Попал мне в руки законопроект "О национальной платежной системе", о которой говорят много и активно чиновники разных уровней. До 31-го марта законопроект должен быть подготовлен и внесен в ГосДуму. Суть его проста - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы. Ну а по простому - у нас хотят построить свою Visa или MasterCard ;-)
Теперь о процессинге. Из статьи 9: "Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям". Требования PCI DSS отдыхают. И хотя ЦБ не раз заявлял, что их СТО во многом схож с PCI DSS, выполнять придется требования СТО, а не PCI DSS... с прохождением оценки соответствия (скорее всего в ABISS).
С процессингом связан и гораздо более неприятный для всех момент (он так и кочует из версии в версию и менять его пока никто не собирается, хотя попытки есть): процессинговые центры "не вправе передавать информацию, касающуюся переводов денежных средств, осуществляемых на территории Российской Федерации, на территорию иностранных государств или предоставлять доступ к ней с территории иностранных государств". Что это значит для простых граждан? Вы не сможете оплатить имеющейся у вас картой Visa или MasterCard покупку в магазине! Вы не сможете снять зарплату с карты! Вы не сможете перевести деньги через Western Union! И т.п. А все потому, что нередко процессинг (по крайней мере у европейских и азиатских банков, не говоря уже о самой Visa и MasterCard) располагаются за пределами РФ.
Законопроект вводит такие понятия, как расчетный и клиринговый центр. Требования по управлению рисками в них устанавливает также Банк России (пора изучать 242-П, 76-Т, 2194-У и т.п.). К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п. Чтобы стать участником платежной системы надо будет выполнить ряд условий, в т.ч. и требования по ИБ. Все участники "обязаны выполнять требования по оценке и управлению рисками, предусмотренные правилами платежной системы".
Теперь об информационной безопасности. Операторы платежной системы обязаны обеспечить оценку и управление рисками, а также разработать меры обеспечения информационной безопасности в платежной системе и обеспечить контроль их соблюдения. Ключевым регулятором (в текущей редакции законопроекта) является Банк России. Об этом говорит отдельная, 17-я статья: "Информационная безопасность в платежной системе обеспечивается в соответствии с требованиями законодательства Российской Федерации совокупностью технологических и организационных мер, аппаратно-программных и технических средств защиты информации. Оператором платежной системы, участниками платежной системы, операторами услуг платежной инфраструктуры должна проводиться оценка соответствия информационной безопасности в платежной системе требованиям к обеспечению информационной безопасности в порядке, установленном правилами платежной системы. Банк России вправе устанавливать требования к обеспечению и порядок оценки информационной безопасности в значимых платежных системах".
Отдельный раздел законопроекта посвящен национальной платежной карте (аналог Visa или MasterCard). Будет создан аналог Visa в России, который "разрабатывает и принимает стандарты ...обеспечения информационной безопасности, обеспечивает контроль за их соблюдением". Теперь у нас будет свой аналог PCI DSS.
ЗЫ. С момента опубликования ФЗ выделяется 6 месяцев на его вступление в силу. За это время все участники должны будут выполнить требования по ИБ ;-)
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.