27.06.2012

Краткий обзор 380-П и 381-П по надзору НПС

В понедельник и вторник я описал два новых и основных документа по защите информации в НПС - 382-П и 2831-У. В целом же картина нормотворчества в области регулирования вопросов информационной безопасности в НПС выглядит следующим образом:


Про ФЗ-161 я уже как-то писал (тут и тут), про новое Постановление Правительства №584 тоже, как и про 379-П. Что у нас осталось неохваченным? 380-П и 381-П, которые и рассмотрим сейчас.

Положение Банка России от 31 мая 2012 года № 380-П "О порядке осуществления наблюдения в национальной платежной системе" устанавливает общий порядок наблюдения Банком России за деятельностью операторов по переводу денежных средств, операторов платежных систем, операторов услуг платежной инфраструктуры (наблюдаемых организаций), других субъектов национальной платежной системы, за оказываемыми ими услугами, а также за развитием платежных систем, платежной инфраструктуры. В рамках мониторинга Банк России вправе запрашивать у операторов по переводу денежных средств и платежных агентов (субагентов) среди прочего информацию
  • об уровне обеспечения защиты информации при осуществлении переводов денежных средств,
  • об информационно-коммуникационных технологиях, а также электронных носителях и технических устройствах, используемых при предоставлении платежных услуг,
  • а также о попытках (в том числе реализованных) негативного воздействия на предоставляемые услуги, зафиксированных субъектом НПС, в том числе в случаях мошеннических действий и (или) сетевых взломов, сопровождаемых несанкционированным проникновением в операционную (информационную) систему субъекта НПС.
У операционных, платежных клиринговых и расчетных центров ЦБ не может (почему-то) запрашивать информацию об уровне обеспечения защиты информации, но может об уровне бесперебойности оказания операционных услуг и иных услуг платежной инфраструктуры, о попытках (в том числе реализованных) негативного воздействия на предоставляемые услуги, зафиксированных операторами услуг платежной инфраструктуры, в том числе в случаях мошеннических действий и (или) сетевых взломов, сопровождаемых несанкционированным проникновением в операционную (информационную) систему субъекта НПС и о способах снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы. У операторов платежной системы нельзя вообще ничего запрашивать в контексте рисков, безопасности, инцидентов и т.д.

Отдельно 380-П выделяет оценку значимой платежной системы, в рамках которой оценивается деятельность такой платежной системы по ряду показателей, включая и уровень защиты информации при переводе денежных средств. Если в процессе анализа значимых платежных систем находятся недостатки, то ЦБ может выступить с предложением по совершенствованию защиты информации.

Положение Банка России от 9 июня 2012 № 381-П "О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", принятых в соответствие с ним нормативных актов Банка России" устанавливает порядок осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем и операторами услуг платежной инфраструктуры. Такой надзор, процедура которого и описана в 381-П, включает в себя:
  • дистанционный надзор,
  • проведение плановых (1 раз в 2 года) и внеплановых инспекционных проверок,
  • а также применение действий и мер принуждения в случае нарушения поднадзорной организацией требований Федерального закона N 161-ФЗ, принятых в соответствии с ним нормативных актов Банка России.

Нарушения требований Федерального закона N 161-ФЗ, принятых в соответствии с ним нормативных актов Банка России, выявленные при осуществлении надзора и подтвержденные документами и информацией, являются основанием для применения к поднадзорной организации действий и мер принуждения, предусмотренных статьей 34 Федерального закона N 161-ФЗ. К числу таких мер относятся:
  • доведение до нарушителя информации о нарушении
  • направление нарушителю рекомендаций об устранении нарушения
  • направление нарушителю предписание об устранении нарушения
  • ограничение (приостановление) оказания операционных услуг
  • исключение оператора платежной системы из реестра таких операторов
  • привлечение к административной ответственности.