Национальная платёжная система: что это значит для вас, и когда конкретно паниковать

    Возможно, вы уже слышали про национальную платёжную систему. Изначально планировалось, что эта штука станет альтернативой международным платёжным системам. В частности, в 1998 году Виза и Мастеркард прекратили делать переводы по своим картам из-за кризиса – а их, между прочим, 85% рынка банковского пластика.

    Но в самом законе акцент в итоге сделали на выводе из тени электронных платежей, которые раньше никак не контролировались, и собственно предоставлении регуляторам возможности контролировать действия банков в области безналичных денежных переводов. Сейчас речь снова зашла о полноценном создании национальной платежной системы, поэтому есть смысл ждать скорых поправок относительно блокировки передачи данных в США и других соответствующих требований.

    Чтобы участвовать во всём этом, нужно проделать реально сложную работу с IT и ИБ, причём выполнить и проверить её может только организация с соответствующей лицензией. У нас такая лицензия есть, поэтому ниже я коротко обозначу основные проблемы в такого рода работах, с которыми мы уже столкнулись.

    Что такое НПС?


    НПС – это совокупность лиц, которые участвуют в денежных переводах. Основная цель закона – унификация подходов по осуществлению безналичных денежных переводов.

    Благодаря принятию этого закона наши властные структуры планируют контроль за любыми безналичными денежными переводами.

    Что это значит?


    Национальная платежная систем – это совокупность:
    • операторов по переводу денежных средств
    • банковских платежных агентов/субагентов
    • платежных агентов
    • организаций Почты России
    • операторов платежных систем
    • операторов услуг платежной инфраструктуры

    Фактически, раньше деньги могли появляться из ниоткуда и исчезать в никуда. Это рождало довольно много ситуаций мошенничества, которые надо было разбирать вручную. Поэтому основная цель закона – это вывод из тени нелегальных денежных переводов.

    Как это касается лично вас?


    Теперь, чтобы проводить операции в новой схеме, нужно соответствовать разного рода требованиям. Причём чем больше вы хотите прав — тем более строгие применяются требования. Внедряются не просто технические средства, но и процессы, которые всё контролируют.
    И тут, как вы догадываетесь, наступает драма — немало кто выполняет финансовые операции, которые требуют ряда мер защиты, без таковых. Речь как про IT (в большей степени), так и про бизнес-процессы в целом. Нужно быстро поставить программно-аппаратные комплексы, защитить данные и сделать кучу всего ещё. И тут нужен кто-то, кто может это сделать. Но про это чуть позже, сначала давайте разберёмся немного в сути вопроса.

    Как регулируется?


    image
    Сейчас деятельность финансовых организаций в области ИБ регулируется следующими основными документами:
    • Серией стандартов 27 (как ИСО так и ГОСТ Р). Сейчас они рекомендательные, но по ПП822 может быть принято решение об обязательном соблюдении их требований.
    • Стандарты Центробанка России. Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с ним же при присоединении к стандарту по добровольному решению организации, они становятся обязательными.
    • Cтандарты международных платежных систем — PCI DSS. Теоретически возможны штрафы за несоблюдение (пока случаев в России нет), но зато бывают отказы в согласовании проектов. PCI DSS, фактически — конкретные технические требования.
    • Закон «О персональных данных», естественно обязательный для выполнения, санкции по закону предусмотрены, на текущий момент планируется увеличение санкций и расширение состава правонарушений по нарушениям в области обработки/защиты персональных данных со стороны РКН.
    • И последний – это 161 ФЗ «О национальной платежной системе», принятый 27 июня 2011 года, и группа подзаконных нормативных актов, принятых в соответствии с ним – это и Постановление правительства, и документы ЦБ. Является обязательным.


    Правила игры примерно такие:

    image

    image

    Насколько сырые документы?


    Достаточно сырые. К примеру, есть требование об оповещении клиентов при переводе средств. Но ФЗ не говорит о способах оповещения. Банк может установить оповещение по телефону, но тогда непонятно, что делать, если телефон у абонента выключен.

    Или вот более отдалённый пример, показывающий ряд особенностей таких оповещений. Один из банков просто сохранил платную услугу оповещения, второй начал оповещать бесплатно (но вот одноразовый пароль к данным – в платной части этой услуги), третий раздал клиентам терминалы для генерации паролей, но «переместил» их стоимость в другие услуги так, что её теперь сложно найти без подготовки. И, в целом, это только начало. Кто сталкивался, знает, сколько там неясных мест в плане технического и организационного регламента. Документы требуют очень детальной проработки, и это, как мне кажется, дело не одного месяца или даже года.

    Что важно знать, если вы – потенциальный участник НПС


    • Участники НПС обязаны защищать информацию
    • Правительство РФ устанавливает требования к защите информации
    • Требования к защите информации и контроль их выполнения также устанавливает Банк России, пока по факту это единственный регулятор
    • Вводится система управления рисками для снижения вероятности перебоев в функционировании ПС.
    • Ключевая цель защиты информации в ПС – обеспечение бесперебойности функционирования ПС
    • В случае хищения денежных средств со счета клиента банк при определенных условиях обязан возместить полную сумму похищенных средств.


    А теперь все будущие проблемы организаций одним списком


    • Появились новые требования к защите информации в НПС от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, распространения и др. На соблюдение конфиденциальности информации, на реализацию права на доступ к информации. Им нужно следовать.
    • Необходимо в принципе иметь службу ИБ.
    • Важно определить порядок доступа к объектам инфраструктуры ПС,
    • Нужно включить в обязанности работников выполнения требований ИБ,
    • Обязательно определить угрозы ИБ и уязвимости,
    • Нужно провести анализ рисков ИБ и начать ими управлять,
    • Нужно постоянно выявлять инциденты ИБ и реагировать на них, и соответственно ежемесячно отчитываться об этом перед ЦБ.
    • Необходимо обеспечить защиту информации при использовании интернета и пр.
    • Необходимо разработать и реализовать систему защиты информации в информационных системах.
    • Организовать и провести мероприятия по контролю и оценке соответствия не реже 1 раза в 2 года и опять же отчитаться об этом перед ЦБ.

    И самое приятное — обязательное применение следующих (всех сразу) средств защиты:
    • СКЗИ
    • СЗИ от НСД
    • Антивирус
    • Межсетевой экран
    • IDS/IPS
    • Средство анализа защищенности

    Что делать, доктор?


    Если говорить в целом – нужно пересматривать много чего в IT и вводить новые меры информационной безопасности. Но есть нюанс.

    А если у меня всё уже есть?


    Как правило, у большинства организаций, которых это касается напрямую и в наиболее хардкорной части (как правило – банков и других крупных финансовых организаций) всё это (или большая часть) уже давно реализовано. Потому что защищать информацию всё-таки надо. Но теперь нужно понять, насколько хорошо всё реализовано, и в каком объеме, то есть получить по результатам проверки соответствующую оценку. И вот здесь на сцене, как правило, появляемся мы.

    Делаются следующие вещи:
    • Оценка соответствия требованиям к защите информации по 161-ФЗ
    • Разработка рекомендаций по приведению СОИБ в соответствие требованиям 161-ФЗ
    • Разработка и совершенствование существующей ОРД по обеспечению ИБ
    • Инвентаризация информационных активов, анализ и описание бизнес-процессов
    • Проведение оценки рисков ИБ
    • Техническое проектирование системы ИБ
    • Внедрение технических средств защиты информации
    • Анализ защищенности информационных систем и тестирование на проникновение
    • Повышение осведомленности по вопросам обеспечения ИБ
    • Выстраивание процессов управления инцидентами.

    Говоря более простым языком, мы проверяем все требования закона и предлагаем наиболее простые пути решения поставленной задачи. Учитывая, что в этом комплексе работ всё довольно сложно и запутанно, часто находятся «лайфхаки», позволяющие избегать крайне дорогостоящих вариантов вроде внедрения принципиально новой системы ИБ с нуля. В качестве примера – тот же доступ к информации определённого характера. Вот, например, разграничение доступа. В одном из случаев самым простым оказалось сделать это на уровне организационных мер, а не IT-инфраструктуры – просто выдавать ключи от кабинета с нужными компьютерами только одному человеку. Соответственно, сразу отпало достаточно сложное требование по защите от несанкционированного доступа. Реально разграничивать доступ (на системном уровне с помощью, например, IDM), конечно, нужно, но это больше не является стоп-фактором для соответствия требованиям ФЗ об НПС уже сейчас.

    Таким образом, оценивая актуальную угрозу информационной безопасности, мы строим модели угроз, в которых прописаны, какие угрозы актуальны и как мы их собираемся закрывать. Это могут быть как технические меры, так и организационные, важно при этом, чтобы соблюдался принцип экономической целесообразности выбора той или иной защитной меры.

    Наша цель при проведении таких работ – не поймать кого-то на лжи и каких-то подтасовках, а помочь сделать процессы действительно лучше, и если к вам придет Центробанк, чтобы не было штрафных санкций.

    Некоторые просто говорят «Сделайте нам всё для оценки на 0,7» — и мы помогаем.

    Также составляется список необязательных, но разумных (экономически-обоснованных) мер, которые помогают улучшить ситуацию с ИБ в целом. Соответственно, получается две части: как максимально быстро и дешево прийти к соответствию и что в целом нужно сделать для обеспечения ИБ.

    Если что-то объяснил путанно и есть вопросы или вам просто нужна помощь, спрашивайте в комментариях или по почте plutsik@croc.ru.
    КРОК
    143,00
    №1 по ИТ-услугам в России
    Поделиться публикацией

    Комментарии 29

      +1
      Вы могли бы провести параллели с Visa/Mastercard? Понятно, что у нас нету их процессингового центра, но все остальные компоненты платёжной системы должны присутствовать.
        +4
        Основные понятия и принципы регулирования отечественных платежных систем схожи с международными, в том числе с Visa/Mastercard. Но помимо международного регулирования платежных систем (PCI DSS) новый закон (161-ФЗ) ввел и новые отечественные требования. На текущий момент на сайте ЦБ РФ зарегистрировано 29 операторов платежных систем (http://www.cbr.ru/today/?PrtId=rops), среди которых в том числе есть и Visa и Mastercard. Соответственно на них также распространяются все требования 161-ФЗ «О национальной платежной системе» и подзаконных актов, о которых речь идет в статье. Однако в виду последних всем известных событий Visa/Mastercard могут потерять свои позиции в России, и связано это с новой инициативой, которая может запретить отправлять информацию о платежах за границу. Таким образом Visa/Mastercard могут лишиться большого куска бизнеса в России, либо им придется создавать/арендовать на территории России дорогостоящие процессинговые центры. В качестве альтернативы Visa/Mastercard для проведения платежных операций на территории России может стать платежная система ПРО100, изначально создаваемая под проект УЭК.
          +5
          Перестаньте путать процессинг и свитч!
          Причем тут процессинг под PRO100 и свитчинг операций!
          ОРС отлично свичует операции по Visa/Mastercard/CUP!
          И поверьте Visa/Mastercard обладают ресурсами что бы сделать аналоги ОРС-у каждом городе России с населением более миллиона.
          Проблема в том что PRO100 делалась под конкретный банк и людей! И что самое ужасное что и 161-ФЗ тоже этим грешит.
            0
            а ПРО100 разве не реинкарнация Сберкарты?
          +2
          А причем тут Visa/Mastercard?
          Для обеспечения настоящей независимости даже в рамках Visa/Mastercard не нужен процессинг и не нужен ни какой PRO100. А нужно всего 3 закоан:
          — Закон о национальных свичах
          — Закон об установке максимальных ставок за domestic interchange
          — Закон о представительствах международных платежных систем на территории РФ.
            +8
            Как это всё касается
            — фрилансеров?
            — paypal?
            — использования личных долларовых карт VISA (например, сбербанка)?
            — личных валютных счетов в российских банках?
            — использования карт российских банков за границей РФ?
              +3
              Главное для вас — клиент не может перевести с использованием неперсонифицированного средства платежа сумму, превышаю 15 тыс. руб. Общая сумма переводимых средств не может превышать 40 тысяч рублей в течение календарного месяца.

              Если по счету клиента банка прошла операция, а он ее на самом деле не проводил, то он должен не позднее следующего дня после дня проведения операции оповестить об этом банк и затем клиент вправе требовать с Банка возвращения всей списанной со счета суммы. И согласно 161-ФЗ Банк обязан возместить все списанные средства. При этом опять же согласно 161-ФЗ Банк обязан оповещать клиента о всех выполненных им платежных операциях. Насколько оперативно и в каком виде банком должно осуществляться это оповещение в законе не прописано, что вызывает в настоящее время большое количество дискуссий.

              Еще одна важная особенность 161-ФЗ — необходимость обеспечения всеми участниками НПС отказоустойчивости платежной системы. Грубо говоря если бабушка хочет перевести свою пенсию на счет внуку, то она имеет право сделать это в любое время суток без задержки, а участники НПС соответственно должны обеспечить ей эту возможность. Детали того как это должно быть реализовано в самом законе не прописано. Но в случае подобных нарушений ЦБ имеет право наложить на провинившегося участника НПС определенные санкции, вплоть до приостановления операционной деятельности банка или исключения оператора платежной системы из реестра. Так, оператор платежной системы Migom за нарушения требований 161-ФЗ был исключен ЦБ из реестра операторов платежных систем.

              Еще один момент, который будет интересно знать рядовому гражданину: если раньше он мог проводить платежи без участия банка, например класть деньги на номер своего телефона, то сейчас согласно 161-ФЗ все подобные и другие электронные платежи проходят только с участием Банков. Это в первую очередь сделано для того, чтобы, вывести теневые электронные операции из тени и защититься от отмывания денег, полученных преступным путем.

              В целом, самая важная проблема для организаций сейчас — это обеспечение ИБ НПС. Если вы являетесь сотрудником одной из компаний, которых это касается, вас ждут изменения как в ПО/ПАК, так и в организационных мерах. Возможно, специалисты по ИБ на следующий год станут более востребованными. Чуть больше деталей мы постарались собрать вот на этой странице: www.croc.ru/promo/nps/index.php?sphrase_id=138316
                0
                То есть пора заводить траст на BVI с анонимной карточкой если тебе нужно больше чем 40к рублей в месяц за границей?
              0
              Так когда паниковать?

              Если ты не администратор банка, а просто иногда расплачиваешься с фрилансерами в интернете или делаешь покупки в Китае?
                0
                Постарался ответить чуть выше — в т.ч. по ссылке есть срочные вещи, которые прямо касаются участников НПС.
                –6
                Под «вас» понимаются компании?

                Вы ошиблись дверью, это сообщество людей, а не компаний.
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    Совершенно согласен. Наверное, важно добавить, что сейчас уже выдвигаются первые инициативы по внесению изменений в законодательство об НПС, в том числе предусматривающие запрет размещения операционных центров (процессинговых центров) платежных систем за пределами РФ.
                      0
                      А как можно будет фрилансерам и просто свободолюбивым людям обходить ограничения на анонимные платежи и гонять финансовые потоки мимо нашего любимого государства?
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          И не забудьте сообщить в ФНС об открытии счёта за рубежом.
                          Административный штраф в размере 100%, а если сумма большая, то до УК.
                      –1
                      А с точки зрения конечного клиента просто иметь две карты, разных ПС привязанных к одному счету, например. И тут даже выбор есть: если у меня внутрироссийская операция, и дешевле, проще, быстрее перевести с карты на карту через нац.ПС, то я подсовываю одну карту, если мне надо PayPal, или я зарубежом, то пользуюсь соответственно какой-нить Visa Gold, MC Platinum

                      С точки зрения конечно клиента нифига не просто иметь две карты разных платежных систем, еще и привязаных к одному счету — комиссии банков еще никто не отменял, да и зачем кому-то две карты просто так? К тому же платят ЗП обычно на какую-то одну.

                      И еще, что касается MC vs Visa — конечному клиенту, в нашей стране абсолютно фиолетово Visa у него или MC. А вот когда всех обяжут использовать что-то третье, то тут уже будет боль — ибо здесь принимается, там не принимается, не забудь перевести деньги при выезде зарубеж и т.п.

                      Я абсолютно «за» дополнительные законы, которые застрахуют граждан от того, что карточка в один прекрасный момент станет пластиком, но эти законы должны быть направлены на регуляцию работы систем их обслуживающих, а не на ухудшение жизни граждан в ключе «вам же лучше будет!»
                        0
                        прочитайте внимательно: Обе карты привязаны к одному счёту. Поэтому переводить ничего не надо.
                        ЗП перечисляется на счёт работника, а не на абстрактную «карту».
                          0
                          Конечно, всего лишь надо больше пластика с собой таскать!
                            0
                            Если вы в России, то российская карта однозначно будет дешевле.
                            Таким образом, в России таскаете российскую.
                            При поездке за рубеж берёте Визу.
                            В любом случае у Вас всегда одна карта на руках.

                            Неудобства могут испытывать только бортпроводники и лётчики,
                            которые часто пересекают границу и покупают местные товары.
                      +2
                      Срочно побежал ставить антивирус на линукс. Или нет. Я задумался о том, что лучше — отсутствие всякого хлама на компьютере или национальная платёжная система. А зачем мне национальная платёжная система, когда меня мастеркард устраивает?
                        0
                        Думаю что о нашем с вами удобстве в данном случае думают в последнюю очередь.
                          0
                          Про удобство расскажите клиентам банка Россия, держателям тех самых карт Visa Gold и Platinum, которые не смогли расплатиться в Ашане за доширак.
                            +3
                            А нефиг деньги держать в российских банках. Заводите себе счёт в любом приличном иностранном банке и горя не знаете. Перевод по swfit'у копейки стоит, перевод самому себе совершенно легален и не вызывает никаких вопросов. О счёте надо налоговую в известность поставить (если резидент РФ), но так — никаких проблем с использованием.
                              0
                              Копейки не копейки, а 30$ то возьмут за транзакцию)
                                0
                                Зато деньги подальше от законов против валютных спекулянтов, раскачивающих лодку, и подальше от всяких санкций.
                        0
                        Седня по зомбоящику сказали что требуется от 2х до 6ти месяцев на реализацию НПС. Она уже готова?
                          0
                          Для 1 апреля даже очень медленно.
                          0
                          Я думал, эта система должна работать в обход ЦБ для создания государственного банка. А не ЦБ, который принадлежит частным лицам, скорее всего в другой стране.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое