01.03.2016

Уральский форум: изменения 382-П в краткосрочной перспективе

Рассмотрев в предыдущей заметке, что ждет 382-П в долгосрочной перспективе, посмотрим на то, что обещает ЦБ сделать в самом скором времени. Речь идет о двух крупных (помимо разной мелочевки) поправках:
  • установлении правил организации работ и оценки соответствия автоматизированных банковских систем и приложений, применяемых в национальной платежной системе 
  • формировании правовой основы для применения средств, обеспечивающих разделение контуров подготовки и подтверждения поручений на осуществление перевода денежных средств.
С оценкой соответствия на сегодняшний день самая непонятная тема. На форуме про нее ничего конкретного не сказали, за исключением некоторых моментов. Во-первых, Банк России не хочет делать обязательную сертификацию АБС и платежных приложений. Это последнее, на что ЦБ пойдет. Во-вторых, делаться это будет в рамках законодательства о техническом регулировании, а не через саморегулируемые организации (этот вариант, наряду с техрегулированием, озвучивали в прошлом году). В-третьих, речь идет не о классической оценке соответствия ПО, а контроле процесса соблюдения жизненного цикла банковского ПО. Но пока непонятно как это будет происходить. Все-таки ЦБ не имеет полномочий над разработчиками софта и это является основным камнем преткновения в данном вопросе. Наверное, поэтому вступление в силу данной части нового 382-П запланировано по истечении 360 дней с момента опубликована нормативного акта, который сам должен быть введен в действие в первой половине 2016-года.

С разделением контуров ситуация немного иная - там все проще. Требование разделения контуров подготовки и подтверждения поручений на осуществление перевода денежных средств применяется "при осуществлении переводов денежных средств с использованием сети «Интернет» и (или) размещении клиентских компонентов на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода".

Разделение реализуется путем внедрения следующих защитных мер:

  • идентификация и аутентификация клиента при подготовке и при подтверждении электронных сообщений
  • возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений
  • возможность контроля клиентом реквизитов распоряжений (пакета распоряжений) на осуществление переводов денежных средств при подготовке электронных сообщений и их подтверждении
  • реализация оператором по переводу денежных средств аутентификации и контроля достоверности (сверки) реквизитов распоряжений (пакета распоряжений) на осуществление переводов денежных средств входных электронных сообщений, полученных от клиента, на основе аутентификационных данных, сформированных с использованием реквизитов распоряжений (пакета распоряжений) на осуществление переводов денежных средств при подготовке клиентом электронных сообщений и подтверждении клиентом электронных сообщений
  • удостоверение оператором по переводу денежных средств распоряжения клиента только в случае положительных результатов аутентификации и контроля достоверности (сверки) реквизитов распоряжений (пакета распоряжений) на осуществление переводов денежных средств входных электронных сообщений.
Понятно, что при очевидной простоте этих требований, реализовать их будет небыстро и недешево. Поэтому операторам по переводу денежных средств дается на их внедрение 720 дней с момента опубликования нового 382-П.

Очевидно, что требование разделения контуров реализовать можно не везде. Например, на мобильном устройстве врядли можно ожидать использования независимых программных клиентов для подготовки платежки и для ее подтверждения - это просто неудобно. Поэтому в новом 382-П будет предусмотрена и альтернатива, уже знакомая по текущей редакции:

  • ограничение максимальной суммы перевода денежных средств за одну операцию и (или) за определенных период времени
  • определение перечня возможных получателей денежных средств
  • определение временного периода, в который могут быть совершены переводы денежных средств
  • определение географического местоположения устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений
  • определение перечня устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений, на основе идентификаторов указанных устройств
  • определение перечня предоставляемых услуг, связанных с осуществлением переводов денежных средств.