SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Федеральный закон № 161-ФЗ «О национальной платежной системе»

Федеральный закон № 161-ФЗ «О национальной платежной системе»
12.05.2021

|  Слушать на Яндекс Музыке  |


Руслан Рахметов, Security Vision


В данной статье мы определим участников национальной платежной системы (далее НПС), поясним ее устройство и цели функционирования, а также рассмотрим предъявляемые федеральным законом требования к организации платежных систем.


Федеральный закон «О национальной платежной системе» впервые был подписан президентом Российской Федерации 27 июня 2011 года. Далее в документ на ежегодной основе вносились различные изменения с целью поддержания его актуальности. В данной статье мы будем рассматривать актуальную редакцию, период действия которой - с 01.01.2021 г. по 30.06.2021 г.


Целью создания и развития НПС является формирование суверенного платежного пространства, обеспечение эффективного и надежного функционирования для удовлетворения текущих и перспективных потребностей национальной экономики в платежных услугах, в том числе для реализации денежно кредитной политики, обеспечения финансовой стабильности, повышения качества, доступности и безопасности платежных услуг.


Согласно последним отчетам Банка России, стратегия развития российского платежного рынка вывела Россию на первое место в мире по темпам роста безналичных платежей, и начиная с 2018 года наша страна входит в пятерку мировых лидеров по их количеству. Не последнюю роль в этом процессе сыграла общая цифровизация всех сфер экономики России и переход на безналичные платежи.


Национальная платежная система (НПС) - совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов услуг информационного обмена, иностранных поставщиков платежных услуг, операторов иностранных платежных систем, поставщиков платежных приложений (субъекты национальной платежной системы).


Ниже мы представим схему взаимодействия всех участников НПС.



231.png


Следует дать пояснение, что, в сущности, абсолютно любой банк в России автоматически является участником НПС, т.к. он подключен к платежной системе Банка России и имеет корреспондентский счет.


Федеральный закон № 161-ФЗ является основным нормативным документом, который регулирует весь российский рынок платежных систем. Яркими примерами таких систем в России на сегодня являются:

  • ПС «Мастеркард», оператором которой является ООО «Мастеркард». При этом расчетным центром является Банк России, а операционным и платежным клиринговым центром – АО «НСПК».

  • ПС «Виза», оператором которой является ООО «Платежная система «Виза». При этом расчетным центром является Банк России, а операционным и платежным клиринговым центром – АО «НСПК».

  • ПС «Мир», оператором которой является АО «НСПК», которая одновременно выполняет функции платежного клирингового и расчетного центров, а расчетным центром является Банк России.

  • ПС «Сбербанк», оператором которой является ПАО «Сбербанк», одновременно выполняющий функции операционного, платежного клирингового и расчетного центров.

  • Международная платежная система денежных переводов «ЮНИСТРИМ», оператором которой является АО КБ «ЮНИСТРИМ», одновременно выполняющий функции операционного, платежного клирингового и расчетного центров. При этом дополнительным расчетным центром данной платежной системы выступает ПАО Банк «ФК Открытие».

  • ПС «Вестерн Юнион», оператором которой является ООО «НКО «Вестерн Юнион ДП Восток», одновременно выполняющий функции операционного, платежного клирингового и расчетного центров. При этом дополнительный расчетным центром данной платежной системы выступает Банк ВТБ (ПАО).

  • ПС «CONTACT», оператором которой является КИВИ Банк (АО), одновременно выполняющий функции операционного, платежного клирингового и расчетного центров. При этом дополнительными расчетными центрами данной платежной системы выступают ПАО Банк «ФК Открытие» и Банк ВТБ (ПАО).


С полным актуальным списком зарегистрированных операторов и их платежных систем на территории России можно ознакомиться на сайте Банка России по ссылке: https://cbr.ru/registries/nps/rops/ . По состоянию на 30.04.21 данный реестр насчитывает более 50 зарегистрированных платежных систем.


В статьях 161-ФЗ детально описывается основная деятельность различных субъектов НПС и требования к ним, а также порядок и особенности оказания платежных услуг. Рассмотрим более детально главу 4, в которой предъявляются требования к организации и функционированию платежных систем. Статья 20 федерального закона № 161-ФЗ описывает требования к правилам создаваемой платежной системы. В частности, в правилах платежной системы должны быть описаны следующие основные моменты:


- порядок взаимодействия между операторами и участниками

- критерии участия, приостановления и прекращения участия в платежной системе

- ответственность за несоблюдение правил платежной системы

- требования к защите информации.


Статья 21 описывает условия для участников платежной системы. Участниками платежной системы могут стать:


- операторы по переводу денежных средств

- организаторы торговли (в соответствии с 325-ФЗ)

- страховые организации

- органы Федерального казначейства

- организации федеральной почтовой связи.


Участниками могут стать, в том числе, международные и иностранные финансовые организации. Но важно отметить, что для того, чтобы иностранным организациям стать операторами, обязательным условием является наличие на территории РФ их зарегистрированного юридического лица.


В статье 22 описываются условия, при которых платежная система может быть признана системно значимой, социально значимой и национально значимой. Здесь мы не будем детально приводить условия присвоения того или иного статуса значимости (с которыми можно ознакомиться в первоисточнике), но одним из основных факторов присвоения системно или социально значимого статуса является объем доли от суммы всех переводов, осуществленных кредитными организациями. В свою очередь, национально значимой признается платежная система, над которой прямо или косвенно установлен контроль РФ, Банком России, гражданами РФ и при этом одновременно выполняются условия по соответствию платежной информационной инфраструктуры требованиям Банка России (по согласованию с Правительством РФ), как по обеспечению защиты информации, так и по доле применяемых отечественных программных и технических средств.


Соответственно, при присвоении значимости платежная система подвергается проверке Банком России на предмет соответствия требованиям 161-ФЗ. Порядок такой проверки описан в статье 23.


Сами же требования к значимой платежной системе приведены в статья 24. К системно значимым платежным системам устанавливаются требования по осуществлению расчетов через финансово устойчивый расчетный центр и выполнению анализа рисков в режиме реального времени, обеспечению гарантированного уровня бесперебойности оказания услуг, соответствию системы управления рискам (согласно ст. 28). К социально значимым платежным системам устанавливаются требования по осуществлению расчетов через расчетный центр, который является банком-участником системы обязательного страхования вкладов (или небанковскую кредитную организацию, осуществляющую расчет не менее 3-х лет) и выполнению анализа рисков на постоянной основе.


Клиринг — это регулярные безналичные расчеты за товары и услуги между юридическими и физическими лицами. При клиринге вместо наличных платежей происходит взаимозачет требований и обязательств. Название происходит от английского clearing — «очищение».


В статье 25 описывается порядок выполнения процедур приема и исполнения распоряжений участников платежной системы в целях осуществления перевода денежных средств.


Статья 26 делает отсылку к ФЗ-395-1 и обязывает участников платежной системы гарантировать обеспечение банковской тайны. А статья 27 обязывает платежные системы обеспечить защиту информации в соответствии с требованиями, которые установлены Постановлением Правительства РФ № 584 и включают в себя:


а) создание и организацию функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации;


б) включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;


в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;


г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками;


д) разработку и реализацию систем защиты информации в информационных системах;


е) применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);


ж) выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;


з) обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;


и) определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;


к) организацию и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года.


Кроме того, согласно статье 27, операторы обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента, включая ведение соответствующих баз данных о случаях и попытках осуществления таких операций, с последующим предоставлением отчетности в Банк России по установленной регулятором форме.


Ранее в прошлых статьях 161-ФЗ не один раз упоминалась необходимость применения риск-менеджмента. В статье 28 документ обязывает оператора платежной системы выстроить систему управления рисками (для целей снижения вероятности возникновения неблагоприятных последствий), которая предусматривает ряд мероприятий и способов управления рисками.


В статьях 29 и 30 прописана необходимость формирования обеспечения исполнения обязательств участников платежной системы. Порядком предусмотрено создание гарантийного фонда на основе гарантийных взносов участников платежной системы. Все эти аспекты должны быть прописаны оператором в правилах платежной системы.


Отдельная глава 161-ФЗ посвящена национальной системе платежных карт (НСПК), основным акционером которой является Банк России. До появления в России НСПК обработка даже внутрироссийских транзакций происходила за её пределами. На сегодняшний день НСПК является оператором национальной платежной системы «Мир». Создание такого оператора продиктовано снижением зависимости от иностранных операторов и как следствие обеспечением бесперебойности, доступности и эффективности оказания услуг по переводу денежных средств в Российской Федерации.


Согласно Федеральному закону № 161-ФЗ надзор и наблюдение в национальной платежной системе возлагается на Банк России. В ходе него регулятор вправе проводить проверки на предмет соответствия требованиям настоящего федерального закона, запрашивать и получать информацию, а также применять различные меры воздействия для целей устранения выявленных нарушений.

ГОСТы и документы ИБ СЗИ Оргмеры ИБ Подкасты ИБ Финансы в ИБ

Рекомендуем

Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Что за зверь Security Champion?
Что за зверь Security Champion?

Рекомендуем

Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Что за зверь Security Champion?
Что за зверь Security Champion?

Похожие статьи

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
SCA на языке безопасника
SCA на языке безопасника
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Геймификация и управление персоналом
Геймификация и управление персоналом
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Похожие статьи

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
SCA на языке безопасника
SCA на языке безопасника
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Геймификация и управление персоналом
Геймификация и управление персоналом
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных