14 августа Банк России утвердил, а 10 сентября это сделал Минюст, новое Указание №3361 (в Консультанте+), вносящее изменения в 382-П. Я про него уже писал в мае, а сейчас хотел бы описать некоторые отличия финальной версии от проекта:
- Новое указание было опубликовано в «Вестнике Банка России» №83 от 17 сентября. С этого момента необходимо отсчитать 180 дней на вступление в силу. Итого, с 16 марта 2015 года положения обновленного 382-П становятся обязательными для всех участников НПС.
- Расчетные (дебетовые), кредитные карты, которые начинают действовать после 1 июля 2015 г., выданные (эмитированные) кредитными организациями на территории России, должны быть оснащены микропроцессором. До этой даты достаточно наличия магнитной полосы.
- Обновленный п.2.3 говорит об обязанности применения антифрод решений.
- Новый п.2.3.3 «применение объектов информационной инфраструктуры, обладающих функциональными и конструктивными особенностями, связанными с обеспечением защиты информации при осуществлении переводов денежных средств и реализации контроля за их функционированием» для меня остался непонятным 🙁
В остальном сильных изменений от проекта я не заметил. Внесены некоторые изменения в проектные формулировки, делающие отдельные требования более понятными. В остальном все осталось также.
Этот комментарий был удален автором.
Еще затрудняет восприятие сотни раз повторяющаяся копипаста.
"Оператор по переводу денежных средств, банковский платежный агент (субагент),
оператор услуг платежной инфраструктуры"
Можно же было просто сгруппировать требования к каждому оператору, а не заниматься раздуванием документа.
Не сотни. Там эта комбинация может разбавляться добавлением оператора ПС или удалением агента или в иных комбинациях. Но соглашусь — реально глаз устает от повторов этих "операторов"
К сожалению в России никто не думает о том, как сделать нормативный документ удобным. Ничего не мешало структурировать требования по группам.
Кроме того формулировка многих требований предельно запутана и неконкретна. Чего только стоит "..реализация функций, связанных с предотвращением НСД к защищаемой информации". Интерпретировать эти требования можно как угодно, нет объективных критериев оценки.
Андрей, в документе все по группам разбито. А вот с неясностью фомулировок некоторых требований согласен
Этот комментарий был удален автором.
Был на семинаре Банка России, выступал представитель департамента платежных систем, который входит в группу, занимающуюся разработкой 382-П.
По поводу формулировок он отметил, что они не нравятся им самим, но таковы правила составления нормативных документов.
По поводу п.2.3 Положения, указанные требования действительно могут применяться (или не применяться) на основании оценки рисков с учетом указанных критериев. При этом решение о применении/неприменении обязательно должно быть задокументировано.
Кстати, представитель департамента надзора высказал такую же мысль и в отношении рекомендаций информационного письма 49-Т Об антивирусах.