Главная » Защита от коллекторов

Операторы платежных систем. Тонкости работы с виртуальной валютой

1. Оператором платежной системы может являться кредитная организация, организация, не являющаяся кредитной организацией и созданная в соответствии с законодательством Российской Федерации, Банк России или ВЭБ.РФ.

2. Оператор платежной системы, являющийся кредитной организацией, Банком России или ВЭБ.РФ, может совмещать свою деятельность с деятельностью оператора по переводу денежных средств, оператора услуг платежной инфраструктуры и с иной деятельностью, если это не противоречит законодательству Российской Федерации.

(см. текст в предыдущей редакции)

3. Оператор платежной системы, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора услуг платежной инфраструктуры (за исключением расчетного центра) и с иной деятельностью, если это не противоречит законодательству Российской Федерации.

4. Банк России осуществляет деятельность оператора платежной системы на основании настоящего Федерального закона в соответствии с нормативными актами Банка России и заключаемыми договорами.

5. Оператор платежной системы обязан:

1) определять правила платежной системы, организовывать и осуществлять контроль за их соблюдением участниками платежной системы, операторами услуг платежной инфраструктуры;

2) осуществлять привлечение операторов услуг платежной инфраструктуры, за исключением случая, если оператор платежной системы совмещает функции оператора услуг платежной инфраструктуры, исходя из характера и объема операций в платежной системе, вести перечень операторов услуг платежной инфраструктуры, обеспечивать бесперебойность оказания услуг платежной инфраструктуры участникам платежной системы, а также информировать Банк России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры в день такого приостановления (прекращения) в порядке

(см. текст в предыдущей редакции)

3) организовывать систему управления рисками в платежной системе в соответствии со статьей 28 настоящего Федерального закона, осуществлять оценку и управление рисками в платежной системе, обеспечивать бесперебойность функционирования платежной системы в порядке , установленном Банком России;

(см. текст в предыдущей редакции)

4) обеспечивать возможность досудебного и (или) третейского рассмотрения споров с участниками платежной системы и операторами услуг платежной инфраструктуры в соответствии с правилами платежной системы.

6. Оператор платежной системы, не являющийся кредитной организацией, обязан привлечь в качестве расчетного центра кредитную организацию, которая не менее одного года осуществляет перевод денежных средств по открытым в этой кредитной организации банковским счетам.

7. Организация, намеревающаяся стать оператором платежной системы, должна направить в Банк России регистрационное заявление по форме и в порядке , которые установлены Банком России.

8. К регистрационному заявлению кредитной организации, намеревающейся стать оператором платежной системы, прилагаются следующие документы:

1) решение органа управления кредитной организации об организации платежной системы;

2) бизнес-план развития платежной системы на ближайшие два календарных года с указанием целей и планируемых результатов организации платежной системы, включая анализ рыночных и инфраструктурных факторов;

4) перечень операторов услуг платежной инфраструктуры, которые будут привлекаться для оказания услуг платежной инфраструктуры в платежной системе.

9. Организация, не являющаяся кредитной организацией, намеревающаяся стать оператором платежной системы, должна соответствовать следующим требованиям:

1) обладать чистыми активами в размере не менее 10 миллионов рублей;

2) физические лица, занимающие должности единоличного исполнительного органа и главного бухгалтера такой организации, должны иметь высшее экономическое, высшее юридическое образование или высшее образование в сфере информационных и коммуникационных технологий, а при наличии иного высшего образования - опыт руководства отделом или иным подразделением кредитной организации или оператора платежной системы не менее двух лет;

(см. текст в предыдущей редакции)

3) физические лица, занимающие должности единоличного исполнительного органа и главного бухгалтера такой организации, не должны иметь судимость за преступления в сфере экономики, а также фактов расторжения трудового договора с ними по инициативе работодателя на основании, предусмотренном пунктом 7 части первой статьи 81 Трудового кодекса Российской Федерации, в течение двух лет, предшествовавших дню подачи в Банк России регистрационного заявления.

10. К регистрационному заявлению организации, не являющейся кредитной организацией, намеревающейся стать оператором платежной системы, прилагаются следующие документы:

1) учредительные документы;

2) решение уполномоченного органа такой организации об организации платежной системы;

3) бизнес-план развития платежной системы на ближайшие два календарных года с указанием целей и планируемых результатов организации платежной системы, включая анализ рыночных и инфраструктурных факторов;

4) правила платежной системы, соответствующие требованиям настоящего Федерального закона;

5) перечень операторов услуг платежной инфраструктуры, которые будут привлекаться для оказания услуг платежной инфраструктуры в платежной системе;

6) письменное согласие кредитной организации, в том числе в форме заключенного с ней договора, стать расчетным центром платежной системы с учетом требований части 6 настоящей статьи;

7) документы, содержащие сведения о размере чистых активов организации, с приложением форм бухгалтерской отчетности, составленной на последнюю отчетную дату, предшествующую дате представления документов в Банк России для регистрации. Указанные формы отчетности должны быть подписаны единоличным исполнительным органом организации и главным бухгалтером (их заместителями);

11. В срок, не превышающий 30 календарных дней со дня получения регистрационного заявления от организации, намеревающейся стать оператором платежной системы, Банк России принимает решение о регистрации указанной организации в качестве оператора платежной системы или решение об отказе в такой регистрации.

12. В случае принятия решения о регистрации организации в качестве оператора платежной системы Банк России присваивает организации регистрационный номер, включает информацию о ней в реестр операторов платежных систем, который является общедоступным, и направляет организации регистрационное свидетельство по форме , установленной Банком России, в срок не позднее пяти рабочих дней с даты принятия указанного решения. Порядок ведения реестра операторов платежных систем устанавливается Банком России.

13. Организация, направившая в Банк России регистрационное заявление, вправе стать оператором платежной системы со дня получения регистрационного свидетельства Банка России.

14. Оператор платежной системы обязан указывать свой регистрационный номер при предоставлении информации о платежной системе.

15. Платежная система должна иметь наименование, указанное в правилах платежной системы, содержащее слова "платежная система". Ни одна организация в Российской Федерации, за исключением организации, зарегистрированной в реестре операторов платежных систем, не может использовать в своем наименовании (фирменном наименовании) слова "платежная система" или иным образом указывать на осуществление деятельности оператора платежной системы. Операторы услуг платежной инфраструктуры, участники платежной системы вправе указывать на принадлежность к платежной системе в соответствии с правилами платежной системы. Банк России вправе использовать слова "платежная система" в отношении платежной системы Банка России.

16. Оператор платежной системы, не являющийся кредитной организацией, обязан соблюдать требования, предусмотренные частью 9 настоящей статьи, в течение всего времени осуществления деятельности оператора платежной системы.

17. Банк России отказывает кредитной организации в регистрации в качестве оператора платежной системы в случае:

18. Банк России отказывает организации, не являющейся кредитной организацией, в регистрации в качестве оператора платежной системы в случае:

3) несоответствия разработанных правил платежной системы требованиям настоящего Федерального закона.

19. В случае отказа в регистрации в качестве оператора платежной системы Банк России в письменной форме уведомляет об этом организацию, направившую регистрационное заявление, с указанием оснований отказа и приложением представленных для регистрации документов в срок не позднее пяти рабочих дней с даты принятия решения об отказе в регистрации.

20. Организация, являющаяся оператором платежной системы, намеревающаяся стать оператором другой платежной системы, обязана направить в Банк России дополнительное регистрационное заявление по форме и в порядке , которые установлены Банком России, с указанием регистрационного номера в реестре операторов платежных систем.

21. К дополнительному регистрационному заявлению кредитной организации, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, прилагаются документы, предусмотренные частью 8 настоящей статьи.

22. К дополнительному регистрационному заявлению организации, не являющейся кредитной организацией, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, прилагаются документы, предусмотренные пунктами 2 - 8 части 10 настоящей статьи.

23. Банк России принимает решение о регистрации организации, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, или решение об отказе в такой регистрации в срок, не превышающий 30 календарных дней со дня получения дополнительного регистрационного заявления.

24. В случае принятия решения о регистрации организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы Банк России включает информацию в реестр операторов платежных систем без присвоения нового регистрационного номера и направляет организации уведомление по форме , установленной Банком России, в срок не позднее пяти рабочих дней с даты принятия соответствующего решения.

25. Организация вправе стать оператором другой платежной системы со дня получения уведомления Банка России о регистрации организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы.

26. Не позднее дня, следующего за днем получения уведомления Банка России, организация обязана направить в Банк России ранее выданное регистрационное свидетельство.

27. Банк России направляет организации новое регистрационное свидетельство с указанием платежных систем, оператором которых является организация, на следующий рабочий день после дня получения от организации ранее выданного регистрационного свидетельства.

28. Банк России принимает решение об отказе в регистрации кредитной организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы при непредставлении документов, предусмотренных частью 8 настоящей статьи.

29. Банк России принимает решение об отказе в регистрации организации, не являющейся кредитной организацией, являющейся оператором платежной системы, в качестве оператора другой платежной системы при непредставлении документов, предусмотренных пунктами 2 - 8 части 10 настоящей статьи, либо при несоответствии оператора платежной системы установленным требованиям.

30. При изменении сведений об операторе платежной системы, указанных при его регистрации, оператор платежной системы обязан уведомить Банк России по установленной им форме в течение трех рабочих дней после дня наступления таких изменений. На основании полученного уведомления оператора платежной системы Банк России в течение трех рабочих дней со дня его получения вносит соответствующие изменения в реестр операторов платежных систем.

31. Банк России вправе принимать решения об исключении сведений об организации из реестра операторов платежных систем по следующим основаниям и в следующие сроки:

1) на основании заявления оператора платежной системы с указанием им рабочего дня, в который сведения об организации исключаются из реестра операторов платежных систем, - в рабочий день, указанный в заявлении, но не ранее дня представления заявления оператора платежной системы;

3) в случае установления Банком России при осуществлении надзора факта существенного несоответствия сведениям, на основании которых осуществлялась регистрация оператора платежной системы, - в рабочий день, следующий за днем принятия решения Банком России;

33. При исключении сведений об организации из реестра операторов платежных систем Банк России вносит соответствующую запись в реестр операторов платежных систем и не позднее дня, следующего за днем такого исключения, направляет организации уведомление об исключении сведений о ней из реестра операторов платежных систем, за исключением случая, предусмотренного пунктом 5 части 31 настоящей статьи. Не позднее дня, следующего за днем получения уведомления Банка России, организация обязана возвратить Банку России свое регистрационное свидетельство.

34. Со дня, следующего за днем получения оператором платежной системы, не являющимся кредитной организацией, уведомления об исключении сведений из реестра операторов платежных систем, осуществление переводов денежных средств в рамках платежной системы прекращается, а переводы денежных средств, осуществление которых было начато до указанного дня, должны быть завершены центральным платежным клиринговым контрагентом и (или) расчетным центром в течение срока, установленного частью 5 статьи 5 настоящего Федерального закона. В отношении значимых платежных систем срок прекращения осуществления и завершения переводов денежных средств может быть увеличен Банком России, но не более чем до одного месяца.

35. Порядок завершения переводов денежных средств центральным платежным клиринговым контрагентом и (или) расчетным центром в случае отзыва у них лицензий на осуществление банковских операций определяется федеральным законом.

36. Оператор платежной системы обязан представлять в Банк России изменения правил платежной системы, изменения перечня операторов услуг платежной инфраструктуры не позднее 10 дней со дня внесения соответствующих изменений.

37. Операторы платежных систем могут заключить договор о взаимодействии своих платежных систем при условии отражения порядка такого взаимодействия в правилах платежных систем.

38. Деятельность оператора платежной системы, в рамках которой осуществляется перевод денежных средств между операторами по переводу денежных средств, находящимися на территории Российской Федерации, может осуществляться только организацией, созданной в соответствии с законодательством Российской Федерации и соответствующей требованиям настоящего Федерального закона.

39. Оператор по переводу денежных средств, за исключением Банка России, у которого открыты банковские счета не менее трех других операторов по переводу денежных средств и между этими счетами осуществляются переводы денежных средств в течение трех месяцев подряд в размере , превышающем значение, установленное Банком России, обязан обеспечить в соответствии с требованиями настоящей статьи направление в Банк России заявления о регистрации оператора платежной системы в течение 30 дней после дня начала соответствия указанному требованию. По истечении четырех месяцев после дня начала соответствия указанному требованию осуществление перевода денежных средств между банковскими счетами операторов по переводу денежных средств, открытыми у такого оператора по переводу денежных средств, допускается только в рамках платежной системы. Требования настоящей части не распространяются на операторов по переводу денежных средств, являющихся расчетными центрами платежных систем, операторы платежных систем которых зарегистрированы Банком России, в части переводов денежных средств, осуществляемых в рамках указанных платежных систем.

40. Банк России направляет организации, осуществляющей деятельность оператора платежной системы и не направившей в Банк России регистрационное заявление в соответствии с настоящей статьей, требование о регистрации такой организации в качестве оператора платежной системы. Указанная организация обязана направить в Банк России регистрационное заявление не позднее 30 календарных дней со дня получения такого требования либо прекратить осуществление деятельности оператора платежной системы.

Глава 5. Расчетная система национальной платежной системы

§ 1. Операторы услуг платежной инфраструктуры и требования к их деятельности

Операторы услуг платежной инфраструктуры относятся к элементам третьего уровня национальной платежной системы, посредством которых обеспечивается взаимодействие при осуществлении платежных услуг между всеми заинтересованными лицами. Эти элементы вместе с операторами платежных систем образуют инфраструктуру национальной платежной системы.

В законодательстве предусмотрено существование трех видов операторов услуг платежной инфраструктуры.

Операционный центр. Эта организация обеспечивает в рамках платежной системы для ее участников и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями (операционные услуги). Операционный центр может осуществлять иные действия, связанные с использованием информационно-коммуникационных технологий, необходимые для функционирования платежной системы и предусмотренные правилами платежной системы.

Операционный центр осуществляет свою деятельность на основании договоров об оказании операционных услуг с оператором платежной системы, участниками платежной системы, платежным клиринговым центром и расчетным центром, если заключение таких договоров предусмотрено правилами платежной системы. В платежной системе может быть несколько операционных центров.

Платежный клиринговый центр. Это организация, обеспечивающая в рамках платежной системы оказание услуг платежного клиринга. В случае если платежная система осуществляет переводы денежных средств по сделкам, совершенным на организованных торгах, услуги платежного клиринга могут оказываться в рамках клиринговой услуги клиринговой организацией, осуществляемой в соответствии с Законом о клиринге. Платежным клиринговым центром может быть как кредитная организация, так и организация, не являющаяся кредитной.

Платежный клиринговый центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров об оказании услуг платежного клиринга, заключаемых с участниками платежной системы, операционным центром и расчетным центром, если заключение таких договоров предусмотрено правилами платежной системы.

В платежной системе может быть несколько платежных клиринговых центров. Договор об оказании услуг платежного клиринга, заключаемый с участниками платежной системы, является договором присоединения.

Расчетный центр - организация, обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы. Расчетным центром может выступать кредитная организация, Банк России или Внешэкономбанк.

Расчетный центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров банковского счета, заключаемых с участниками платежной системы и (или) центральным платежным клиринговым контрагентом (при его наличии), а также договоров, заключаемых с операционным центром и платежным клиринговым центром, если заключение таких договоров предусмотрено правилами платежной системы.

Расчетный центр исполняет поступившие от платежного клирингового центра распоряжения участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы и (или) банковскому счету центрального платежного клирингового контрагента (при его наличии).

В платежной системе может быть несколько расчетных центров.

Оператором услуг платежной инфраструктуры может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк.

Возможность совмещения видов деятельности операторов услуг платежной инфраструктуры зависит от того, является ли оператор кредитной организацией. Кредитная организация вправе совмещать оказание операционных услуг, услуг платежного клиринга и расчетных услуг. Такое право есть также у Банка России и Внешэкономбанка. Если же оператор не является кредитной организацией, то он вправе совмещать только оказание операционных услуг и услуг платежного клиринга. Это связано с тем, что расчетный центр осуществляет банковскую операцию по списанию и зачислению денежных средств по банковским счетам участников платежной системы, а таким правом обладают лишь кредитные организации, а также Банк России и Внешэкономбанк в силу закона.

Статус кредитной организации позволяет также совмещать деятельность оператора услуг платежной инфраструктуры с деятельностью оператора по переводу денежных средств, оператора платежной системы. Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора платежной системы.

Правовой основой для взаимодействия между операторами услуг платежной инфраструктуры и другими участниками платежной системы являются нормы законодательных актов и договоры. Так, Банк России осуществляет деятельность оператора услуг платежной инфраструктуры на основании Закона о национальной платежной системе в соответствии с нормативными актами Банка России и заключаемыми договорами. Все остальные операторы услуг платежной инфраструктуры осуществляют свою деятельность в соответствии с правилами конкретной платежной системы и договорами, заключаемыми с участниками платежной системы и другими операторами услуг платежной инфраструктуры.

Таким образом, очевидно, что возможность совмещения деятельности различных видов операторов услуг платежной инфраструктуры между собой, а также с другими видами деятельности в национальной платежной системе зависит от первоначального статуса субъекта. Так, например, кредитная организация вправе осуществлять функции и оператора платежной системы, и оператора по переводу денежных средств, и любого оператора услуг платежной инфраструктуры. Организация, не являющаяся кредитной, ограничена в праве совмещения. Иными словами, организация, играющая ведущую роль в национальной платежной системе, занимает более значимое место и в ее инфраструктуре. Нельзя также не упомянуть в этой связи Банк России, который выполняет инфраструктурные функции, будучи расчетным центром в платежной системе Банка России, но при этом является ее оператором, а также оператором по переводу денежных средств.

В инфраструктуре национальной платежной системы имеются организации, которые не совмещают инфраструктурные функции с иными функциями. К ним относятся операционные центры, деятельность которых направлена исключительно на обеспечение участникам платежных систем и их клиентам доступа к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также возможности обмена электронными сообщениями. Эти организации никаких иных функций в национальной платежной системе не выполняют.

Требования к операторам услуг платежной инфраструктуры устанавливаются конкретной платежной системой и касаются финансового состояния, технологического обеспечения оператора и других факторов, которые могут влиять на бесперебойность функционирования платежной системы.

В целях защиты экономической безопасности и суверенитета Российской Федерации при осуществлении перевода денежных средств в рамках платежной системы операторами по переводу денежных средств, находящимися на территории Российской Федерации, должны привлекаться операторы услуг платежной инфраструктуры, которые находятся и осуществляют все функции на территории Российской Федерации.

Операторы услуг платежной инфраструктуры не вправе в одностороннем порядке приостанавливать (прекращать) оказание услуг платежной инфраструктуры участникам платежной системы и их клиентам.

Глава 2. Банк России в национальной платежной системе Российской Федерации

  • Блог компании КРОК

    • Возможно, вы уже слышали про национальную платёжную систему . Изначально планировалось, что эта штука станет альтернативой международным платёжным системам. В частности, в 1998 году Виза и Мастеркард прекратили делать переводы по своим картам из-за кризиса – а их, между прочим, 85% рынка банковского пластика.

    Но в самом законе акцент в итоге сделали на выводе из тени электронных платежей , которые раньше никак не контролировались, и собственно предоставлении регуляторам возможности контролировать действия банков в области безналичных денежных переводов. Сейчас речь снова зашла о полноценном создании национальной платежной системы, поэтому есть смысл ждать скорых поправок относительно блокировки передачи данных в США и других соответствующих требований.

    Чтобы участвовать во всём этом, нужно проделать реально сложную работу с IT и ИБ, причём выполнить и проверить её может только организация с соответствующей лицензией. У нас такая лицензия есть, поэтому ниже я коротко обозначу основные проблемы в такого рода работах, с которыми мы уже столкнулись.

    Что такое НПС?

    НПС – это совокупность лиц, которые участвуют в денежных переводах. Основная цель закона – унификация подходов по осуществлению безналичных денежных переводов.

    Благодаря принятию этого закона наши властные структуры планируют контроль за любыми безналичными денежными переводами.

    Что это значит?

    Национальная платежная систем – это совокупность:
    • операторов по переводу денежных средств
    • банковских платежных агентов/субагентов
    • платежных агентов
    • организаций Почты России
    • операторов платежных систем
    • операторов услуг платежной инфраструктуры
    Фактически, раньше деньги могли появляться из ниоткуда и исчезать в никуда. Это рождало довольно много ситуаций мошенничества, которые надо было разбирать вручную. Поэтому основная цель закона – это вывод из тени нелегальных денежных переводов.

    Как это касается лично вас?

    Теперь, чтобы проводить операции в новой схеме, нужно соответствовать разного рода требованиям. Причём чем больше вы хотите прав - тем более строгие применяются требования. Внедряются не просто технические средства, но и процессы, которые всё контролируют.
    И тут, как вы догадываетесь, наступает драма - немало кто выполняет финансовые операции, которые требуют ряда мер защиты, без таковых . Речь как про IT (в большей степени), так и про бизнес-процессы в целом. Нужно быстро поставить программно-аппаратные комплексы, защитить данные и сделать кучу всего ещё. И тут нужен кто-то, кто может это сделать. Но про это чуть позже, сначала давайте разберёмся немного в сути вопроса.

    Как регулируется?

    Сейчас деятельность финансовых организаций в области ИБ регулируется следующими основными документами:

    • Серией стандартов 27 (как ИСО так и ГОСТ Р). Сейчас они рекомендательные, но по ПП822 может быть принято решение об обязательном соблюдении их требований.
    • Стандарты Центробанка России. Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с ним же при присоединении к стандарту по добровольному решению организации, они становятся обязательными.
    • Cтандарты международных платежных систем - PCI DSS. Теоретически возможны штрафы за несоблюдение (пока случаев в России нет), но зато бывают отказы в согласовании проектов. PCI DSS, фактически - конкретные технические требования.
    • Закон «О персональных данных», естественно обязательный для выполнения, санкции по закону предусмотрены, на текущий момент планируется увеличение санкций и расширение состава правонарушений по нарушениям в области обработки/защиты персональных данных со стороны РКН.
    • И последний – это 161 ФЗ «О национальной платежной системе», принятый 27 июня 2011 года, и группа подзаконных нормативных актов, принятых в соответствии с ним – это и Постановление правительства, и документы ЦБ. Является обязательным.

    Правила игры примерно такие:

    Насколько сырые документы?

    Достаточно сырые. К примеру, есть требование об оповещении клиентов при переводе средств. Но ФЗ не говорит о способах оповещения. Банк может установить оповещение по телефону, но тогда непонятно, что делать, если телефон у абонента выключен.

    Или вот более отдалённый пример, показывающий ряд особенностей таких оповещений. Один из банков просто сохранил платную услугу оповещения, второй начал оповещать бесплатно (но вот одноразовый пароль к данным – в платной части этой услуги), третий раздал клиентам терминалы для генерации паролей, но «переместил» их стоимость в другие услуги так, что её теперь сложно найти без подготовки. И, в целом, это только начало. Кто сталкивался, знает, сколько там неясных мест в плане технического и организационного регламента. Документы требуют очень детальной проработки, и это, как мне кажется, дело не одного месяца или даже года.

    Что важно знать, если вы – потенциальный участник НПС

    • Участники НПС обязаны защищать информацию
    • Правительство РФ устанавливает требования к защите информации
    • Требования к защите информации и контроль их выполнения также устанавливает Банк России, пока по факту это единственный регулятор
    • Вводится система управления рисками для снижения вероятности перебоев в функционировании ПС.
    • Ключевая цель защиты информации в ПС – обеспечение бесперебойности функционирования ПС
    • В случае хищения денежных средств со счета клиента банк при определенных условиях обязан возместить полную сумму похищенных средств.

    А теперь все будущие проблемы организаций одним списком

    • Появились новые требования к защите информации в НПС от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, распространения и др. На соблюдение конфиденциальности информации, на реализацию права на доступ к информации. Им нужно следовать.
    • Необходимо в принципе иметь службу ИБ.
    • Важно определить порядок доступа к объектам инфраструктуры ПС,
    • Нужно включить в обязанности работников выполнения требований ИБ,
    • Обязательно определить угрозы ИБ и уязвимости,
    • Нужно провести анализ рисков ИБ и начать ими управлять,
    • Нужно постоянно выявлять инциденты ИБ и реагировать на них, и соответственно ежемесячно отчитываться об этом перед ЦБ.
    • Необходимо обеспечить защиту информации при использовании интернета и пр.
    • Необходимо разработать и реализовать систему защиты информации в информационных системах.
    • Организовать и провести мероприятия по контролю и оценке соответствия не реже 1 раза в 2 года и опять же отчитаться об этом перед ЦБ.
    И самое приятное - обязательное применение следующих (всех сразу) средств защиты:
    • СЗИ от НСД
    • Антивирус
    • Межсетевой экран
    • IDS/IPS
    • Средство анализа защищенности

    Что делать, доктор?

    Если говорить в целом – нужно пересматривать много чего в IT и вводить новые меры информационной безопасности. Но есть нюанс.

    А если у меня всё уже есть?

    Как правило, у большинства организаций, которых это касается напрямую и в наиболее хардкорной части (как правило – банков и других крупных финансовых организаций) всё это (или большая часть) уже давно реализовано. Потому что защищать информацию всё-таки надо. Но теперь нужно понять, насколько хорошо всё реализовано, и в каком объеме, то есть получить по результатам проверки соответствующую оценку. И вот здесь на сцене, как правило, появляемся мы.

    Делаются следующие вещи:

    • Оценка соответствия требованиям к защите информации по 161-ФЗ
    • Разработка рекомендаций по приведению СОИБ в соответствие требованиям 161-ФЗ
    • Разработка и совершенствование существующей ОРД по обеспечению ИБ
    • Инвентаризация информационных активов, анализ и описание бизнес-процессов
    • Проведение оценки рисков ИБ
    • Техническое проектирование системы ИБ
    • Внедрение технических средств защиты информации
    • Анализ защищенности информационных систем и тестирование на проникновение
    • Повышение осведомленности по вопросам обеспечения ИБ
    • Выстраивание процессов управления инцидентами.
    Говоря более простым языком, мы проверяем все требования закона и предлагаем наиболее простые пути решения поставленной задачи. Учитывая, что в этом комплексе работ всё довольно сложно и запутанно, часто находятся «лайфхаки», позволяющие избегать крайне дорогостоящих вариантов вроде внедрения принципиально новой системы ИБ с нуля. В качестве примера – тот же доступ к информации определённого характера. Вот, например, разграничение доступа. В одном из случаев самым простым оказалось сделать это на уровне организационных мер, а не IT-инфраструктуры – просто выдавать ключи от кабинета с нужными компьютерами только одному человеку. Соответственно, сразу отпало достаточно сложное требование по защите от несанкционированного доступа. Реально разграничивать доступ (на системном уровне с помощью, например, IDM), конечно, нужно, но это больше не является стоп-фактором для соответствия требованиям ФЗ об НПС уже сейчас.

    Таким образом, оценивая актуальную угрозу информационной безопасности, мы строим модели угроз, в которых прописаны, какие угрозы актуальны и как мы их собираемся закрывать. Это могут быть как технические меры, так и организационные, важно при этом, чтобы соблюдался принцип экономической целесообразности выбора той или иной защитной меры.

    Наша цель при проведении таких

    Закон накладывает определенные ограничения на состав участников платежной системы. Так, согласно проекту закона, участниками платежной системы могут являться следующие организации при условии их присоединения к правилам платежной системы:

    операторы по переводу денежных средств, включая операторов электронных денег;

    • 1. участники финансовых рынков;
    • 2. органы федерального казначейства;
    • 3. организации федеральной почтовой связи.

    Правилами платежной системы может быть предусмотрено прямое, косвенное и иное участие в платежной системе. Заметим, что если прямая и косвенная формы участия внесены в закон в соответствии с международной практикой, то упоминание про «иные формы участия» соответствует российской практике, где в системе валовых расчетов в режиме реального времени Банка России (системе БЭСП) предусмотрено наличие прямых, ассоциированных и особых участников.

    Прямыми участниками платежной системы в соответствии с законом, могут являться только операторы по переводу денежных средств, участники финансовых рынков и органы федерального казначейства. Прямое участие в платежной системе требует открытия банковского счета организации, становящейся прямым участником, в расчетном центре.

    Косвенное участие в платежной системе требует открытия банковского счета косвенному участнику прямым участником платежной системы, являющимся оператором по переводу денежных средств.

    Отношения между прямыми и косвенными участниками платежной системы регулируются правилами платежной системы и заключенными договорами банковского счета.

    Оператор по переводу денежных средств - организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств. Закон предусматривает, что функции оператора по переводу денежных средств могут выполнять только следующие организации:

    • 1. Банк России осуществляет деятельность оператора по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О Центральном банке Российской Федерации (Банке России)» и иными актами законодательства Российской Федерации о национальной платежной системе.
    • 2. Кредитные организации осуществляют деятельность операторов по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О банках и банковской деятельности» и иными актами законодательства Российской Федерации о национальной платежной системе.
    • 3. Внешэкономбанк осуществляет деятельность оператора по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О банке развития» и иными актами законодательства Российской Федерации о национальной платежной системе.

    Оператор платежной системы - организация, определяющая правила платежной системы. Согласно проекту закона, оператором платежной системы может являться:

    • - кредитная организация;
    • - Банк России.

    Оператор платежной системы, не являющийся кредитной организацией, обязан привлечь в качестве расчетного центра кредитную организацию, которая не менее трех лет осуществляет перевод денежных средств по открытым в этой кредитной организации банковским счетам, а также счетам не менее трех других кредитных организаций.

    Операторы услуг платежной инфраструктуры - операционный центр, клиринговый центр и расчетный центр. Оператором услуг платежной инфраструктуры может являться:

    • - кредитная организация;
    • - организация, не являющаяся кредитной организацией;
    • - Банк России.

    Оператор услуг платежной инфраструктуры, являющийся кредитной организацией или Банком России, может совмещать оказание операционных, клиринговых и расчетных услуг, в том числе в рамках одной организации. Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией или Банком России, может совмещать оказание операционных и клиринговых услуг, в том числе в рамках одной организации.

    1. Участниками платежной системы могут стать следующие организации при условии их присоединения к правилам платежной системы в порядке, установленном правилами платежной системы:

    1) операторы по переводу денежных средств (включая операторов электронных денежных средств);

    2) организаторы торговли, осуществляющие деятельность в соответствии с Федеральным законом от 21 ноября 2011 года N 325-ФЗ "Об организованных торгах", профессиональные участники рынка ценных бумаг, клиринговые организации, а также юридические лица, являющиеся участниками организованных торгов, и (или) участниками клиринга, и (или) центральным контрагентом в соответствии с Федеральным законом от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте";

    3) страховые организации, осуществляющие обязательное страхование гражданской ответственности в соответствии с законодательством Российской Федерации;

    4) органы Федерального казначейства;

    5) организации федеральной почтовой связи.

    2. В случае заключения между операторами платежных систем договора о взаимодействии платежных систем участниками платежной системы могут являться центральный платежный клиринговый контрагент и (или) расчетный центр другой платежной системы, действующие по поручению оператора такой платежной системы.

    3. Участниками платежной системы могут являться международные финансовые организации, иностранные центральные (национальные) банки, иностранные банки.

    4. Правилами платежной системы должно быть предусмотрено прямое участие в платежной системе и может быть предусмотрено косвенное участие в платежной системе.

    5. Правилами платежной системы могут быть предусмотрены различные виды прямого и косвенного участия в платежной системе.

    6. Прямое участие в платежной системе требует открытия в расчетном центре банковского счета организации, становящейся прямым участником, в целях осуществления расчета с другими участниками платежной системы.

    7. Прямыми участниками платежной системы могут являться только операторы по переводу денежных средств, включая операторов электронных денежных средств, организаторы торговли, осуществляющие деятельность в соответствии с Федеральным законом от 21 ноября 2011 года N 325-ФЗ "Об организованных торгах", профессиональные участники рынка ценных бумаг, клиринговые организации, юридические лица, являющиеся участниками организованных торгов, и (или) участниками клиринга, и (или) центральным контрагентом в соответствии с Федеральным законом от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте" (при осуществлении ими переводов денежных средств по сделкам, совершенным на организованных торгах), страховые организации, осуществляющие обязательное страхование гражданской ответственности в соответствии с законодательством Российской Федерации (при осуществлении ими расчетов по обязательным видам страхования гражданской ответственности, предусмотренным законодательством Российской Федерации), международные финансовые организации, иностранные центральные (национальные) банки, иностранные банки (иностранные кредитные организации) и органы Федерального казначейства.

    (см. текст в предыдущей редакции)

    8. Косвенное участие в платежной системе требует открытия банковского счета косвенному участнику - организации, предусмотренной частью 1 настоящей статьи, прямым участником платежной системы, являющимся оператором по переводу денежных средств, в целях осуществления расчета с другими участниками платежной системы.

    9. Отношения между прямыми и косвенными участниками платежной системы регулируются правилами платежной системы и заключенными договорами банковского счета.

    10. Для каждого вида участия в платежной системе правилами такой платежной системы устанавливаются отдельные критерии участия, которые должны включать доступные для публичного ознакомления требования, обеспечивающие равноправный доступ участников платежной системы одного вида в платежную систему. Указанные требования могут касаться финансового состояния, технологического обеспечения и других факторов, влияющих на бесперебойность функционирования платежной системы.