Защита информации в национальной платежной системе
Общие положения
Согласно статье 27 Федерального закона от 27.06.2011 № 161-ФЗ операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются ФСБ России и ФСТЭК России в пределах их полномочий и без права ознакомления с защищаемой информацией. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с ФСБ России и ФСТЭК России. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с ФСБ России и ФСТЭК России.
В соответствии с Положением о защите информации в платежной системе (утв. постановлением Правительства РФ от 13.06.2012 № 584) защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных:
а) на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации;
б) на соблюдение конфиденциальности информации;
в) на реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.
Нормативные правовые акты, стандарты и рекомендации
- Письмо Банка России от 05.08.2013 № 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
- Письмо Банка России от 01.03.2013 № 34-Т "О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов"
- Указание Банка России от 09.06.2012 № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств"
- "Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах" (утв. Банком России 31.05.2012 № 379-П)
- "Положение о порядке осуществления наблюдения в национальной платежной системе" (утв. Банком России 31.05.2012 № 380-П)
- "Положение о порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе", принятых в соответствии с ним нормативных актов Банка России" (утв. Банком России 09.06.2012 № 381-П)
- "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (утв. Банком России 09.06.2012 № 382-П)
- "Положение о требованиях к защите информации в платежной системе Банка России" (утв. Банком России 24.08.2016 № 552-П)
- Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации"
- Федеральный закон от 27.06.2011 № 161-ФЗ "О национальной платежной системе"
- "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 № 195-ФЗ
- Постановление Правительства РФ от 13.06.2012 № 584 "Об утверждении Положения о защите информации в платежной системе"
Надзорные органы
Аналитические материалы и комментарии
- О применении банками шифровальных (криптографических) средств защиты информации и юридической ответственности за невыполнение предписаний регуляторов
- Обзор норм юридической ответственности и коллизий в сфере защиты информации в платежных системах
- Обзор нормативной правовой базы в сфере защиты информации в платежных системах