Последняя дискуссия в АИСе показала, что многие коллеги из банков и других, как теперь принято говорить, участников Национальной платежной системы 
еще не ознакомились с новой нормативкой. Пару недель назад, пока сам анализировал новые документы, подготовил презентацию из разряда [почитатьk. Ее нельзя назвать краткой и простой, но уверен, что многим она окажется полезной.
Несколько замечаний по ходу:
- Электронные деньги, это в первую очередь деньги
- При анализе документов нужно помнить, что [национальная платежная системаk и [платежная системаk – разные вещи
- Согласно 161-ФЗ требования по защите информации устанавливает ЦБ и согласует их с ФСБ и ФСТЭК. В настоящий момент 382-П хоть и зарегистрирован в Минюсте, но формально не согласован с регуляторами.
- В настоящий момент существует только одна платежная система Платежная система Банка России, поэтому ст.27 161-ФЗ и все подзаконные акты по защите информации, распространяются только на нее. Других платежных систем нет, поэтому формально новых субъектов регулирования (мобильных операторов, Яндекс.Деньги/ Webmoney и т.п.) подзаконные акты по защите информации не касаются. Коллизия?
- Требования по защите информации предъявлены не для всей НПС
- Согласно 380-П “О порядке осуществления наблюдения в национальной платежной системе” ничто не мешает ЦБ запрашивать информацию по защите у всех участников НПС
- Дополнительно в перечень документов ЦБ по ИБ включил 379-П [О бесперебойности и анализе рисковk, который, на мой взгляд, должен быть изучен безопасниками
- И в N 584-ПП и в документах ЦБ речь идет об анализе рисков, а не об оценке рисков
- Инциденты, о которых нужно докладывать в ЦБ по 2831-У так или иначе связаны с перебоями в предоставлении услуг по переводу денежных средств
