среда, 18 июля 2012 г.

Семинар в АИС по тематике НПС

Побывал вчера в Академии Информационных Систем на семинаре "Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением". Не смотря на то, что само мероприятие было платным, участников оно собрало  достаточно много (по подсчетом АИС порядка 60 человек), среди которых были представители кредитных и не кредитных организаций, участников НПС, а также интеграторы - куда же без них =). Из докладчиков - представители АИС, Банка России и НП "АБИСС". 

Вступительную часть семинара провел эксперт АИС - Левиев Д.О., осветивший основные аспекты законодательного регулирования в национальной платежной системе, терминологию и отдельные моменты. В заключении семинара выступал представитель НП "АБИСС" - Дроздов А.В., но его тема не относилась напрямую к тематике НПС, а в большей части затрагивала само партнерство и его развитие. 

Наибольший же интерес (по крайней мере для меня) представляло выступление представителя Банка России Харламова В.П. (Начальник отдела Департамента регулирования расчетов (ДРР) Банка России) - всегда интересно послушать регуляторов.

Валерий Павлович прошелся по основным требованиям 161-ФЗ и документов Банка России к обеспечению защиты информации при осуществлении переводов денежных средств, затронул вопросы оценки выполнения установленных требований, а также контроля и надзора со стороны ЦБ.

Ниже хочу привести основные интересные мысли, прозвучавшие в выступлениях докладчиков:
  • Может ли кредитная организация не входить ни в одну платежную систему и ни являться оператором по переводу денежных средств? Нужно ли в этом случае сдавать отчетность в ЦБ? - вопрос не понятный, сам представитель ЦБ не знает на него ответ - запрошено разъяснение в Юридический департамент ЦБ.
  • На текущий момент в России нет ни одного зарегистрированного оператора платежной системы в соответствии с требования законодательства о НПС, пока только одна организация подала в ЦБ заявление о ее регистрации в качестве оператора платежной системы. 
  • Регистрации подлежат именно операторы платежной системы, а не сами платежные системы.
  • Банк России по закону является оператором платежной системы Банка России, но сказать что он зарегистрирован нельзя, т.к. не выполнены обязательные требования. 
  • Требования 161-ФЗ и ПП 584 в целом хорошо коррелируют с требованиями 382-П. В законе и ПП написано много всего, но контролироваться в итоге будут требования 382-П, поэтому на них и надо ориентироваться в первую очередь. 
  • Банковские платежные агенты (субагенты) не входят в платежную систему (не являются участниками платежной системы) - граница платежной системы (зона ответственности оператора платежной системы) проходит по оператору по переводу денежных средств), проверять и контролировать платежных агентов должны операторы по переводу денежных средств, которые их привлекли. 
  • Требования по обеспечению ИБ в НПС базируются на требованиях СТО БР ИББС, но ряд моментов был сознательно упрощен,  а также отдельные разделы (менеджмент) был существенно перефразированы. 
  • По сравнению со СТО БР ИББС появились элементы нормативного регулирования, а также ответственность за нарушение требований (Статья 15.36. Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе - до 500  тыс. руб.).
  • В НПС заложены элементы борьбы с полным не выполнением отдельных требований (корректирующие коэффициенты к1 и к2) , при этом ЦБ признало свой просчет с методикой оценки соответствия по СТО БР ИББС, в части оценки группового показателя по выполнению требований по обработки ПДн (М9), когда невыполнение одного требований приводит к понижению итогового уровня. Такая позиция оказалось слишком жесткой, так как тот же Роскомнадзор смотрит на невыполнение отдельных требований по обработке ПДн довольно лояльно. 
  • У участников рынка нет четкого понимания кто есть кто в НПС: являются ли они операторами платежной системы, операторами по переводу денежных средств и др., а также какие конкретно действия необходимо предпринимать в настоящий момент, и надо ли вообще что-то делать. 
Конечно, это далеко не все, что обсуждалось на семинаре - все не объять. 

Были среди вопросов, обсуждавшихся на семинаре и те, которые не нашли своего ответа,  например, как быть с информированием клиентов о проведенных платежах, когда в смс сообщаются остатки денежных средств на счетах клиентов, которые в соответствии с текущими требования должны соответствующим образом защищаться. 

В целом, не смотря на скептические отношения отдельных моих коллег к этому мероприятию, мол коллективное чтение и т.п., мне прошедший семинар понравился: немного систематизировал текущую информацию, получил новую, послушал мнения регулятора, а также других участников рынка.  

В заключение, хочу отметить как всегда хорошую организацию мероприятия со стороны АИС! 
По окончании же мероприятия еще и свидетельства АИС выдали. 

Материалы семинара организаторы обещали позже (после определенных авторских правок) выложить в публичный доступ или передать участникам семинара, так что возможно скоро появятся в сети. 

9 комментариев:

  1. Большое спасибо за обзор! :-)

    ОтветитьУдалить
  2. Игорь, спасибо за положительный отзыв по семинару НПС. Действительно, были определенные огрехи, но они в первую очередь связаны не то, что с полным отсутствием практики по этому вопросу, а даже нет четкого понимания у самих законотворцев по всем процессам. В целом я сам считаю, что все было хорошо, т.к. даже сам факт присутствия на семинаре одного из идеологов и разработчиков документов Банка России по НПС Харламова В.П. уже огромное дело. Хочу поправить только то, что Харламов В.П. уже 1-2 месяца не работает в ГУБЗИ. Он перешел вместе с Курило А.П. в Департамент регулирования расчетов (ДРР). Теперь он начальник отдела в ДРР.

    ОтветитьУдалить
  3. Игорь, а какое недопонимание было по первому вопросу?
    Любая кредитная организация является оператором по переводу денежных средств и участником платежной системы Банка России.
    «Критерием участия в платежной системе Банка России является наличие банковского (корреспондентского) счета (субсчета) участника в Банке России» (384-П).

    ОтветитьУдалить
    Ответы
    1. Как пояснил Харламов, формально Банк России в соответствии с законодательством является оператором своей ПС, но вопрос в том - будет ли он регистрироваться в качестве него и входить в общий реестр операторов ПС. Легитимно ли распространение требований на участников ПС Банка России, если он не зарегистрирован - по этому направлению у них (ДРР ЦБ) возникли вопросы, которые вылились в запрос в Юридический департамент ЦБ. Хотя я с вами согласен, что при наличии 384-П можно считать, что все банки-участники ПС БР уже подпадают по требования НПС.

      Удалить
  4. Хочу добавить, что ГУБЗИ не делился на две части. Просто часть людей за Курило А.П. ушли в ДРР регулировать НПС. А ГУБЗИ осталось на своем месте.

    ОтветитьУдалить
    Ответы
    1. Алексей, спасибо за поправку - исправил в основной части.

      Удалить
  5. А кто теперь начальник/зам ГУБЗИ?

    ОтветитьУдалить
    Ответы
    1. Начальник я так понимаю тот же, а вот кто зам вместо Курило?

      Удалить
  6. Начальником ГУБЗИ остался Крылов. Его замом стал Артем Михайлович Сычев, сменивший Андрея Петровича Курило.

    ОтветитьУдалить