями в предоставлении услуг по переводу денежных средств

Автор статьи: Царев Евгений

8 комментариев

    Женя, насчет несогласованности 382-П с ФСБ и ФСТЭК.
    Насколько я помню выступление Харламова на семинаре в АИС — он как раз говорил об обратном — что это положение согласовывалось с ними, а вот указание 2831-У — нет. В этом и был смысл разделения этих двух документов, чтобы не согласовывать с ФСБ и ФСТЭК лишние вещи (в части отчетности перед ЦБ), а отдать на согласование только моменты, определяющие требования к участниками НПС.

    Возможно. Как я понял, формальные подписи регуляторов под документами не стоят. Разве не так?

    и посмотри сл. 11 твоей презентации — там небольшая ошибка в 4-ом буллите =)

    Жаль в слайдшере быстро не поправить

    Женя, ты не прав в 4-м буллете поста. 27-я статья ФЗ-161, как и 382-П распространяются не на платежные системы, а на участников НПС. Т.е. эти требования уже действуют на ВСЕ банки, на ВСЕХ платежных агентов и субагентов.

    Второе. Зарегистрированных операторов платежных систем сейчас нет ни одного, включая и Банк России, а вот самих платежных систем в России под сотню. То, что их нет в реестре ЦБ (а туда попадают только операторы, которые ХОТЯТ этого — это не обязанность, исключая 2814-У), не значит, что платежной системы не существует и у нее не может быть своих правил.

    1) Ст.27 «Обеспечение защиты информации в платежной системе» — речь именно о платежной системе, а не об НПС. Соответственно статья заработает только в случае определения/регистрации какой-либо ПС, либо в случае правки статьи.
    2) Зарегистрированных нет, но Платежная система Банка России определена 384-П. Получается, что есть только одна ПС.

    1. Речь в 27-й статье идет не о конкретной платежной системе. А вообще. Иначе бы там не было «операторы платежных систем». У конкретной ПС не может быть нескольких операторов.
    2. Платежная система не требует регистрации — достаточно ее правил. Регистрация требуется для оператора ПС. Поэтому в России около сотни ПС. Та же Visa. От того, что она еще не послала зарегистрирована, она не перестает быть платежной системой. Как и Western Union, Анелик, CONTACT и т.д.

    насчет оценки и анализа рисков — в п.п. 3 п. 5 ст. 15 161-ФЗ говорится «Оператор платежной системы обязан: организовать систему управления рисками в платежной системе в соответствии со ст. 28 ФЗ, осуществлять ОЦЕНКУ и управление рисками в платежной системе» — т.е. все-таки оценка?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.