Закон накладывает определенные ограничения на состав участников платежной системы. Так, согласно проекту закона, участниками платежной системы могут являться следующие организации при условии их присоединения к правилам платежной системы:

операторы по переводу денежных средств, включая операторов электронных денег;

• 1. участники финансовых рынков;
• 2. органы федерального казначейства;
• 3. организации федеральной почтовой связи.

Правилами платежной системы может быть предусмотрено прямое, косвенное и иное участие в платежной системе. Заметим, что если прямая и косвенная формы участия внесены в закон в соответствии с международной практикой, то упоминание про «иные формы участия» соответствует российской практике, где в системе валовых расчетов в режиме реального времени Банка России (системе БЭСП) предусмотрено наличие прямых, ассоциированных и особых участников.

Прямыми участниками платежной системы в соответствии с законом, могут являться только операторы по переводу денежных средств, участники финансовых рынков и органы федерального казначейства. Прямое участие в платежной системе требует открытия банковского счета организации, становящейся прямым участником, в расчетном центре.

Косвенное участие в платежной системе требует открытия банковского счета косвенному участнику прямым участником платежной системы, являющимся оператором по переводу денежных средств.

Отношения между прямыми и косвенными участниками платежной системы регулируются правилами платежной системы и заключенными договорами банковского счета.

Оператор по переводу денежных средств - организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств. Закон предусматривает, что функции оператора по переводу денежных средств могут выполнять только следующие организации:

• 1. Банк России осуществляет деятельность оператора по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О Центральном банке Российской Федерации (Банке России)» и иными актами законодательства Российской Федерации о национальной платежной системе.
• 2. Кредитные организации осуществляют деятельность операторов по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О банках и банковской деятельности» и иными актами законодательства Российской Федерации о национальной платежной системе.
• 3. Внешэкономбанк осуществляет деятельность оператора по переводу денежных средств в соответствии с Федеральным законом «О Национальной платежной системе», Федеральным законом «О банке развития» и иными актами законодательства Российской Федерации о национальной платежной системе.

Оператор платежной системы - организация, определяющая правила платежной системы. Согласно проекту закона, оператором платежной системы может являться:

• - кредитная организация;
• - Банк России.

Оператор платежной системы, не являющийся кредитной организацией, обязан привлечь в качестве расчетного центра кредитную организацию, которая не менее трех лет осуществляет перевод денежных средств по открытым в этой кредитной организации банковским счетам, а также счетам не менее трех других кредитных организаций.

Операторы услуг платежной инфраструктуры - операционный центр, клиринговый центр и расчетный центр. Оператором услуг платежной инфраструктуры может являться:

• - кредитная организация;
• - организация, не являющаяся кредитной организацией;
• - Банк России.

Оператор услуг платежной инфраструктуры, являющийся кредитной организацией или Банком России, может совмещать оказание операционных, клиринговых и расчетных услуг, в том числе в рамках одной организации. Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией или Банком России, может совмещать оказание операционных и клиринговых услуг, в том числе в рамках одной организации.

Статья 15. Оператор платежной системы и требования к его деятельности

• проверено сегодня
• закон от 01.01.2019
• вступила в силу 29.09.2011

Ст. 15 Закон о национальной платёжной системе в последней действующей редакции от 9 декабря 2018 года.

Новые не вступившие в силу редакции статьи отсутствуют.

Сравнить с редакцией статьи от 05.05.2014 01.09.2013 29.09.2011

Оператором платежной системы может являться кредитная организация, организация, не являющаяся кредитной организацией и созданная в соответствии с законодательством Российской Федерации, Банк России или ВЭБ.РФ.

Оператор платежной системы, являющийся кредитной организацией, Банком России или ВЭБ.РФ, может совмещать свою деятельность с деятельностью оператора по переводу денежных средств, оператора услуг платежной инфраструктуры и с иной деятельностью, если это не противоречит законодательству Российской Федерации.

Оператор платежной системы, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора услуг платежной инфраструктуры (за исключением расчетного центра) и с иной деятельностью, если это не противоречит законодательству Российской Федерации.

Банк России осуществляет деятельность оператора платежной системы на основании настоящего Федерального закона в соответствии с нормативными актами Банка России и заключаемыми договорами.

Оператор платежной системы обязан:

Оператор платежной системы, не являющийся кредитной организацией, обязан привлечь в качестве расчетного центра кредитную организацию, которая не менее одного года осуществляет перевод денежных средств по открытым в этой кредитной организации банковским счетам.

Организация, намеревающаяся стать оператором платежной системы, должна направить в Банк России регистрационное заявление по форме и в порядке, которые установлены Банком России.

К регистрационному заявлению кредитной организации, намеревающейся стать оператором платежной системы, прилагаются следующие документы:

• 1) решение органа управления кредитной организации об организации платежной системы;
• 2) бизнес-план развития платежной системы на ближайшие два календарных года с указанием целей и планируемых результатов организации платежной системы, включая анализ рыночных и инфраструктурных факторов;
• 3) правила платежной системы, соответствующие требованиям настоящего Федерального закона;
• 4) перечень операторов услуг платежной инфраструктуры, которые будут привлекаться для оказания услуг платежной инфраструктуры в платежной системе.

Организация, не являющаяся кредитной организацией, намеревающаяся стать оператором платежной системы, должна соответствовать следующим требованиям:

• 1) обладать чистыми активами в размере не менее 10 миллионов рублей;
• 2) физические лица, занимающие должности единоличного исполнительного органа и главного бухгалтера такой организации, должны иметь высшее экономическое, высшее юридическое образование или высшее образование в сфере информационных и коммуникационных технологий, а при наличии иного высшего образования - опыт руководства отделом или иным подразделением кредитной организации или оператора платежной системы не менее двух лет;
• 3) физические лица, занимающие должности единоличного исполнительного органа и главного бухгалтера такой организации, не должны иметь судимость за преступления в сфере экономики, а также фактов расторжения трудового договора с ними по инициативе работодателя на основании, предусмотренном пунктом 7 части первой статьи 81 Трудового кодекса Российской Федерации, в течение двух лет, предшествовавших дню подачи в Банк России регистрационного заявления.

К регистрационному заявлению организации, не являющейся кредитной организацией, намеревающейся стать оператором платежной системы, прилагаются следующие документы:

• 1) учредительные документы;
• 2) решение уполномоченного органа такой организации об организации платежной системы;
• 3) бизнес-план развития платежной системы на ближайшие два календарных года с указанием целей и планируемых результатов организации платежной системы, включая анализ рыночных и инфраструктурных факторов;
• 4) правила платежной системы, соответствующие требованиям настоящего Федерального закона;
• 5) перечень операторов услуг платежной инфраструктуры, которые будут привлекаться для оказания услуг платежной инфраструктуры в платежной системе;
• 6) письменное согласие кредитной организации, в том числе в форме заключённого с ней договора, стать расчетным центром платежной системы с учётом требований части 6 настоящей статьи;
• 7) документы, содержащие сведения о размере чистых активов организации, с приложением форм бухгалтерской отчётности, составленной на последнюю отчетную дату, предшествующую дате представления документов в Банк России для регистрации. Указанные формы отчётности должны быть подписаны единоличным исполнительным органом организации и главным бухгалтером (их заместителями);
• 8) документы, подтверждающие соблюдение требований, предусмотренных пунктами 2 и 3 части 9 настоящей статьи.

В срок, не превышающий 30 календарных дней со дня получения регистрационного заявления от организации, намеревающейся стать оператором платежной системы, Банк России принимает решение о регистрации указанной организации в качестве оператора платежной системы или решение об отказе в такой регистрации.

В случае принятия решения о регистрации организации в качестве оператора платежной системы Банк России присваивает организации регистрационный номер, включает информацию о ней в реестр операторов платежных систем, который является общедоступным, и направляет организации регистрационное свидетельство по форме, установленной Банком России, в срок не позднее пяти рабочих дней с даты принятия указанного решения. Порядок ведения реестра операторов платежных систем устанавливается Банком России.

Организация, направившая в Банк России регистрационное заявление, вправе стать оператором платежной системы со дня получения регистрационного свидетельства Банка России.

Оператор платежной системы обязан указывать свой регистрационный номер при предоставлении информации о платежной системе.

Платежная система должна иметь наименование, указанное в правилах платежной системы, содержащее слова "платежная система". Ни одна организация в Российской Федерации, за исключением организации, зарегистрированной в реестре операторов платежных систем, не может использовать в своем наименовании (фирменном наименовании) слова "платежная система" или иным образом указывать на осуществление деятельности оператора платежной системы. Операторы услуг платежной инфраструктуры, участники платежной системы вправе указывать на принадлежность к платежной системе в соответствии с правилами платежной системы. Банк России вправе использовать слова "платежная система" в отношении платежной системы Банка России.

Оператор платежной системы, не являющийся кредитной организацией, обязан соблюдать требования, предусмотренные частью 9 настоящей статьи, в течение всего времени осуществления деятельности оператора платежной системы.

Банк России отказывает кредитной организации в регистрации в качестве оператора платежной системы в случае:

• 1) непредставления документов, предусмотренных частью 8 настоящей статьи;
• 2) несоответствия разработанных правил платежной системы требованиям настоящего Федерального закона.

Банк России отказывает организации, не являющейся кредитной организацией, в регистрации в качестве оператора платежной системы в случае:

• 1) непредставления документов, предусмотренных частью 10 настоящей статьи;
• 2) установления несоответствия организации требованиям, предусмотренным частью 9 настоящей статьи;
• 3) несоответствия разработанных правил платежной системы требованиям настоящего Федерального закона.

В случае отказа в регистрации в качестве оператора платежной системы Банк России в письменной форме уведомляет об этом организацию, направившую регистрационное заявление, с указанием оснований отказа и приложением представленных для регистрации документов в срок не позднее пяти рабочих дней с даты принятия решения об отказе в регистрации.

Организация, являющаяся оператором платежной системы, намеревающаяся стать оператором другой платежной системы, обязана направить в Банк России дополнительное регистрационное заявление по форме и в порядке, которые установлены Банком России, с указанием регистрационного номера в реестре операторов платежных систем.

К дополнительному регистрационному заявлению кредитной организации, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, прилагаются документы, предусмотренные частью 8 настоящей статьи.

К дополнительному регистрационному заявлению организации, не являющейся кредитной организацией, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, прилагаются документы, предусмотренные пунктами 2 - 8 части 10 настоящей статьи.

Банк России принимает решение о регистрации организации, являющейся оператором платежной системы, намеревающейся стать оператором другой платежной системы, или решение об отказе в такой регистрации в срок, не превышающий 30 календарных дней со дня получения дополнительного регистрационного заявления.

В случае принятия решения о регистрации организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы Банк России включает информацию в реестр операторов платежных систем без присвоения нового регистрационного номера и направляет организации уведомление по форме, установленной Банком России, в срок не позднее пяти рабочих дней с даты принятия соответствующего решения.

Организация вправе стать оператором другой платежной системы со дня получения уведомления Банка России о регистрации организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы.

Не позднее дня, следующего за днём получения уведомления Банка России, организация обязана направить в Банк России ранее выданное регистрационное свидетельство.

Банк России направляет организации новое регистрационное свидетельство с указанием платежных систем, оператором которых является организация, на следующий рабочий день после дня получения от организации ранее выданного регистрационного свидетельства.

Банк России принимает решение об отказе в регистрации кредитной организации, являющейся оператором платежной системы, в качестве оператора другой платежной системы при непредставлении документов, предусмотренных частью 8 настоящей статьи.

Банк России принимает решение об отказе в регистрации организации, не являющейся кредитной организацией, являющейся оператором платежной системы, в качестве оператора другой платежной системы при непредставлении документов, предусмотренных пунктами 2 - 8 части 10 настоящей статьи, либо при несоответствии оператора платежной системы установленным требованиям.

При изменении сведений об операторе платежной системы, указанных при его регистрации, оператор платежной системы обязан уведомить Банк России по установленной им форме в течение трёх рабочих дней после дня наступления таких изменений. На основании полученного уведомления оператора платежной системы Банк России в течение трёх рабочих дней со дня его получения вносит соответствующие изменения в реестр операторов платежных систем.

Банк России вправе принимать решения об исключении сведений об организации из реестра операторов платежных систем по следующим основаниям и в следующие сроки:

Исключение сведений об организации из реестра операторов платежных систем по иным основаниям, за исключением оснований, предусмотренных частью 31 настоящей статьи, не допускается.

При исключении сведений об организации из реестра операторов платежных систем Банк России вносит соответствующую запись в реестр операторов платежных систем и не позднее дня, следующего за днём такого исключения, направляет организации уведомление об исключении сведений о ней из реестра операторов платежных систем, за исключением случая, предусмотренного пунктом 5 части 31 настоящей статьи. Не позднее дня, следующего за днём получения уведомления Банка России, организация обязана возвратить Банку России свое регистрационное свидетельство.

Со дня, следующего за днём получения оператором платежной системы, не являющимся кредитной организацией, уведомления об исключении сведений из реестра операторов платежных систем, осуществление переводов денежных средств в рамках платежной системы прекращается, а переводы денежных средств, осуществление которых было начато до указанного дня, должны быть завершены центральным платежным клиринговым контрагентом и (или) расчетным центром в течение срока, установленного частью 5 статьи 5 настоящего Федерального закона. В отношении значимых платежных систем срок прекращения осуществления и завершения переводов денежных средств может быть увеличен Банком России, но не более чем до одного месяца.

Порядок завершения переводов денежных средств центральным платежным клиринговым контрагентом и (или) расчетным центром в случае отзыва у них лицензий на осуществление банковских операций определяется федеральным законом.

Оператор платежной системы обязан представлять в Банк России изменения правил платежной системы, изменения перечня операторов услуг платежной инфраструктуры не позднее 10 дней со дня внесения соответствующих изменений.

Операторы платежных систем могут заключить договор о взаимодействии своих платежных систем при условии отражения порядка такого взаимодействия в правилах платежных систем.

Деятельность оператора платежной системы, в рамках которой осуществляется перевод денежных средств между операторами по переводу денежных средств, находящимися на территории Российской Федерации, может осуществляться только организацией, созданной в соответствии с законодательством Российской Федерации и соответствующей требованиям настоящего Федерального закона.

Оператор по переводу денежных средств, за исключением Банка России, у которого открыты банковские счёта не менее трёх других операторов по переводу денежных средств и между этими счетами осуществляются переводы денежных средств в течение трёх месяцев подряд в размере, превышающем значение, установленное Банком России, обязан обеспечить в соответствии с требованиями настоящей статьи направление в Банк России заявления о регистрации оператора платежной системы в течение 30 дней после дня начала соответствия указанному требованию. По истечении четырёх месяцев после дня начала соответствия указанному требованию осуществление перевода денежных средств между банковскими счетами операторов по переводу денежных средств, открытыми у такого оператора по переводу денежных средств, допускается только в рамках платежной системы. Требования настоящей части не распространяются на операторов по переводу денежных средств, являющихся расчетными центрами платежных систем, операторы платежных систем которых зарегистрированы Банком России, в части переводов денежных средств, осуществляемых в рамках указанных платежных систем.

Банк России направляет организации, осуществляющей деятельность оператора платежной системы и не направившей в Банк России регистрационное заявление в соответствии с настоящей статьёй, требование о регистрации такой организации в качестве оператора платежной системы. Указанная организация обязана направить в Банк России регистрационное заявление не позднее 30 календарных дней со дня получения такого требования либо прекратить осуществление деятельности оператора платежной системы.

Глава 5. Расчетная система национальной платежной системы

§ 1. Операторы услуг платежной инфраструктуры и требования к их деятельности

Операторы услуг платежной инфраструктуры относятся к элементам третьего уровня национальной платежной системы, посредством которых обеспечивается взаимодействие при осуществлении платежных услуг между всеми заинтересованными лицами. Эти элементы вместе с операторами платежных систем образуют инфраструктуру национальной платежной системы.

В законодательстве предусмотрено существование трех видов операторов услуг платежной инфраструктуры.

Операционный центр. Эта организация обеспечивает в рамках платежной системы для ее участников и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями (операционные услуги). Операционный центр может осуществлять иные действия, связанные с использованием информационно-коммуникационных технологий, необходимые для функционирования платежной системы и предусмотренные правилами платежной системы.

Операционный центр осуществляет свою деятельность на основании договоров об оказании операционных услуг с оператором платежной системы, участниками платежной системы, платежным клиринговым центром и расчетным центром, если заключение таких договоров предусмотрено правилами платежной системы. В платежной системе может быть несколько операционных центров.

Платежный клиринговый центр. Это организация, обеспечивающая в рамках платежной системы оказание услуг платежного клиринга. В случае если платежная система осуществляет переводы денежных средств по сделкам, совершенным на организованных торгах, услуги платежного клиринга могут оказываться в рамках клиринговой услуги клиринговой организацией, осуществляемой в соответствии с Законом о клиринге. Платежным клиринговым центром может быть как кредитная организация, так и организация, не являющаяся кредитной.

Платежный клиринговый центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров об оказании услуг платежного клиринга, заключаемых с участниками платежной системы, операционным центром и расчетным центром, если заключение таких договоров предусмотрено правилами платежной системы.

В платежной системе может быть несколько платежных клиринговых центров. Договор об оказании услуг платежного клиринга, заключаемый с участниками платежной системы, является договором присоединения.

Расчетный центр - организация, обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы. Расчетным центром может выступать кредитная организация, Банк России или Внешэкономбанк.

Расчетный центр осуществляет свою деятельность в соответствии с правилами платежной системы и на основании договоров банковского счета, заключаемых с участниками платежной системы и (или) центральным платежным клиринговым контрагентом (при его наличии), а также договоров, заключаемых с операционным центром и платежным клиринговым центром, если заключение таких договоров предусмотрено правилами платежной системы.

Расчетный центр исполняет поступившие от платежного клирингового центра распоряжения участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы и (или) банковскому счету центрального платежного клирингового контрагента (при его наличии).

В платежной системе может быть несколько расчетных центров.

Оператором услуг платежной инфраструктуры может являться кредитная организация, организация, не являющаяся кредитной организацией, Банк России или Внешэкономбанк.

Возможность совмещения видов деятельности операторов услуг платежной инфраструктуры зависит от того, является ли оператор кредитной организацией. Кредитная организация вправе совмещать оказание операционных услуг, услуг платежного клиринга и расчетных услуг. Такое право есть также у Банка России и Внешэкономбанка. Если же оператор не является кредитной организацией, то он вправе совмещать только оказание операционных услуг и услуг платежного клиринга. Это связано с тем, что расчетный центр осуществляет банковскую операцию по списанию и зачислению денежных средств по банковским счетам участников платежной системы, а таким правом обладают лишь кредитные организации, а также Банк России и Внешэкономбанк в силу закона.

Статус кредитной организации позволяет также совмещать деятельность оператора услуг платежной инфраструктуры с деятельностью оператора по переводу денежных средств, оператора платежной системы. Оператор услуг платежной инфраструктуры, не являющийся кредитной организацией, может совмещать свою деятельность с деятельностью оператора платежной системы.

Правовой основой для взаимодействия между операторами услуг платежной инфраструктуры и другими участниками платежной системы являются нормы законодательных актов и договоры. Так, Банк России осуществляет деятельность оператора услуг платежной инфраструктуры на основании Закона о национальной платежной системе в соответствии с нормативными актами Банка России и заключаемыми договорами. Все остальные операторы услуг платежной инфраструктуры осуществляют свою деятельность в соответствии с правилами конкретной платежной системы и договорами, заключаемыми с участниками платежной системы и другими операторами услуг платежной инфраструктуры.

Таким образом, очевидно, что возможность совмещения деятельности различных видов операторов услуг платежной инфраструктуры между собой, а также с другими видами деятельности в национальной платежной системе зависит от первоначального статуса субъекта. Так, например, кредитная организация вправе осуществлять функции и оператора платежной системы, и оператора по переводу денежных средств, и любого оператора услуг платежной инфраструктуры. Организация, не являющаяся кредитной, ограничена в праве совмещения. Иными словами, организация, играющая ведущую роль в национальной платежной системе, занимает более значимое место и в ее инфраструктуре. Нельзя также не упомянуть в этой связи Банк России, который выполняет инфраструктурные функции, будучи расчетным центром в платежной системе Банка России, но при этом является ее оператором, а также оператором по переводу денежных средств.

В инфраструктуре национальной платежной системы имеются организации, которые не совмещают инфраструктурные функции с иными функциями. К ним относятся операционные центры, деятельность которых направлена исключительно на обеспечение участникам платежных систем и их клиентам доступа к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также возможности обмена электронными сообщениями. Эти организации никаких иных функций в национальной платежной системе не выполняют.

Требования к операторам услуг платежной инфраструктуры устанавливаются конкретной платежной системой и касаются финансового состояния, технологического обеспечения оператора и других факторов, которые могут влиять на бесперебойность функционирования платежной системы.

В целях защиты экономической безопасности и суверенитета Российской Федерации при осуществлении перевода денежных средств в рамках платежной системы операторами по переводу денежных средств, находящимися на территории Российской Федерации, должны привлекаться операторы услуг платежной инфраструктуры, которые находятся и осуществляют все функции на территории Российской Федерации.

Операторы услуг платежной инфраструктуры не вправе в одностороннем порядке приостанавливать (прекращать) оказание услуг платежной инфраструктуры участникам платежной системы и их клиентам.

Глава 2. Банк России в национальной платежной системе Российской Федерации

Блог компании КРОК

Возможно, вы уже слышали про национальную платёжную систему . Изначально планировалось, что эта штука станет альтернативой международным платёжным системам. В частности, в 1998 году Виза и Мастеркард прекратили делать переводы по своим картам из-за кризиса – а их, между прочим, 85% рынка банковского пластика.

Но в самом законе акцент в итоге сделали на выводе из тени электронных платежей , которые раньше никак не контролировались, и собственно предоставлении регуляторам возможности контролировать действия банков в области безналичных денежных переводов. Сейчас речь снова зашла о полноценном создании национальной платежной системы, поэтому есть смысл ждать скорых поправок относительно блокировки передачи данных в США и других соответствующих требований.

Чтобы участвовать во всём этом, нужно проделать реально сложную работу с IT и ИБ, причём выполнить и проверить её может только организация с соответствующей лицензией. У нас такая лицензия есть, поэтому ниже я коротко обозначу основные проблемы в такого рода работах, с которыми мы уже столкнулись.

Что такое НПС?

НПС – это совокупность лиц, которые участвуют в денежных переводах. Основная цель закона – унификация подходов по осуществлению безналичных денежных переводов.

Благодаря принятию этого закона наши властные структуры планируют контроль за любыми безналичными денежными переводами.

Что это значит?

Национальная платежная систем – это совокупность:

• операторов по переводу денежных средств
• банковских платежных агентов/субагентов
• платежных агентов
• организаций Почты России
• операторов платежных систем
• операторов услуг платежной инфраструктуры

Фактически, раньше деньги могли появляться из ниоткуда и исчезать в никуда. Это рождало довольно много ситуаций мошенничества, которые надо было разбирать вручную. Поэтому основная цель закона – это вывод из тени нелегальных денежных переводов.

Как это касается лично вас?

Теперь, чтобы проводить операции в новой схеме, нужно соответствовать разного рода требованиям. Причём чем больше вы хотите прав - тем более строгие применяются требования. Внедряются не просто технические средства, но и процессы, которые всё контролируют.
И тут, как вы догадываетесь, наступает драма - немало кто выполняет финансовые операции, которые требуют ряда мер защиты, без таковых . Речь как про IT (в большей степени), так и про бизнес-процессы в целом. Нужно быстро поставить программно-аппаратные комплексы, защитить данные и сделать кучу всего ещё. И тут нужен кто-то, кто может это сделать. Но про это чуть позже, сначала давайте разберёмся немного в сути вопроса.

Как регулируется?

Сейчас деятельность финансовых организаций в области ИБ регулируется следующими основными документами:

• Серией стандартов 27 (как ИСО так и ГОСТ Р). Сейчас они рекомендательные, но по ПП822 может быть принято решение об обязательном соблюдении их требований.
• Стандарты Центробанка России. Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с ним же при присоединении к стандарту по добровольному решению организации, они становятся обязательными.
• Cтандарты международных платежных систем - PCI DSS. Теоретически возможны штрафы за несоблюдение (пока случаев в России нет), но зато бывают отказы в согласовании проектов. PCI DSS, фактически - конкретные технические требования.
• Закон «О персональных данных», естественно обязательный для выполнения, санкции по закону предусмотрены, на текущий момент планируется увеличение санкций и расширение состава правонарушений по нарушениям в области обработки/защиты персональных данных со стороны РКН.
• И последний – это 161 ФЗ «О национальной платежной системе», принятый 27 июня 2011 года, и группа подзаконных нормативных актов, принятых в соответствии с ним – это и Постановление правительства, и документы ЦБ. Является обязательным.

Правила игры примерно такие:

Насколько сырые документы?

Достаточно сырые. К примеру, есть требование об оповещении клиентов при переводе средств. Но ФЗ не говорит о способах оповещения. Банк может установить оповещение по телефону, но тогда непонятно, что делать, если телефон у абонента выключен.

Или вот более отдалённый пример, показывающий ряд особенностей таких оповещений. Один из банков просто сохранил платную услугу оповещения, второй начал оповещать бесплатно (но вот одноразовый пароль к данным – в платной части этой услуги), третий раздал клиентам терминалы для генерации паролей, но «переместил» их стоимость в другие услуги так, что её теперь сложно найти без подготовки. И, в целом, это только начало. Кто сталкивался, знает, сколько там неясных мест в плане технического и организационного регламента. Документы требуют очень детальной проработки, и это, как мне кажется, дело не одного месяца или даже года.

Что важно знать, если вы – потенциальный участник НПС

• Участники НПС обязаны защищать информацию
• Правительство РФ устанавливает требования к защите информации
• Требования к защите информации и контроль их выполнения также устанавливает Банк России, пока по факту это единственный регулятор
• Вводится система управления рисками для снижения вероятности перебоев в функционировании ПС.
• Ключевая цель защиты информации в ПС – обеспечение бесперебойности функционирования ПС
• В случае хищения денежных средств со счета клиента банк при определенных условиях обязан возместить полную сумму похищенных средств.

А теперь все будущие проблемы организаций одним списком

• Появились новые требования к защите информации в НПС от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, распространения и др. На соблюдение конфиденциальности информации, на реализацию права на доступ к информации. Им нужно следовать.
• Необходимо в принципе иметь службу ИБ.
• Важно определить порядок доступа к объектам инфраструктуры ПС,
• Нужно включить в обязанности работников выполнения требований ИБ,
• Обязательно определить угрозы ИБ и уязвимости,
• Нужно провести анализ рисков ИБ и начать ими управлять,
• Нужно постоянно выявлять инциденты ИБ и реагировать на них, и соответственно ежемесячно отчитываться об этом перед ЦБ.
• Необходимо обеспечить защиту информации при использовании интернета и пр.
• Необходимо разработать и реализовать систему защиты информации в информационных системах.
• Организовать и провести мероприятия по контролю и оценке соответствия не реже 1 раза в 2 года и опять же отчитаться об этом перед ЦБ.

И самое приятное - обязательное применение следующих (всех сразу) средств защиты:

• СЗИ от НСД
• Антивирус
• Межсетевой экран
• IDS/IPS
• Средство анализа защищенности

Что делать, доктор?

Если говорить в целом – нужно пересматривать много чего в IT и вводить новые меры информационной безопасности. Но есть нюанс.

А если у меня всё уже есть?

Как правило, у большинства организаций, которых это касается напрямую и в наиболее хардкорной части (как правило – банков и других крупных финансовых организаций) всё это (или большая часть) уже давно реализовано. Потому что защищать информацию всё-таки надо. Но теперь нужно понять, насколько хорошо всё реализовано, и в каком объеме, то есть получить по результатам проверки соответствующую оценку. И вот здесь на сцене, как правило, появляемся мы.

Делаются следующие вещи:

• Оценка соответствия требованиям к защите информации по 161-ФЗ
• Разработка рекомендаций по приведению СОИБ в соответствие требованиям 161-ФЗ
• Разработка и совершенствование существующей ОРД по обеспечению ИБ
• Инвентаризация информационных активов, анализ и описание бизнес-процессов
• Проведение оценки рисков ИБ
• Техническое проектирование системы ИБ
• Внедрение технических средств защиты информации
• Анализ защищенности информационных систем и тестирование на проникновение
• Повышение осведомленности по вопросам обеспечения ИБ
• Выстраивание процессов управления инцидентами.

Говоря более простым языком, мы проверяем все требования закона и предлагаем наиболее простые пути решения поставленной задачи. Учитывая, что в этом комплексе работ всё довольно сложно и запутанно, часто находятся «лайфхаки», позволяющие избегать крайне дорогостоящих вариантов вроде внедрения принципиально новой системы ИБ с нуля. В качестве примера – тот же доступ к информации определённого характера. Вот, например, разграничение доступа. В одном из случаев самым простым оказалось сделать это на уровне организационных мер, а не IT-инфраструктуры – просто выдавать ключи от кабинета с нужными компьютерами только одному человеку. Соответственно, сразу отпало достаточно сложное требование по защите от несанкционированного доступа. Реально разграничивать доступ (на системном уровне с помощью, например, IDM), конечно, нужно, но это больше не является стоп-фактором для соответствия требованиям ФЗ об НПС уже сейчас.

Таким образом, оценивая актуальную угрозу информационной безопасности, мы строим модели угроз, в которых прописаны, какие угрозы актуальны и как мы их собираемся закрывать. Это могут быть как технические меры, так и организационные, важно при этом, чтобы соблюдался принцип экономической целесообразности выбора той или иной защитной меры.

Наша цель при проведении таких

За исключением отдельных положений Законы N 162-ФЗ и N 161-ФЗ вступают в силу 29 сентября 2011 г.

60;физических лиц в банках Российской Федерации"" href="http://my.consultant.ru/cabinet/?mode=stat;click;d=2011-07-12;r=iw;s=consultant;dst=http%3A%2F%2Fwww.consultant.ru%2Fonline%2Fbase%2F%3Freq%3Ddoc%3Bbase%3DLAW%3Bn%3D108932">закона от 23.12.2003 N 177-ФЗ "О страховании вкладов физических лиц в банках Российской Федерации" и страхованию не подлежат.

60;платежной системе" ------------------ Не вступил в силу" href="http://my.consultant.ru/cabinet/?mode=stat;click;d=2011-07-12;r=iw;s=consultant;dst=http%3A%2F%2Fwww.consultant.ru%2Fonline%2Fbase%2F%3Freq%3Ddoc%3Bbase%3DLAW%3Bn%3D115625%3Bdst%3D100142">ч. 15 ст. 9 Закона N 161-ФЗ).

Оператор по переводу денежных средств может избежать возмещения клиенту суммы операции, совершенной без его согласия. Для этого он должен доказать, что клиент нарушил порядок использования электронного средства платежа, что и повлекло совершение такой операции (ч. 15 ст. 9 Закона N 161-ФЗ). Такие же последствия для клиента наступают, если он не был идентифицирован оператором по переводу денежных средств в соответствии с законодательством о противодействии легализации доходов, полученных преступным путем.

5. Особые требования к переводу электронных денежных средств

Согласно ч. 1 ст. 12 Закона N 161-ФЗ оператором электронных денежных средств может быть любая организация, имеющая право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, указанная в п. 1 ч. 3 ст. 1 Закона о банках и банковской деятельности. Такое лицо обязано уведомить Банк России в установленном им порядке о начале своей деятельности по осуществлению перевода электронных денежных средств. На это отведен срок не более 10 рабочих дней со дня первого увеличения остатка электронных денежных средств. Закона N 161-ФЗ устанавливает, что оператор электронных денежных средств обязан разработать правила осуществления перевода таких средств, которые должны включать:

Порядок деятельности оператора электронных денежных средств, связанной с их переводом;

Порядок предоставления клиентам электронных средств платежа и осуществления перевода электронных денежных средств с их использованием;

Порядок деятельности оператора электронных денежных средств при привлечении банковских платежных агентов, организаций, оказывающих операционные услуги и (или) услуги платежного клиринга;

Порядок обеспечения бесперебойности осуществления перевода электронных денежных средств;

Порядок рассмотрения оператором претензий (включая процедуры оперативного взаимодействия с клиентами);

Порядок обмена информацией при осуществлении переводов электронных денежных средств.

В качестве главной и безусловной обязанности оператора электронных денежных средств установлена обязанность обеспечивать бесперебойное осуществление перевода электронных денежных средств в соответствии с требованиями, установленными нормативными актами Банка России (ч. 6 ст. 12

Проводить инспекционные проверки поднадзорных организаций;

Осуществлять действия и применять меры принуждения, если поднадзорные организации нарушили требования законодательства в сфере НПС.

Для осуществления этих полномочий Банк России вправе определять формы и сроки предоставления специальной отчетности, методику ее составления. Кроме того, он может запрашивать и получать от поднадзорных организаций и участников платежной системы документы и иную необходимую информацию, а также издавать нормативные акты, касающиеся осуществления надзора в НПС (ч. ч. 2 - 4 ст. 32 Закона N 161-ФЗ).

Банк России осуществляет плановые и внеплановые инспекционные проверки поднадзорных организаций. Плановые проверки должны проводиться не чаще одного раза в два года в соответствии с утверждаемым Банком России планом проверок (ч. 1 ст. 33 Закона N 161-ФЗ). Внеплановые проверки должны осуществляться при нарушении бесперебойности функционирования значимой платежной системы.

Также ч. 3 ст. 33 Закона N 161-ФЗ установлено, что инспекционные проверки могут проводиться комплексно либо по отдельным вопросам деятельности поднадзорных организаций.

Закона N 161-ФЗ).Б) Наблюдение

Наблюдение в НПС Банк России проводит с целью совершенствования субъектами НПС своей деятельности и оказываемых ими услуг, а также развития платежных систем и платежной инфраструктуры на основе рекомендаций Банка России (ч. 5 ст. 31 Закона N 161-ФЗ).

Наблюдение в НПС включает следующие виды деятельности:

Сбор, систематизацию и анализ информации о деятельности субъектов НПС и связанных с ними объектов наблюдения (мониторинг);

Оценку деятельности наблюдаемых организаций и связанных с ними объектов наблюдения (оценка);

Подготовку по результатам оценки предложений по изменению деятельности оцениваемых наблюдаемых организаций и связанных с ними объектов наблюдения (инициирование изменений).

О банках и банковской деятельности понятие "расчеты" как банковская операция было заменено термином "перевод денежных средств". Из текста данного РФ, а также в Федеральный закон от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" предполагают создание Государственной информационной системы о государственных и муниципальных платежах.

Федеральный закон от 25.02.1999 N 40-ФЗ "О несостоятельности (банкротстве) кредитных организаций" дополнен следующим правилом. Сделка, совершенная кредитной организацией - участником или субъектом платежной системы, по которой такая организация несет обязательства в результате определения платежных клиринговых позиций (на нетто-основе) в рамках платежной системы, при условии соответствия требованиям Закона N 161-ФЗ не может быть признана недействительной согласно законодательству о банкротстве.

В Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" введена новая норма. Согласно ей при осуществлении перевода денежных средств по требованию клиента - физического лица его идентификация обязательна лишь в случае, если сумма перевода превышает 15 тыс. руб. или эквивалентную сумму в иностранной валюте.

В Кодекс РФ об административных правонарушениях введены составы административных правонарушений, предусматривающие ответственность за неисполнение требований Закона N 161-ФЗ в виде штрафа, который может достигать 500 тыс. руб. (ст. 15.36 КоАП РФ).

Примечательны изменения, внесенные в Федеральный закон от 07.07.2003 N 126-ФЗ "О связи". Закон N 162-ФЗ устанавливает, что денежные средства, являющиеся авансом абонента - физического лица за услуги связи, могут быть использованы для увеличения его остатка электронных денежных средств в соответствии с