В 27 июня 2011 года был принят Федеральный Закон РФ N161-ФЗ «О национальной платежной системе», регулирующий порядок оказания платежных услуг и определяющий требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе.
Вступившая в действие 1 июля 2012 года статья 27 Закона о НПС устанавливает необходимость обеспечения защиты информации в платежных системах. В июне 2012 года был принят ряд подзаконных актов, регламентирующих обеспечение защиты информации в платежных системах, и обязательный для исполнения всеми организациями, вовлеченными в оказание услуг по переводу денежных средств. При этом состав требований по защите информации, выдвигаемый регуляторами и применимый к конкретной организации, зависит от того, какую роль выполняет эта организация в платежной системе.
Мы готовы помочь Вам определиться с ролью Вашей организации в платежных системах, и предлагаем услуги по следующим направлениям для оценки и обеспечения соответствия требованиям Закона о НПС:
Для всех субъектов платежной системы
Независимо от роли, которую организация играет в рамках платежной системы, к ней применимы и обязательны для исполнения требования нормативных документов Банка России, разработанных на основании Закона о НПС. На сегодняшний день ключевыми из таких документов являются:
• Положение Банка России от 09.06.2012 г. N382-П: «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
• Указание Банка России от 09.06.2012 N2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»
Наши эксперты проведут предварительное обследование, составят и помогут реализовать план мероприятий по приведению системы обеспечения информационной безопасности Вашей организации в соответствие требованиям Положения №382-П. После выполнения всех работ, предусмотренных данным планом, мы проведем официальную оценку соответствия Вашей организации требованиям Положения №382-П, результаты которой Вы сможете направить в Банк России.
Мы также готовы помочь Вам скорректировать процессы мониторинга событий и реагирования на инциденты информационной безопасности так, чтобы подготовка отчетности по инцидентам, требуемая Указанием №2831-У, не становилась ежемесячной головной болью службы ИБ.
Для операторов платежных систем
В соответствии с требованиями Закона о НПС, оператор платежной системы должен установить правила платежной системы и осуществлять контроль соблюдения этих правил всеми участниками платежной системы. Помимо прочего, в правила платежной системы должны быть включены требования к обеспечению защиты информации и бесперебойности функционирования платежной системы.
Наши эксперты готовы помочь Вам разработать правила, наиболее подходящие для вашей платежной системы, соответствующие требованиям Закона о НПС, учитывающие актуальные для Вас риски информационной безопасности, и, при этом, выполнимые для участников Вашей платежной системы.
Для операторов по переводу денежных средств
Согласно Закона о НПС, оператор по переводу денежных средств несет ответственность перед Банком России и оператором платежной системы, в состав которой он входит, не только за собственное соответствие требованиям Закона о НПС и правилам платежной системы, но и за соответствие привлеченных им банковских платежных агентов. Кроме того, отчетность об инцидентах ИБ, выявленных платежными агентами, также ложится на плечи оператора по переводу денежных средств.
Наши эксперты проведут анализ применимости требований Банка России и операторов платежных систем к привлекаемым Вами платежным агентам, и помогут составить договора с ними, которые будут в полной мере отвечать требованиям Закона о НПС и учитывать актуальные для Вас риски информационной безопасности. Мы также готовы провести оценку соответствия привлеченных Вами банковских платежных агентов применимым требованиям.