пятница, 31 августа 2012 г.

Рекомендации по оформлению документов, направляемых в Банк России в целях регистрации операторов платежных систем

Банк России на своем сайте опубликовал рекомендации по оформлению документов, направляемых в Банк России в целях регистрации операторов платежных систем, подготовленные с учетом практики рассмотрения этих документов.

Документ в большей степени содержит общие рекомендации в отношении комплектности и оформления документов, а также Правил платежной системы, но есть и отдельные моменты связанные с ИБ. 

Так Банк России еще раз рекомендует непосредственно в Правилах платежной системы:
"2.12. Определять требования к защите информации. При формировании указанных требований следует руководствоваться Постановлением Правительства РФ от 13  июня 2012 г. № 584 «Положение о защите информации в платежной системе» и Положением Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Есть пару моментов и в отношении бесперебойности и управления рисками в платежной системе: 
"2.7. Раскрывать порядок обеспечения бесперебойности функционирования платежной системы в соответствии со структурой, установленной пунктом 4, и с учетом требований пунктов 5-7 Положения Банка России от 31 мая 2012 № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах».
2.8. Определять систему управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками, с учетом требований статьи 28 Федерального закона № 161-ФЗ. Перечень мероприятий должен быть составлен с учетом требований части 3 статьи 28 Федерального закона № 161-ФЗ. Перечень способов управления рисками определяется с учетом требований части 4 и части 5 статьи 28 Федерального закона № 161-ФЗ.
2.11. Раскрывать порядок (процедуру) взаимодействия субъектов в рамках платежной системы не только в спорных, но и чрезвычайных ситуациях."
В остальном рекомендации в большей части затрагивают процедурные моменты.

Напомню, что порядок регистрации операторов платежных систем определяется ст. 15 161-ФЗ  и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы", а на текущий момент официально зарегистрировано только два оператора платежных систем.

Полный текст рекомендаций - тут.
0 коммент.
Ярлыки: ,

понедельник, 27 августа 2012 г.

Применимость требований 382-П к различным категориям субъектов НПС

В продолжение заметки Алексея Лукацкого про правильность чтения требований Положения Банка России №382-П, хочу поделиться следующей статистикой, полученной в ходе как раз такой разбивки требований по субъектам НПС. 

На рисунке ниже приведено распределение требований в количественном (сверху) и процентном соотношении от общего количества требований 382-П (снизу). Напомню, что в Приложении 2 к 382-П всего приведено 129 различных требований к обеспечению защиты информации при осуществлении переводов денежных средств, выполнение которых проверяется при проведении оценки соответствия.   

На рисунке использованы следующие сокращения: 
  -  ОПДС - оператор по переводу денежных средств;
  -  ОПС - оператор платежной системы;
  -  ОУПИ - оператор услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр);
  -  БПА (БПСА) ЮЛ - банковский платежный агент (субагент), являющийся юридическим лицом;
  -  БПА (БПСА) ИП - банковский платежный агент (субагент), являющийся индивидуальным предпринимателем.

Как видно из этого распределения, меньше всего требований распространяется на операторов платежных систем. Если проанализировать 382-П, то можно увидеть, что эти требования, исходя из сущности оператора платежной системы, связаны именно с организацией и контролем обеспечения защиты информации в рамках платежной системы (установление требований и определение порядка применения мер по защите информации, взаимодействие с участниками платежной системы в части сбора сведений о защите информации в платежной системе, организация реагирования на инциденты ИБ и др.).

Больше всего требований ложится соответственно (по убывающей) на операторов по переводу денежных средств, операторов услуг платежной инфраструктуры и банковских платежных агентов (субагентов). 

При этом в отношении различных типов операторов услуг платежной инфраструктуры, а именно: операционных, платежных клиринговых и расчетных центров - различий в требованиях практически нет. Исключением являются требования п. 2.16.2 Положения 382-П в части доведения оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств, которые не распространяются на операционные центры, находящихся за пределами РФ.

Если же смотреть применимость требований 382-П к различным категориям субъектов НПС в разрезе групп требований, то получается следующая картина: 

На рисунке использованы следующие обозначения: 
  -  " - " - в группе отсутствуют требования, применимые к категории субъектов НПС;
  -  " + " - все требования группы применимы к категории субъекта НПС;
  -  "+/-" - часть требований применима к категории субъекта НПС.

Из этой статистика, например, видно, что в отношении банковских платежных агентов (субагентов) в большей степени применимы требования, связанные с реализацией системы защиты информации, и в меньшей с вопросами менеджмента ИБ. 
2 коммент.
Ярлыки: ,

понедельник, 20 августа 2012 г.

C пополнением вас - Платежные системы

Знаковое событие для регулирования НПС произошло: Банком России зарегистрированы первые операторы платежных систем, которыми стали:
  • АКБ "РУССЛАВБАНК" (ЗАО) - Платежная система CONTACT (дата регистрации - 03.08.2012);
  • ОАО КБ "ЮНИСТРИМ" - Международная платежная система денежных переводов "ЮНИСТРИМ" (дата регистрации - 10.08.2012).
По обоим платежным системам оператор платежной системы является одновременно и расчетным, и платежным клиринговым, и операционным центром.

Таким образом на текущий момент в рамках НПС есть три платежные системы: 
  • Платежная система Банка России (но основании 161-ФЗ и Положения ЦБ РФ от 29.06.2012 № 384-П "О платежной системе Банка России");
  • Платежная система CONTACT;
  • Международная платежная система денежных переводов "ЮНИСТРИМ". 
Напомню, что реестр операторов платежных систем публикуется Банком России в соответствии со 161-ФЗ "О национальной платежной системе" (статья 15) и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы" (п.п. 2.3 и 2.4).

Сам реестр размещается на сайте ЦБ тут.
1 коммент.
Ярлыки: ,

среда, 15 августа 2012 г.

Mind-карта документов на тематике Национальной платежной системы

В ходе изучения нормативной базы по тематике национальной платежной системы подготовил вот такую подборку нормативных документов, регулирующие эту сферу. Здесь представлены не только документы, напрямую касающиеся регулирования ИБ в НПС (выделены оранжевым фоном), но и другие документы (в основном Банка России), которые показались мне интересными с точки зрения понимания тематики НПС и регулирования деятельности по переводам денежных средств. 

В mind-карте используются следующие сокращения:
  • ОПС - оператор платежной системы;
  • ОУПИ - оператор услуг платежной инфраструктуры;
  • ОПДС - оператор по переводу денежных средств;
  • ОЭДС - оператор электронных денежных средств.

Mind-карта в pdf - тут.

P.S. Напомню, что на вкладке "Нормативная база", также содержится непосредственно подборка самих документов по вопросам ИБ в банковской сфере. В том числе, начал наполнять документами по тематике НПС.
    2 коммент.
    Ярлыки: ,

    пятница, 10 августа 2012 г.

    Семинары по НПС на август

    В продолжения темы, куда можно пойти поучиться по НПС, нашел еще два учебных мероприятия, которые пройдут в августе по это тематике, это:
    • Семинар "Защита информации в Национальной платежной системе в соответствии с Постановлением Правительства № 584 "О защите информации в платежной системе" и Положением Банка России 382-П", который пройдет 29 августа в Институте банковского дела АРБ. Принять участие в семинаре можно как очно, так и онлайн.
      Программа вкратце: 
      • Что такое Национальная платежная система;
      • ФЗ-161 и его влияние на информационную безопасность;
      • Иерархия требований по информационной безопасности;
      • Оценка соответствия по вопросам ИБ в рамках НПС;
      • Персональные данные при переводе денежных средств; 
      • Наказание за неисполнение ФЗ-161 и подзаконных актов; 
      • Контроль и надзор в области защиты информации в НПС.
    • и Семинар "Закон о национальной платежной системе. Основные требования по организации платежных систем. Контроль со стороны гос. регуляторов", который пройдет 20 августа в Банковском учебном центре "Финансовый дом" также в формате очного семинара и вебинара.
      Программа вкратце: 
      • Основы Национальной платежной системы;
      • Влияние закона о национальной платежной системы на законодательство РФ;
      • Взаимосвязь закона об НПС и закона о деятельности по приему платежей (103-ФЗ), сходства и различия.
    Первый семинар рассчитан именно на специалистов по информационной безопасности, а вот у второго целевая аудитория несколько иная: финмониторинг, внутренний контроль, юристы. Но не смотря на это, мне кажется что он будет вполне полезен и ИБ-спецам для лучшего понимания сторон взаимодействия в НПС и потребностей бизнеса. 

    Кстати, решил завести на блоге новую страничку "Обучение", где вести подборку учебных материалов по вопросам обеспечения ИБ в банковской сфере, в последнее время частенько возникала потребность иметь эту информацию аккумулированную в одном месте. Сейчас там уже выложены ближайшие мероприятия по тематикам НПС и СТО БР ИББС. Надеюсь и Вам эта подборка будет полезна. 
    2 коммент.
    Ярлыки: , ,

    четверг, 9 августа 2012 г.

    Письмо МГТУ Банка России о сдаче отчетности 0403203 в бумажном виде

    Вчера Банк России направил в кредитные организации информационное письмо, суть которого в том, что первая отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" предоставляется кредитными организациями в бумажном виде. 

    Напомню, что необходимость сдачи отчетности по форме 0403203 установлена Указание Банка России от 09.06.2012 № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".

    Срок сдачи отчетности за июль - 14 августа 2012г.


    0 коммент.
    Ярлыки: ,
    Подписаться на: Сообщения (Atom)