Коллектив авторов - Платежные системы
На основании Указания ЦБ РФ от 14.09.2011 № 2695-У[215], Банк России устанавливает ряд требований к обеспечению бесперебойности осуществления перевода электронных денежных средств, возлагая на оператора электронных денежных средств обязанность принимать соответствующие меры по систематизации информации, недопущению нарушений функционирования операционных и технологических средств, устройств, систем, устранению нарушений и анализу их причин, обеспечению сохранения функциональных возможностей операционных и технологических средств, устройств, систем при сбоях в их работе и осуществлению их тестирования. Кроме того, данное указание предписывает необходимость разработки на уровне кредитной организации внутренних документов, включающих положения, направленные на обеспечение бесперебойности осуществления перевода электронных денежных средств.
Для повышения качества обслуживания клиентов и снижения рисков платежей Банк России сформулировал ряд рекомендаций для кредитных организаций, обслуживающих платежных агентов и банковских платежных агентов.[216] Данные рекомендации касаются соблюдения требования открытия отдельного банковского счета платежными агентами в кредитной организации, порядка взаимодействия между кредитной организацией и платежным агентом, а также порядка контроля деятельности платежных агентов в части оказания ими платежных услуг физическим лицам.
При организации обслуживания платежных агентов Банк России рекомендует кредитным организациям в рамках реализации принципа «знай своего клиента» осуществить разработку адекватной политики и процедур, включающих порядок осуществления операций по отдельным банковским счетам, открываемым платежными агентами (банковским платежными агентами), и мониторинга указанных операций. Кредитным организациям также рекомендуется доводить до платежных агентов (банковских платежных агентов) информацию о требованиях законодательства РФ, регулирующего порядок приема платежей физических лиц, а также информацию о требованиях законодательства о противодействии легализации доходов, полученных преступным путем, и финансированию терроризма.
Для повышения качества обслуживания клиентов – физических лиц, а также их информированности о содержании и стоимости услуг по переводу денежных средств и связанных с ними рисках Банк России сформулировал для кредитных организаций, оказывающих услуги по переводу денежных средств по поручению физических лиц без открытия банковского счета в зарубежные страны, рекомендации, основанные на принципах, разработанных международными организациями, соответствующие передовой международной практике.[217]
К деятельности Банка России по повышению качества розничных платежных услуг также можно отнести развитие российских платежных систем расчетов платежными картами. Сегодня в РФ наибольшую долю (по количеству платежных карт, объему и количеству операций) занимают международные платежные системы, лидерами среди которых являются VISA и MasterCard. При этом по статистике 2011 года в международных платежных системах доля безналичных операций по оплате товаров и услуг составила 40,8 % по количеству и 18,1 % по объему операций. Аналогичные показатели по картам российских платежных систем были значительно выше и составили 57,0 % по количеству и 49,0 % по объему операций.[218] В этой связи, можно предположить, что развитие российских систем расчетов платежными картами позволит повысить удельный вес безналичного розничного платежного оборота.
Еще одним немаловажным направлением деятельности Банка России в области повышения качества платежных услуг, в том числе и розничных, можно считать, стандартизацию операций в рамках платежной системы.
Стандартизация позволяет повысить эффективность, надежность, прозрачность, своевременность и доступность платежных операций. Кроме того, формулируя и применяя стандарты, Банк России основывается на передовом международном опыте и его адаптации к российской специфике.
В 2010 году был создан Технический комитет по стандартизации № 122 «Стандарты финансовых операций» в целях организации и проведения работ по национальной, межгосударственной и международной стандартизации финансовых операций. В данных комитет вошел Банк России, а также более 50 организаций, представляющих органы государственной власти, кредитные организации и их ассоциации, инфраструктурные организации финансовых рынков и иные заинтересованные стороны, в том числе представители рынка розничных платежных услуг.
По общепринятой практике, одним из направлений деятельности российского Технического комитета «Стандарты финансовых операций» является гармонизация национальных стандартов с соответствующими международными стандартами, в данном случае разрабатываемыми и сопровождаемыми Техническим комитетом 68 «Финансовые услуги» Международной организации по стандартизации, г. Цюрих, Швейцария (далее – ИСО/ТК 68). Основными направлениями деятельности ИСО/ТК 68 являются безопасность финансовых (банковских) операций, технологии операций на финансовых рынках, технологии основных финансовых (банковских) операций, пластиковые карты и иные розничные банковские услуги, мобильные платежи. Специалисты Банка России принимают активное участие в деятельности ряда подкомитетов и рабочих групп ИСО/ТК 68, что позволяет получать оперативную информацию о новых направлениях в области стандартизации финансовых операций и готовящихся модификациях действующих международных стандартов.[219]
Ниже нами будет рассмотрен ряд стандартов обеспечения и оценки информационной безопасности в системе платежей.
2. Повышение безопасности розничных платежных услуг (особенно осуществляемых с использованием электронных средств платежа) на основе противодействия мошенничеству, несанкционированным операциям и защиты информации.
В многообразной деятельности, связанной с противодействием несанкционированным операциям, можно выделить основные направления, характерные для всех стран:
– разработка соответствующих рекомендаций;
– создание специализированных баз данных;
– организация взаимодействия между заинтересованными участниками рынка розничных платежных услуг;
– повышение финансовой и технической грамотности;
– разработка стандартов безопасности и качества оказания розничных платежных услуг.[220]
Так, Банк России в Письме 34-Т от 01.03.2013 г. сформулировал рекомендации по повышению уровня безопасности при использовании банкоматов и платежных терминалов, согласно которым кредитным организациям следует классифицировать и периодически пересматривать классификацию мест установки устройств по степени риска подвергнуться попыткам взлома, установки скиммингового оборудования и воздействия вредоносного кода, а также совершения несанкционированных операций; оснащать устройства защитным оборудованием и специальным программным обеспечением; контролировать устройство на регулярной основе, в том числе через системы удаленного мониторинга и видеонаблюдения; информировать Банк России и всех заинтересованных лиц о фактах и попытках совершения несанкционированных операций; осуществлять страхование, надлежащее крепление устройств и установку их преимущественно в безопасных местах; предусматривать возможность безопасного использования устройств маломобильными группами населения, людьми с ограниченными возможностями здоровья.
Следует отметить, что в 2009 году реализован проект по созданию межбанковского информационного ресурса, обеспечивающего закрытый канал обмена данными по инцидентам с платежными картами и информационной безопасностью.[221]
Как уже отмечалось выше, информационная безопасность платежей может быть достигнута также путем стандартизации отдельных процедур.
7 мая 2009 года был принят Банком России и введен в действие Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0» (СТО БР ИББС-1.2-2009), а в 2010 году его заменил стандарт СТО БР ИББС-1.2-2010. Данный стандарт устанавливает способы определения степени выполнения требований Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0).
Стандарт (СТО БР ИББС-1.0) устанавливает общие требования к обеспечению информационной безопасности в кредитных организациях автоматизированных банковских систем на стадиях жизненного цикла, банковских платежных и информационных технологических процессов, средствами антивирусной защиты, при назначении и распределении ролей и обеспечении доверия к персоналу, при управлении доступом и регистрации, при использовании ресурсов сети Интернет, при использовании средств криптографической защиты информации.