39 слайдов про информационную безопасность Национальной платежной системы

Последняя дискуссия в АИС’е показала, что многие коллеги из банков и других, как теперь принято говорить, участников Национальной платежной системы 🙂 еще не ознакомились с новой нормативкой. Пару недель назад, пока сам анализировал новые документы, подготовил презентацию из разряда «почитать». Ее нельзя назвать краткой и простой, но уверен, что многим она окажется полезной.

Несколько замечаний по ходу:

  • Электронные деньги, это в первую очередь деньги
  • При анализе документов нужно помнить, что «национальная платежная система» и «платежная система» — разные вещи
  • Согласно № 161-ФЗ требования по защите информации устанавливает ЦБ и согласует их с ФСБ и ФСТЭК. В настоящий момент № 382-П хоть и зарегистрирован в Минюсте, но формально не согласован с регуляторами.
  • В настоящий момент существует только одна платежная система – Платежная система Банка России, поэтому ст.27 № 161-ФЗ и все подзаконные акты по защите информации, распространяются только на нее. Других платежных систем нет, поэтому формально новых субъектов регулирования (мобильных операторов, Яндекс.Деньги/ Webmoney и т.п.) подзаконные акты по защите информации не касаются. Коллизия?
  • Требования по защите информации предъявлены не для всей НПС
  • Согласно № 380-П «О порядке осуществления наблюдения в национальной платежной системе» ничто не мешает ЦБ запрашивать информацию по защите у всех участников НПС
  • Дополнительно в перечень документов ЦБ по ИБ включил 379-П «О бесперебойности и анализе рисков», который, на мой взгляд, должен быть изучен безопасниками
  • И в N 584-ПП и в документах ЦБ речь идет об анализе рисков, а не об оценке рисков
  • Инциденты, о которых нужно докладывать в ЦБ по №2831-У так или иначе связаны с перебоями в предоставлении услуг по переводу денежных средств

Женя, насчет несогласованности 382-П с ФСБ и ФСТЭК.
Насколько я помню выступление Харламова на семинаре в АИС — он как раз говорил об обратном — что это положение согласовывалось с ними, а вот указание 2831-У — нет. В этом и был смысл разделения этих двух документов, чтобы не согласовывать с ФСБ и ФСТЭК лишние вещи (в части отчетности перед ЦБ), а отдать на согласование только моменты, определяющие требования к участниками НПС.

[Ответить]

Царев Евгений Reply:

Возможно. Как я понял, формальные подписи регуляторов под документами не стоят. Разве не так?

[Ответить]

  • и посмотри сл. 11 твоей презентации — там небольшая ошибка в 4-ом буллите =)

    [Ответить]

    Царев Евгений Reply:

    Жаль в слайдшере быстро не поправить

    [Ответить]

  • Женя, ты не прав в 4-м буллете поста. 27-я статья ФЗ-161, как и 382-П распространяются не на платежные системы, а на участников НПС. Т.е. эти требования уже действуют на ВСЕ банки, на ВСЕХ платежных агентов и субагентов.

    Второе. Зарегистрированных операторов платежных систем сейчас нет ни одного, включая и Банк России, а вот самих платежных систем в России под сотню. То, что их нет в реестре ЦБ (а туда попадают только операторы, которые ХОТЯТ этого — это не обязанность, исключая 2814-У), не значит, что платежной системы не существует и у нее не может быть своих правил.

    [Ответить]

    Евгений Царев Reply:

    1) Ст.27 «Обеспечение защиты информации в платежной системе» — речь именно о платежной системе, а не об НПС. Соответственно статья заработает только в случае определения/регистрации какой-либо ПС, либо в случае правки статьи.
    2) Зарегистрированных нет, но Платежная система Банка России определена 384-П. Получается, что есть только одна ПС.

    [Ответить]

    Алексей Лукацкий Reply:

    1. Речь в 27-й статье идет не о конкретной платежной системе. А вообще. Иначе бы там не было «операторы платежных систем». У конкретной ПС не может быть нескольких операторов.
    2. Платежная система не требует регистрации — достаточно ее правил. Регистрация требуется для оператора ПС. Поэтому в России около сотни ПС. Та же Visa. От того, что она еще не послала зарегистрирована, она не перестает быть платежной системой. Как и Western Union, Анелик, CONTACT и т.д.

    [Ответить]

  • насчет оценки и анализа рисков — в п.п. 3 п. 5 ст. 15 161-ФЗ говорится «Оператор платежной системы обязан: организовать систему управления рисками в платежной системе в соответствии со ст. 28 ФЗ, осуществлять ОЦЕНКУ и управление рисками в платежной системе» — т.е. все-таки оценка?

    [Ответить]

  • I do believe all of the ideas you have offered to your post.
    They’re very convincing and will definitely work. Nonetheless, the posts are very short for starters. May you please lengthen them a little from next time? Thank you for the post.

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *