Rambler's Top100
Блоги Алексей ЛУКАЦКИЙ

Обязательство банков уведомлять об инцидентах вынесено на уровень закона

  09 июня 2017 Страница персоны
30 мая в Госдуму был внесен законопроект, который устанавливает следующие нормы (путем внесения поправок в ФЗ-161 о национальной платежной системе):
  1. При выявлении оператором по переводу денежных средств (то есть банком) признаков совершения переводов денежных средств без согласия клиента оператор обязан выполнить ряд обязательных шагов
    • Приостановить платеж
    • Приостановить использование электронного средства платежа
    • Информировать клиента о предыдущих двух шагах
    • Предоставить клиенту информацию о выявленных признаках мошенничества и рекомендации по снижению вероятности его повтора
  2. Обязательные признаки мошенничества устанавливаются Банком России (в предыдущих редакциях это мог делать и сам банк).
  3. Клиент обязан незамедлительно уведомлять банк о фактах несанкционированного доступа или утери электронного средства платежа.
  4. Между банком получателя и банком плательщика устанавливаются правила взаимодействия в случае мошеннических операций, включая и возврат незаконно списанных денежных средств.
  5. Если будет доказано, что клиент неправомерно заявил о списании средств, то все убытки для получателя несет клиент (плательщик).
  6. Все участники НПС, попадающие под действие 27-й статьи (по защите информации в НПС) теперь обязаны соблюдать нормы ЦБ в области противодействия мошенничеству, установленные Банком России (ждем этих норм после принятия законопроекта). В том числе участники НПС обязаны назначать соответствующих должностных лиц, подотчетных СВК (не ИБ).
  7. ЦБ обязуется вести базу инцидентов по мошенническим операциям и предоставлять из нее информацию участникам НПС, в названии которых есть слово "оператор".
  8. Все участники НПС, в названии которых есть слово "оператор", обязаны уведомлять ЦБ обо всех инцидентах, связанных с мошенничеством. Правила установит Банк России.
  9. Специально указано, что информация об инцидентах не относится к банковской тайне.
Также новый законопроект наделяет ЦБ правом устанавливать, по согласованию с ФСТЭК и ФСБ, обязательные для кредитных и некредитных финансовых организаций требования по защите информации, за исключением требований по защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.

Ну что можно сказать? Законопроект описывает ровно то, что говорится в дорожной карте, о которой я уже писал ранее. Интересных моментов тут несколько:
  1. Роль FinCERTа возрастает еще больше. Тут и активное участие в проверках, и разработка методических рекомендаций и требований для банков, и многое другое. Кстати, недавно у этого подразделения сменился руководитель.
  2. Если сейчас обязанность уведомлять об инцидентах установлена только для АРМ КБР (в 552-П), то новые требования говорят уже обо всех видах инцидентов, связанных с мошенничеством. Учитывая оперативность, с которой мошеннические операции должны быть остановлены, срок уведомления будет тоже небольшим (возможно, те же 3 часа, как и в 552-П).
  3. Появляется база инцидентов, о которой говорили в Магнитогорске несколько лет назад. И хотя ЦБ говорит, что она будет закрытой, существует вероятность утечек из нее с последующими репутационными рисками для банков-жертв. 
  4. ЦБ утверждает, что из этой базы данные если и будут предоставляться участникам НПС, то в ограниченном объеме и, скорее всего, о дропперах. Но тут всплывает старая история про персональные данные, так как информация о человеке (даже о дроппере) относится именно к ним и на их распространение нужно согласие субъекта (под исключения данная деятельность не попадает). Но во внесенном законопроекте про это ни слова.
  5. Также в свое время планировалось вносить поправки в УК и УПК, облегчающие расследование мошеннических операций, но и про это в текущем законопроекте ни слова. Видимо не договорились между собой разные участники законодательной инициативы. Прописана только процедура разбирательств в арбитраже.
  6. ЦБ наконец-то получает право (если примут законопроект) регулировать ИБ не только в банках и НПС, но и во всех некредитных финансовых организациях. Страховые, негосударственные пенсионные фонды, микрофинансовые организации, брокеры, биржи (глубже, чем сейчас) и другие попадают под руководящую длань Банка России в полный рост.
  7. Интересная ситуация с последним пунктом про возможность установления требований по защите информации по согласованию с ФСТЭК и ФСБ. Вспоминаю историю с принятием ГОСТа по базовым защитным мерам - тогда ФСТЭК выступал явно против ГОСТа, а ФСБ - против одной из норм. При этом текст стандарта несмотря на это был утвержден на заседании ПК1 ТК122 и должен быть отправлен в Ростехрегулирование. Но если ФСТЭК и ФСБ не согласуют эти требования, то дальше что?.. По новой запускать процедуру согласования или вносить изменения задним числом уже без согласования с членами подкомитета? Тут вообще сложные материиИнтересно будет следить за судьбой этого законопроекта.
Интересно будет следить за судьбой этого законопроекта.
Источник

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.