Последняя дискуссия в АИС’е показала, что многие коллеги из банков и других, как теперь принято говорить, участников Национальной платежной системы :-) еще не ознакомились с новой нормативкой. Пару недель назад, пока сам анализировал новые документы, подготовил презентацию из разряда «почитать». Ее нельзя назвать краткой и простой, но уверен, что многим она окажется полезной.
Несколько замечаний по ходу:
- Электронные деньги, это в первую очередь деньги
- При анализе документов нужно помнить, что «национальная платежная система» и «платежная система» - разные вещи
- Согласно № 161-ФЗ требования по защите информации устанавливает ЦБ и согласует их с ФСБ и ФСТЭК. В настоящий момент № 382-П хоть и зарегистрирован в Минюсте, но формально не согласован с регуляторами.
- В настоящий момент существует только одна платежная система – Платежная система Банка России, поэтому ст.27 № 161-ФЗ и все подзаконные акты по защите информации, распространяются только на нее. Других платежных систем нет, поэтому формально новых субъектов регулирования (мобильных операторов, Яндекс.Деньги/ Webmoney и т.п.) подзаконные акты по защите информации не касаются. Коллизия?
- Требования по защите информации предъявлены не для всей НПС
- Согласно № 380-П "О порядке осуществления наблюдения в национальной платежной системе" ничто не мешает ЦБ запрашивать информацию по защите у всех участников НПС
- Дополнительно в перечень документов ЦБ по ИБ включил 379-П «О бесперебойности и анализе рисков», который, на мой взгляд, должен быть изучен безопасниками
- И в N 584-ПП и в документах ЦБ речь идет об анализе рисков, а не об оценке рисков
- Инциденты, о которых нужно докладывать в ЦБ по №2831-У так или иначе связаны с перебоями в предоставлении услуг по переводу денежных средств
Женя, насчет несогласованности 382-П с ФСБ и ФСТЭК.
Насколько я помню выступление Харламова на семинаре в АИС — он как раз говорил об обратном — что это положение согласовывалось с ними, а вот указание 2831-У — нет. В этом и был смысл разделения этих двух документов, чтобы не согласовывать с ФСБ и ФСТЭК лишние вещи (в части отчетности перед ЦБ), а отдать на согласование только моменты, определяющие требования к участниками НПС.
Возможно. Как я понял, формальные подписи регуляторов под документами не стоят. Разве не так?
и посмотри сл. 11 твоей презентации — там небольшая ошибка в 4-ом буллите =)
Жаль в слайдшере быстро не поправить
Женя, ты не прав в 4-м буллете поста. 27-я статья ФЗ-161, как и 382-П распространяются не на платежные системы, а на участников НПС. Т.е. эти требования уже действуют на ВСЕ банки, на ВСЕХ платежных агентов и субагентов.
Второе. Зарегистрированных операторов платежных систем сейчас нет ни одного, включая и Банк России, а вот самих платежных систем в России под сотню. То, что их нет в реестре ЦБ (а туда попадают только операторы, которые ХОТЯТ этого — это не обязанность, исключая 2814-У), не значит, что платежной системы не существует и у нее не может быть своих правил.
1) Ст.27 «Обеспечение защиты информации в платежной системе» — речь именно о платежной системе, а не об НПС. Соответственно статья заработает только в случае определения/регистрации какой-либо ПС, либо в случае правки статьи.
2) Зарегистрированных нет, но Платежная система Банка России определена 384-П. Получается, что есть только одна ПС.
1. Речь в 27-й статье идет не о конкретной платежной системе. А вообще. Иначе бы там не было «операторы платежных систем». У конкретной ПС не может быть нескольких операторов.
2. Платежная система не требует регистрации — достаточно ее правил. Регистрация требуется для оператора ПС. Поэтому в России около сотни ПС. Та же Visa. От того, что она еще не послала зарегистрирована, она не перестает быть платежной системой. Как и Western Union, Анелик, CONTACT и т.д.
насчет оценки и анализа рисков — в п.п. 3 п. 5 ст. 15 161-ФЗ говорится «Оператор платежной системы обязан: организовать систему управления рисками в платежной системе в соответствии со ст. 28 ФЗ, осуществлять ОЦЕНКУ и управление рисками в платежной системе» — т.е. все-таки оценка?