Обратил внимание, что когда речь заходит о работах по защите информации в НПС, безопасники обсуждают и используют толькоP382-П и 2831-У. Что в принципе неверно, т.к. без понимания сущности Национальной платежной системы и всей вертикали нормативки, выполнить требования по ИБ не получится.
Для полноценного проекта нужно знать, как и почему мы получили эту нормативку, а для этого нужно:
- ознакомится с мировым опытом функционирования платежных систем национального масштаба, методиками их создания и организации;
- знать принципы функционирования SWIFT;
- отдельная большая тема – карточные системы (Visa, MasterCard, Diners Club, China Union Pay и т.п.);
- ознакомиться с протекционистской политикой разных стран с сфере финансов, в т.ч. в РФ;
- знать принципы и особенности функционирования платежных систем Банка России, Федерального казначейства, Почты России;
- понимать природу, инструменты и технологии обращения денежных средств;
- понимать отграничения в обращении электронных денег;
- понимать особенности расчетов на рынках ценных бумаг;
и т.д и т.п.
Все это, не говоря о знании 161-ФЗ, смежных требованиях по безопасности, непрерывности и много чем еще.
Чтобы не разводить демагогию. Сегодня выложу графическое представление Платежной системы (не НПС), чтобы было единое понимание структуры и терминологии.
Помимо де-факто виртуальной структуры под названием НПС, закон о национальной платежной системе оперирует термином Платежная система. Эта сущность более конкретная, и является основным объектом регулирования в Национальной платежной системе.
На сегодняшний день, медленно, но верно идет регистрация новых Платежных систем (вот на днях [Вестерн Юнионk была официально зарегистрирована Оператором платежной системы). В указанной схеме услуги по переводу денежных средств предоставляет Оператор услуг платежной инфраструктуры. Ключевыми участниками этой системы являются Операторы по переводу денежных средств (в основном это банки) и Операторы по переводу электронных денежных средств (банки и различные структуры электронных платежных систем).
Несколько замечаний:
1) Связи между участниками платежной системы не рисовал сознательно, т.к. их слишком много, Платежные системы по своей структуре могу быть очень разными.
2) Краеугольный камень в Платежной системе это Правила платежной системы, которые разрабатываются оператором и должны содержать в себе требования по безопасности. Очень большое число требований из 382-П должны найти отражение в Правилах платежной системы.
3) Для банковской системы в целом серьезным новшеством является появление банковских платежных агентов и субагентов. Это не юридические и физические лица (кроме кредитных организаций), которые могут привлекаться банками.
4) В рамках оператора платежной инфраструктуры выделено 3 роли. Это могут быть как разные компании, так и одна.
Вот коротко про структуру Платежной системы. В следующий раз напишу про Переводы денежных средств и Переводы электронных денежных средств.
