вторник, 3 июля 2012 г.

Белое пятно в документах по НПС

Блогосфера бурлит обсуждением новой законодательной базы, касающейся вопросов обеспечения безопасности в национальной платежной системе. Уже даже появляются учебные курсы, в которых чуть ли не опытом по теме готовы делиться. Тема пожалуй и хорошая, но как-то я таким скороспелым пирожкам не привык доверять. 

У меня, кстати, при анализе документов возникли некоторые пока не решенные вопросы. Вот, например, никого не смущает, что ни в проектах документов ЦБ ни в их финальной редакции для п.109 требований положения 382-П, по которым должна быть проведена оценка, не указана категория проверки ? Это просто чей-то косяк или уважаемые эксперты из ЦБ сами не знают пока как это оценивать ? И как интересно определять финальную оценку ? Каждый интегратор сам будет выбирать категорию для этого пункта ? 

Еще очень порадовал п.125 

"Оператор  по  переводу  денежных  средств, оператор  услуг  платежной  инфраструктуры регламентируют порядок принятия мер, направленных на совершенствование  защиты информации  при  осуществлении  переводов денежных средств, в случаях изменения порядка обеспечения  защиты  информации  при осуществлении переводов денежных средств. "

Переводя на простой русский язык это означает, что оператор должен определить порядок  коррекции защитных мер в случае изменения этих же самих мер.  Круто ? :)

2 комментария:

  1. в СТО БР ИББС уже второй год сумма коэффициентов двух групповых показателей не равна 1. Никого не смущает. Все работают.
    В 109, видимо, 3 тип шкалы + влияние на оценку этого показателя из-за разных шкал можно заметить только в синтетических случаях.

    ОтветитьУдалить
  2. Я, почему-то, считал, что системы переводов для оператора переводов (банка, агента), являются системами, в отношении которых банк не определяет защитные меры. Есть оператор платежной системы, есть установленные им правила платежной системы, включающие и обязательные защитные меры. Вступаешь в систему - выполняй эти правила. Согласен с отчетностью по инцидентам, давно пора, и не только при переводах, а в остальном нагородили многовато. ИМХО для операторов платежных систем это подходит, для остальных вряд ли. Не думаю, что маржа от переводов играет значительную роль, по крайней мере в денежном выражении - копейки, другое дело, как в анекдоте, пришел перевод отправить, заодно кредит взял. И если реализация требований по защите для операторов переводов будет затратна, то мелкие, а то и средние, от них откажутся, хотя возможно этого и добиваются.

    ОтветитьУдалить