14 июня Государственная дума сразу во 2-м и 3-м чтении приняла законопроект № 455931-5
"О национальной платежной системе".
Электронная карта документа доступна
здесь.
Для тех, кто не любит искать, текст документа
здесь.
Помимо этого вкупе с этим документом был принят законопроект о внесении изменений в другие законодательные акты в связи с принятием закона "О национальной платежной системе". Карта документа
здесь.
Возвращаясь к теме. Сам по себе законопроект занимает аж 128 (!) страниц. По сути он вводит понятие национальной платежной системы и просто платежной системы (к которым видимо будут приравнены международные системы VISA, MasterCard и других). Я выделил некоторые наиболее значимые абзацы законопроекта, которые будут нужны в работе специалисту по информационной безопасности:
Статья 2. п.3
Центральный банк Российской Федерации (Банк России) в пределах своих полномочий в случаях, предусмотренных настоящим Федеральным законом и иными федеральными законами, может принимать нормативные акты в целях регулирования отношений в национальной платежной системе.
Т.е главным в национальной платежной системе будет ЦБ (что не удивительно).
Статья 9 пп. 11-16
11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента.
14. В случае, если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи и клиент не направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента.
15. В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица.
16. Положения части 15 настоящей статьи в части обязанности оператора по переводу денежных средств возместить сумму операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления, не применяются в случае совершения операции с использованием клиентом - физическим лицом электронного средства платежа, предусмотренного частью 4 статьи 10 настоящего Федерального закона .
Говоря простым языком, теперь в случае хищения денежных средств со счета клиента банк будет за все в ответе ! Ну коллеги, теперь вам карты в руки, выбивать бюджеты на безопасность станет проще.
Статья 15. пп.4 -5
4. Банк России осуществляет деятельность оператора платежной системы на основании настоящего Федерального закона в соответствии с нормативными актами Банка России и заключаемыми договорами.
5. Оператор платежной системы обязан:
1) определять правила платежной системы, организовывать и осуществлять контроль за их соблюдением участниками платежной системы, операторами услуг платежной инфраструктуры;
Еще одно подтверждение что все правила в национальной платежной системе будет определять ЦБ
Статья 20 п. 1
1. Правилами платежной системы должны определяться:
...
19) требования к защите информации;
....
Ага, значит к правилам относятся и вопросы защиты информации, что также было ожидаемо.
Статья 26. Обеспечение банковской тайны в платежной системе
Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры и банковские платежные агенты (субагенты) обязаны гарантировать банковскую тайну в соответствии с законодательством Российской Федерации о банках и банковской деятельности.
Тут, что называется ноу комментс, все понятно.
Статья 27. Обеспечение защиты информации в платежной системе1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации.
2. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией.3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи.
Вот эта самая интересная и противоречивая статья. Во-первых порадовало "Операторы по переводу денежных средств, банковские платежные агенты....обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности...." защищать информацию и методах защиты - это конечно же самое важное !
Во-вторых смутила фраза "Контроль и надзор за выполнением требований... осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации". Так все-таки ФСТЭК и ФСБ будут осуществлять контроль и надзор за выполнением требований по защите информации ? Либо я что-то не понял, либо здесь какая-то мешанина из регуляторов.
Ну и части надзора со стороны ЦБ:
Статья 32. Осуществление надзора в национальной платежной системе
1. При осуществлении надзора в национальной платежной системе Банк России:
1) анализирует документы и информацию (в том числе данные отчетности), которые касаются деятельности поднадзорных организаций и участников платежных систем, а также организации и функционирования платежных систем;
2) проводит инспекционные проверки поднадзорных организаций в соответствии со статьей 33 настоящего Федерального закона;
3) осуществляет действия и применяет меры принуждения в соответствии со статьей 34 настоящего Федерального закона в случае нарушения поднадзорными организациями требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России.
2. Банк России определяет формы и сроки предоставления отчетности, в том числе в виде отчетности поднадзорной организации и сводной отчетности по платежной системе, методику составления указанной отчетности.
3. При осуществлении надзора в национальной платежной системе Банк России вправе запрашивать и получать от поднадзорных организаций и участников платежной системы документы и иную необходимую информацию, в том числе содержащую персональные данные.
4. Порядок осуществления надзора в национальной платежной системе определяется в соответствии с нормативными актами Банка России.
Статья 33. Порядок проведения инспекционных проверок поднадзорных организаций
1. Банк России проводит плановые инспекционные проверки поднадзорных организаций не чаще одного раза в два года в соответствии с утвержденным Банком России планом проверок.
2. При нарушении бесперебойности функционирования значимой платежной системы Банк России проводит внеплановые инспекционные проверки.