ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.01.2024
Просмотров: 175
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-Вопросы статистики, 12/2012-
41
ПРАКТИКА I ПЛАТЕЖНЫЕ СИСТЕМЫ И РАСЧЕТЫ
Закон о Национально! платежной системе: требования по информационной безопасности
Как выявить инциденты информационной безопасности в платежных системах и управлять ими, обеспечить бесперебойность их функционирования и снизить риски мошенничества? Какие требования по защите информации банки должны включать в соглашения с платежными агентами? Попытаемся в статье дать ответы на эти вопросы.
П
. 3. ЛОЖКИН, заместитель генерального директора компании «Андэк» Особенностью процесса выявления и регистрации! инцидентов информационной безопасности в банкам является слабая связь событий, происходящих с информационными активами, с рисками, присущими этим активам в случае им несанкционированного разглашения или речки за пределы банка, либо доступа к ним неавторизованных сотрудников, нарушения целостности или доступности этим активов.
Принятый 27.06.2011 Федеральный закон №161-ФЗ «О национальной платежной системе» (далее - Закон о НПС) определяет Центральный банк Росси и как регулятора по данному закону. В соответствии с требованиями этого закона ЦБ РФ разработал ряд документов для обязательного исполнения всеми организациями, деятельность которых регулируется законом (в основном это банки). В их числе два наиболее важных для кредитных организаций:
-
Указание Банка России
(№2831-У от 09.06.2012)
«Об отчетности по
обеспечению защиты
информации при
осуществлении переводов
денежных средств операторов
платежных систем, операторов
услуг платежной
инфраструктуры, операторов
по переводу денежных
средств»; -
Положение Банка России
(№382-П от 09.06.2012)
«О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при
осуществлении переводов
денежных средств».
Эти документы обусловили необходимость оценки банками рисков непрерывности функционирования платежных систем и управления такими рисками, выявления инцидентов информационной безопасности. Перед службами информационной безопасности банков встала также задача определения требований по защите информации с целью включения их в соглашения с платежными агентами.
Инциденты ИБ
Указание 2831-У фактически вводит требование о создании процесса выявления и регистрации инцидентов информационной безопасности в системах, связанных с осуществлением платежных операций. В банке большинство систем имеют отношение к осуществлению платежных операций, прямо или косвенно обеспечивают или поддержи-
вают деятельность по переводу денежных средств.
Инциденты ИБ, как правило, не рассматривались банками как риски непосредственного хищения денежных средств и были слабо с ними связаны. В основном они покрывали «внутреннюю кухню» банка, где тоже существуют риски, но они не обязательно реализуются в мошеннические схемы по хищению денежных средств, а могут возникать, например, при нарушении конфиденциальности инфор-
мации, в том числе, напрямую не относящейся к клиентам банка. Особенностью процесса выявления и регистрации инцидентов ИБ в банках является слабая связь событий, происходящих с информационными активами, с рисками, присущими этим активам в случае их несанкционированного разглашения или утечки за пределы банка, либо доступа к ним неавторизованных сотрудников, наруше-
I 70 I БАНКОВСКОЕ ДЕЛО I №112012
Бесперебойность бизнес-процесса является «виртуальной», если регулярно не проводить тестирование для определения отказоустойчивости - нельзя предсказать даже при наличии казалось бы полностью отказоустойчивой инфраструктуры, что произойдет в случае отказа тех или иных систем.
стойчивость. Порой происходят курьезные случаи, например, в конфигурационные файлы систем внесены IP-адреса, а не имя сервера, к которому обращается система. А при недоступности IP-адреса происходит отказ системы, хотя резервный сервер успешно запустился и содержит необходимые данные. Но это только половина проблемы, поскольку кроме отказоустойчивой инфраструктуры должна быть бесперебойность и бизнес-процессов. Например, по какой-то причине нельзя попасть в основной офис (пожар, заблокирован вход и т.п.), а в другом офисе есть резервные места, и сотрудник может работать оттуда, но ключи цифровой подписи находятся у него в единственном экземпляре, в сейфе в основном офисе. В этом случае он ничего не сможет сделать, сколь хорошей ни была бы отказоустойчивость инфраструктуры. Поскольку процессы в банке взаимозависимы, выполнение работы одним сотрудником часто зависит от того, может ли выполнить свою работу другой сотрудник или другое подразделение. Так, если при проектировании процесса не учитывалась его непрерывность, сотрудник, который вводит в систему платеж (и делает это с резервного места) и не имеет права авторизовать его, выполняет бессмысленную работу, если его коллега, который должен авторизовать платеж, остался без основного рабочего места, а резервного для него не предусмотрено.
В целях обеспечения непрерывности бизнес-процессов необходимо проводить их анализ, чтобы выявить все подразделения, задействованные в них, иначе, например, сформированный валютный платеж не будет отправлен без работников валютного контроля, если при резервировании про них просто забыли. И только четко выявив потребности бизнеса, следует определять список систем, необходимых для обеспечения бесперебойной работы и поддержания основных бизнес-процессов. При этом возникает вопрос - следует ли
бизнес-процесс резервировать или можно на некоторое время обойтись без этого? Для того чтобы ответить на него, необходима стратегия непрерывности бизнеса, которая определяла бы, какой период считается критичным и каков допустимый уровень риска, на который может пойти банк. То есть для формирования такой стратегии необходимо проведение высокоуровневого анализа рисков. Если этого не сделать, то произойдет то, что описано выше.
Важно также помнить о том, что проблемы могут появиться не
только в момент возникновения событий, влияющих на бесперебойность работы банка, но и после их завершения. Если отсутствует план возвращения к нормальной работе, возможна, например, такая ситуация: ключ ЭЦП остался в сейфе в другом офисе, нужные бумаги там же, системы ИТ при переключении с резервных на основные потеряли данные, которые были введены за время работы на резервной инфраструктуре, произошло частичное переключение систем и т. д.
Но не все случаи настолько фатальны. Из практики известно, что чаще происходят небольшие сбои на уровне процессов и в функционировании инфраструктуры, которые не требуют эвакуации сотрудников с их рабочих мест в режиме «экстренного катапультирования и групповых забегов по пожарной лестнице», но требуют незамедлительных действий по восстановлению работоспособности систем. Чтобы отследить эти события и выполнить требования закона по их учету и созданию отчетности, целесообразно также пользоваться автоматизированными системами, основная функция
ПРАКТИКА
которых - работать с жизненным циклом инцидентов (в ITIL-понима-нии1 этого термина), обеспечивая непрерывность работы систем и процессов. Большинство подобных систем способно формировать необходимую отчетность по заданным критериям.
Сегодня позиция большинства банков относительно организации реальной бесперебойности систем и процессов выжидательная: необходимый минимум работ банки, конечно, делают, но не все из них серьезно относятся к проблеме и к рискам прекращения деятельности
ввиду тех или иных факторов, предпочитая молчаливо принимать эти риски.
1 2 3 4 5 6 7 8 9 10
Мошенничество
Все большую проблему для банковской системы составляет мошенничество. Охват населения банковскими продуктами растет год от года, опережающими темпами растет при этом и мошенничество. До настоящего времени банки не вели статистики, как этого требует Указание № 2831-У, ограничиваясь в лучшем случае сбором информации о количестве попыток как успешных, так и неуспешных несанкционированных переводов денежных средств и об инцидентах, связанных с пластиковыми картами. Поэтому реальный размер потерь определен только приблизительно, но даже эти примерные цифры вызывают озабоченность. Такое отношение банков обусловлено тем, что в настоящее время согласно сложившейся практике и требованиям законодательства и платежных систем данные потери только в очень небольшом количестве случаев становятся потерями банка. В большей части случаев банки возлагают ответственность
1ITIL (англ. IT Infrastructure Library — библиотека инфраструктуры информационных технологий) — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий.
№112012 I БАНКОВСКОЕ ДЕЛО I 73 I
ПРАКТИКА | ПЛАТЕЖНЫЕ СИСТЕМЫ И РАСЧЕТЫ
Электронные деньги:
конкурент или новая возможность для розничного финансового сектора?
Федеральный закон «О национальной платежной системе» не только ввел в правовое поле понятие электронных денег. Принятие закона активизировало дискуссии о модернизации регулирования платежной отрасли. В статье описываются причины, по которым для банков подготовка к грядущим изменениям является императивом, а не вопросом выбора.
И
В. Л. ДОСТОВ,
председатель
совета Ассоциации
«Электронные деньги»
П. М. ШУСТ,
аналитик Ассоциации «Электронные деньги»
|сполнилось почти полтора года со времени подписания Федерального закона «О национальной платежной системе». За это время все крупнейшие участники рынка, которым было необходимо получить статус кредитной организации, успешно прошли процесс лицензирования в Центральном банке. Тем не менее у представителей финансового сектора до сих пор не сформировалось единого понимания того, что принесло закрепление в юридическом поле понятия «электронные деньги». До последнего времени банки концентрировали внимание преимущественно на прикладных вопросах. К ним, в частности, относится проблема использования специальных агентских счетов, а также запрет на получение кредитной организацией статуса платежного агента и некоторые другие.
Однако, по нашему мнению, проблема электронных денег требует более внимательного рассмотрения. Причина тому - их более значительное, чем может показаться на первый взгляд, влияние на ландшафт розничных финансовых услуг. Грядущие изменения в регулировании затронут практически всех участников рынка, что делает дальнейшее успешное развитие невозможным без понимания основных тенденций в платежной сфере.
В первую очередь, следует остановиться на фундаментальном значении таких понятий, как «электронные деньги» и «электронные средства платежа».
Электронные деньги -концептуальные признаки
Отличительная черта электронных денежных средств (ЭДС) состоит в том, что клиенту не открывается отдельный счет. К примеру, в Европейском союзе электронные деньги также не требуют предоставления банковского счета, но их формулировка является самодостаточной, определяющей ЭД как
Б4 I БАНКОВСКОЕ ДЕЛО I №12 2012
ПРАКТИКА
самостоятельную сущность. В российском Федеральном законе № 161-ФЗ «О национальной платежной системе» (далее - Закон № 161-ФЗ) реализована значительно более сложная конструкция. Фактически ЭД являются надстройкой уже существующих форм расчетов и типов операций, что обусловлено комплексом причин, в первую очередь нормативных и политических.
Так, введение нового типа расчетов было бы невозможным без внесения соответствующих поправок в Гражданский кодекс (ГК РФ). Однако в первой половине 2011 г. подобные изменения рассматривались как избыточные. Правда, уже во второй половине 2012 г. ситуация изменилась: сегодня активно обсуждается целый пакет поправок в ГК РФ. Ряд положений, как предполагается, будет внесен именно в целях уточнения и развития норм Закона № 161-ФЗ. В свою очередь, опасения законодателей ненамеренно узаконить частные валюты или независимую эмиссию не позволили придать концепции ЭД самостоятельный характер.
Российское законодательство содержит весьма сложное описание термина «электронные денежные средства». Будучи результатом воздействия вышеуказанных факторов, оно оказалось запутанным не только с филологической точки зрения, но и с функциональной стороны. Определение, закрепленное в п. 18 ст. 3 Закона № 161-ФЗ, рекурсивное: электронные деньги определяются как денежные средства, предоставленные обязанному лицу без открытия банковского счета. В то же время перевод без открытия счета, осуществляемый с «транзитной» остановкой (которая описана в п. 18 ст. Закона № 161-ФЗ как «учет информации о размере предоставленных денежных средств») становится переводом электронных денежных средств. Та же логика реализована в п. 1.4. Положения Банка России от 19 июня 2012 года № 383-П «О правилах осуществления перевода денежных средств», где переводы ЭДС относятся к категории переводов без открытия счета. Вместе с тем Банк России с точки зрения бухгалтерского учета ушел от концепции «транзита»: если раньше кредитные организации использовали для учета ЭД счет 40911 «Транзитные счета», то сейчас рекомендуется использовать счет 40903 «Средства для расчетов чеками, предоплаченными картами и осуществления переводов электронных денежных средств с использованием электронного средства платежа» [3]. Отметим, что определение счета 40903 также ссылается на себя как минимум дважды.
Таким образом, функционирование электронных денег во многом основывается на переводах денежных средств без открытия счета. Главной особенностью ЭДС является наличие «транзитного» состояния, в котором средства находятся между внесением их клиентом и исполнением распоряжения о переводе. Оператору ЭДС запрещено начислять на эти «транзитные» остатки средств проценты или выплачивать клиентам вознаграждение.
Электронные средства платежа -новые старые инструменты
Неотъемлемым признаком электронных денег является использование клиентом для передачи распоряжений об их переводе исключительно электронного средства платежа (ЭСП). Причем определение ЭСП, данное в Законе № 161-ФЗ, довольно широкое, включающее не только «технические устройства», но и «информационно-коммуникационные технологии» (п. 19 ст. 3). С учетом анализа законодательных актов, а также разъяснений регулятора понятие электронного
В Европейском союзе электронные деньги не требуют предоставлении банковского счета, мо мх формулировка является самодостаточно!, определившей ЭД как самостоятельную сущность. В российском Федеральном законе № 161-ФЗ «0 национальной платежной системе» реализована более сложна! конструкция. Фактически 31 являются надстройкой уже существующим форм расчетов м типов операций, что обусловлено комплексом причин, в первую очередь нормативных и политических.
средства платежа существенно меняет наше понимание платежных инструментов в целом. Так, под ЭСП, помимо интерфейсов электронных кошельков, подпадают также и банковские платежные карты. Следствием этого является пересмотр регулирования предопла-ченных карт: их дальнейшую судьбу определило сближение функций с электронными деньгами. Согласно решению Банка России, предоплаченные карты в ближайшее время прекратят свое существование и станут, в новой редакции Положения ЦБ № 266-П, лишь ЭСП для перевода электронных денег. С одной стороны, это решение унифицирует регулирование, а с другой — принципиально меняет традиционные инструменты, которым приходится подстраиваться под новый режим. Пример решения проблемы предоплаченных
Abstract. Federal Law «On National Payment System» has not only introduced the concept of 'electronic money' into the Russian Law. It also spurred debated on the modernization of the payment industry regulation. In this paper we show why getting prepared for the upcoming changes is an imperative rather than a matter of choice.
Keywords. Federal Law «On National Payment System», electronic money, prepaid cards, payments regulation.
Ключевые слова. Федеральный закон «0 национальной платежной системе», электронные деньги, предоплаченные карты, регулирование платежей.
> I БАНКОВСКОЕ ДЕЛО I 65
ПРАКТИКА | ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ
дает операторам по переводу денежных средств право привлекать агентов для идентификации клиента — физического лица, его представителя и (или) выгодоприобретателя в целях осуществления перевода денежных средств без открытия банковского счета. При этом не уточняется, допустима ли, к примеру, идентификация клиента для смены статуса электронного средства платежа с «неперсонифицированного» на «персонифицированное».
Вторым белым пятном оказался запрет оператору предоставлять клиенту средства для увеличения остатка электронных денег (ч. 5 ст. 7 Закона № 161-ФЗ). К сожалению, подобное ограничение фактически не позволяет решить проблему овердрафтов, которая может возникнуть в связи с изменением курсовой разницы или при совершении операций, не требующих предварительной авторизации. На практике нерешенность проблемы овердрафтов станет препятствием для использования электронных денег в случаях, требующих мгновенного офлайнового платежа: например, на платных автодорогах, автоматических заправочных станциях.
Помимо юридической неопределенности относительно отрицательного баланса в «кошельке» клиента, возникают затруднения и в ряде других случаев. Например, если клиент в результате увеличения остатка ЭДС превышает лимит, предусмотренный для соответствующего типа ЭСП, оператор не может отправить эти деньги обратно, так как они были переданы без открытия счета. Закон № 161-ФЗ не дает ответа, возможно ли постепенное зачисление средств на «кошелек» в порядке очередности, что было бы наиболее логично в данной ситуации.
Самым спорным элементом режима является, пожалуй, запрет на перечисление электронных денег юридическими лицами в пользу клиентов — физических лиц (ч. 2 и 10 ст. 7 Закона № 161-ФЗ). Следствие этого - неурегулированность возвратов платежей в случае отказа от товара (услуги, работ). Операторы фактически оказываются перед выбором: нарушить либо Закон № 161-ФЗ, либо положение Закона «О защите прав потребителей».
Мы уверены, что в процессе модернизации режима функционирования электронных денег вышеуказанные проблемы найдут свое решение. Тем не менее
неизбежна и корректировка иных, более общих вопросов регулирования. В частности должен быть введен лимит ответственности клиентов при возникновении несанкционированных операций (как это сделано в США и Европейском союзе), требуется более детальное описание инцидентных циклов в рамках ст. 9 Закона № 161-ФЗ (вероятно, данные положения будут закреплены в новой редакции Гражданского кодекса). Решения требуют также проблемы лимитированной выдачи наличных по неперсонифицированным ЭСП (такая возможность закреплена применительно к пре-доплаченным картам старого образца), расчетов электронными деньгами в иностранной валюте, поэтапного повышения лимитов по различным типам ЭСП.
Обсуждение всех вышеуказанных вопросов порождает дискуссии и в смежных областях. Например, после принятия новой редакции Рекомендаций ФАТФ активизировался поиск путей модернизации института идентификации клиентов [4]. Отрасль электронных денег благодаря опыту удаленного взаимодействия с клиентами играет в данном процессе ключевую роль.
! ВЫВОДЫ ШШШШШШШШШШШШШШЛ Закрепление в России института электронных денег оказало значительное влияние на розничный финансовый сектор. Однако мы уверены, что наиболее важные изменения в этой сфере еще впереди. Законодателям, Банку России и кредитным организациям предстоит не только предпринять шаги к решению проблем, выявленных за полтора года действия Федерального закона «О национальной платежной системе». Стоит более глобальная задача - модернизация нормативного регулирования отрасли в целом. Этот процесс затронет не только узкоспециализированные вопросы, но отразится на переводах без открытия счета в целом и в смежных сферах: идентификации клиентов, оспаривании несанкционированных операций, а также многих других. В такой ситуации «электронные деньги» перестают быть экзотической концепцией, а становятся базой для новой парадигмы взаимодействия с клиентами и построения внутренних процессов кредитной организации.