29 сентября 2011 года, за исключением отдельных положений, вступил в силу Федеральный закон от 27.06.2011 года № 161-ФЗ "О национальной платежной системе", а также Федеральный закон № 162-ФЗ о внесении изменений в отдельные законодательные акты в связи с вступлением в силу Федерального закона "О национальной платежной системе", регулирующие порядок оказания платежных услуг и определяющий требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе. Однако, Федеральный закон "О национальной платежной системе" крайне неоднозначен, в законе очень мало конкретики, по большей части он содержит набор абстрактных требований. 

Хотелось бы отметить, что ФЗ "О национальной платежной системе" и ФЗ от 03.06.2009 года № 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами во многом идентичны, используется одинаковая терминология, установлены единые требования, однако законы распространяют свое действие на различных субъектов.

Требования Федерального закона № 161-ФЗ


Во исполнение №161-ФЗ в июне 2012 года был опубликован ряд документов, в том числе Постановление Правительства РФ и документы Банка России, детализирующие требования №161-ФЗ в части обеспечения защиты информации в национальной платежной системе. 1 июля 2012 года вступила в действие статья 27 Закона об национальной платежной системе, которая устанавливает обязательное обеспечение защиты информации в платежных системах. 

Независимо от роли, которую организация играет в рамках платежной системы, к ней применимы и обязательны для исполнения требования нормативных документов Банка России, разработанных на основании Закона об национальной платежной системе. На сегодняшний день ключевыми из таких документов являются: 
  1. Положение Банка России от 09.06.2012 года № 382-П: «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» 
  2. Указание Банка России от 09.06.2012 года № 2831-У: «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»
Положения новых нормативных документов по защите информации в национальной платежной системе привносят ряд дополнительных обязательных требований к субъектам национальной платежной системы, в том числе:

Ответственность за неисполнение требований 

Наиболее же значимым отличием появившихся документов по защите информации в национальной платежной системе от Комплекса БР ИББС является их обязательность для субъектов национальной платежной системы и наличие реальной ответственности за неисполнение установленных в них требований: Статья 15.36 КОАП РФ «Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе» «Повторное в течение года неисполнение оператором платежной системы, операционным центром, платежным клиринговым центром предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе, влечет наложение административного штрафа на должностных лиц в размере от 30 тысяч до 50 тысяч рублей; на юридических лиц - от 100 тысяч до 500 тысяч рублей». Кроме того, №161-ФЗ впервые наделил Банк России правом нормативного регулирования информационной безопасности субъектов национальной платежной системы, который официально получил возможность влиять на обеспечение защиты информации при оказании субъектами национальной платежной системы своих услуг, таких как переводы денежных средств, интернет-платежи, мобильные платежи, а также различные дистанционные услуги.