НПС - Национальная Платежная Система
ЗПС - значимая платежная система - платежная система, отвечающая критериям, установленным настоящим Федеральным законом (системно значимая платежная система или социально значимая платежная система);
БФПС - бесперебойное функционирование платежной системы.
Предпосылки создания НПС
Международные платежные системы в последние 20 лет получили заслуженную популярность. Удобство пользования платежными инструментами стало мощным драйвером для их использования на российском рынке. Однако, в 1998 году, когда Visa и MasterCard блокировали некоторые транзакции российских граждан, стало понятно, что имеется определенная опасность, связанная с тем, что внутренние платежи с использованием международных платежных систем могут контролироваться из других стран, такая зависимость для Российской Федерации представляет риск финансовой системы. С тех пор был запущен процесс разработки концепции национальной платежной системы (НПС), которая станет с одной стороны независимой альтернативой для международных платежных систем, а с другой стороны дополнит их. Вполне логичным продолжением процесса стало формирование законодательной базы в области регулирования взаимоотношений, возникаемых между участниками в рамках функционирования НПС. Так вышел Федеральный закон от 27 июня 2011 г. №161 "О национальной платежной системе".
В законе дается определение НПС:
1) национальная платежная система - совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы);
То есть наряду с карточными платежными системами, закон регулирует и электронные.
Нормативное обеспечение НПС в части ИБ
Для реализации НПС был разработан ряд нормативных документов. Нас интересуют те, что регулируют вопросы ИБ.
В частности в самом Федеральном законе от 27 июня 2011 г. №161 "О национальной платежной системе" в Ст. 27 (Обеспечение защиты информации в платежной системе) говорится об общих вопросах защиты в рамках НПС. Банк России наряду с Правительством РФ разрабатывает требования по обеспечению безопасности платежных систем.
Требования по безопасности НПС
Правительство РФ разработало документ по защите информации в платежной системе:
Постановление Правительства Российской Федерации от 13 июня 2012 г.№584 "Об утверждении Положения о защите информации в платежной системе"
В рамках документа в п.4 определяются наиболее важные 10 требований:
Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:
а) создание и организация функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации;
б) включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;
в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками;
д) разработка и реализация систем защиты информации в информационных системах;
е) применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);
ж) выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;
з) обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
и) определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;
к) организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года.
Что примечательно, в рамках требований встречается понятие оценки рисков. Довольно здравый подход, учитывая, что величина ущерба в рамках платежных инструмент считается не сложно (размер транзакции, размер счетов и т.д.). Вопрос остается только в вероятностях и статистике, но об этом чуть дальше.
Следующее положение разработал Банк России, как было сказано в законе Банк России имеет право разрабатывать требования к обеспечению защиты информации:
Положение Центрального Банка Российской Федерации от 9 июня 2012 г. №382-П“О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”
В нем довольно подробно описываются требования к процессам и механизмам для защиты информации в платежных системах. Надо признать, что документ весьма достойный требования хоть и не детализированы, но очень хорошо проработаны. Определены роли участников в обеспечении безопасности платежей. Особо приятно наличие “требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов (далее - повышение осведомленности) в области обеспечения защиты информации;”. На мой взгляд это наиболее критичная область в любых системах защиты.
Требования по отчетности в рамках НПС
Центральный Банк разработал также указание об отчетности:
Указание Банка России от 9 июня 2012 г.№2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств"
В нем даются формы отчетности, которая требуется для обеспечения защиты информации при осуществлении переводов денежных средств. Их всего 4:
1. форме 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств"
2. форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
3. о форме 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств"
4. форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Для двух последних форм приводится методика заполнения форм.
В рамках отчетности передается информация о выявленных инцидентах. Теперь становится ясно откуда будет браться статистика и вероятности реализации различных угроз для анализа рисков.
Следующий документ это положение от Банка России:
Положение Банка России от 31 мая 2012 г. №380-П "О порядке осуществления наблюдения в национальной платежной системе"
В нем описывается роль Банка России по наблюдению в НПС. Одним из интересных моментов является то, что результаты наблюдения будут периодически публиковаться. Содержание публикаций следующее:
1. сравнение обобщенных результатов оценок различных ЗПС;
2. информацию о типичных недостатках и проблемах в деятельности наблюдаемых организаций и в функционировании ЗПС;
3. обобщение наилучшей практики в области платежных систем, выявленной в ходе оценки ЗПС;
4. общую информацию о рекомендациях Банка России, сформированных по результатам оценки различных ЗПС;
5. оценку влияния ЗПС и отдельных платежных инфраструктур на национальную экономику и НПС;
6. информацию о взаимодействии различных ЗПС.
Имея такую информацию, по сложившимся ощущениям, участникам НПС станет значительно проще совершенствовать систему защиты платежных систем.
Еще один документ от Банка России, в рамках которого он наделяется правом осуществления надзора за соблюдением требований закона не кредитными организациями:
Положение Банка России от 09 июня 2012 г. №381-П“О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе", принятых в соответствии с ним нормативных актов Банка России”
Типы надзора в соответствии с документом:
Ваш провайдер знает о вас больше, чем ваша девушка?
