Банк России готовит изменения требований к информационным технологиям, используемым в национально значимых платежных системах. Согласно новым требованиям, с 2018 года операторы платежных систем должны будут защищать свою информацию исключительно российскими средствами. По мнению экспертов, это не сулит им ничего хорошего.
Год назад Банк России выпустил указание № 3342-У, в котором были изложены требования к информационным технологиям, которые обязан применять оператор услуг платежной инфраструктуры, если хочет, чтобы его платежная система признавалась национально значимой. Если оператор считает, что соответствие этим требованиям для него слишком обременительно, его система не признается национально значимой и облагается существенным обеспечительным депозитом.
Ни Visa, ни MasterCard требования не касаются, национально значимыми они не являются, а вот крупные системы денежных переводов (Contact, UNIStream, БЭСТ, «Лидер» и т. д.) под эти требования подпадают. Также национально значимой считается Национальная система платежных карт (НСПК).
Фактически требования из указания № 3342-У сводятся к тому, что четверть программного обеспечения, используемого оператором, должна быть разработана российскими организациями, платежные карты должны соответствовать отечественным ГОСТам, изготавливаться на территории России, а криптографический модуль в этих картах должен иметь сертификат ФСБ и (или) иметь сертификаты соответствия стандартам безопасности не менее двух иностранных платежных систем.
В мае 2015 года Банк России разослал участникам рынка проект изменений к № 3342-У, в которых некоторые требования получили развитие – как водится, в сторону ужесточения. Так, теперь оператор национально значимой платежной системы должен использовать полностью российские средства защиты информации, программные и аппаратные.
Такие средства в стране разрабатываются, ничего невыполнимого в этом требовании нет, но заменить парк внедренных защитных средств – дело небыстрое и недешевое, благо времени на это дают до 2018 года. Как рассказал порталу Банки.ру председатель правления UNIStream Кирилл Пальчун, «в настоящее время большинство банковских информационных систем используют стандартные средства управления доступом и регистрацией событий, являющиеся частью операционной системы. Эти средства имеют сертификаты ФСТЭК. При этом самая распространенная операционная система – Windows от Microsoft. Согласно проекту изменений, вместо стандартных средств управления доступом операционных систем необходимо будет использовать российские аналоги. Естественно, это потребует определенных затрат с нашей стороны.
По мнению Пальчуна, однозначно выиграет рынок производителей российских систем защиты информации, но это не будет стимулировать конкуренцию и, как следствие, дальнейшее развитие технологий. Для игроков рынка это будет означать дополнительные расходы, которые в конечном итоге частично будут переложены и на клиентов.
Более оптимистично смотрит на проект председатель совета директоров платежной системы «Лидер» Ольга Вилкул: «Для выполнения указания Банка России платежной системе «Лидер» изменения не потребуются. Все технологии, используемые в работе процессинга, – это наши собственные разработки. Многие из них запатентованы в России. 40% сотрудников компании работают в сфере IT и занимаются постоянным совершенствованием процессинговой площадки системы». Правда, из этих слов следует, что «Лидер» также самостоятельно разрабатывает средства защиты информации, вместо того чтобы использовать продукты известных в отрасли производителей, как это обычно делается. Однако с позиции Банка России это вполне нормально: главное, чтобы имелись все подобающие сертификаты.
Тем временем Национальный совет финансового рынка (НСФР) подготовил экспертное заключение на проект изменений в указание № 3342-У. В обсуждении участвовали эксперты из тех самых национально значимых платежных систем, которых эти изменения должны непосредственно затронуть. По их мнению, некоторые положения проекта требуют уточнений, ибо способны создать весьма неприятные сложности для участников рынка.
Так, в пункте 1.4 указания № 3342-У, который гласит, что криптографический модуль, используемый платежной картой, должен иметь сертификат ФСБ и (или) сертификат безопасности двух или более иностранных платежных систем, Банк России собрался убрать слово «или». Как отмечают эксперты НСФР, если следовать букве нового варианта пункта 1.4, национально значимая платежная система обязана будет использовать карты, криптографический модуль которых должен быть сертифицирован одновременно как ФСБ, так и иностранными платежными системами.
По мнению НСФР, это приведет к тому, что национально значимые платежные системы долгое время не смогут работать с картами международных платежных систем, а национальные платежные карты, наоборот, нельзя будет использовать в инфраструктуре МПС. Просто потому, что получить сертификат ФСБ для иностранного криптографического модуля – тяжелая и долгая процедура, а сертифицировать отечественный модуль в международных системах будет еще сложнее. При этом от нового требования пострадает, по сути, лишь Национальная система платежных карт, так как из всех национально значимых систем лишь она одна будет работать и с иностранными, и с отечественными платежными картами.
Наконец, новые требования Банка России могут создать еще одну проблему для российских платежных систем. Как гласит заключение НСФР, обязательное использование сертифицированного ФСБ криптографического модуля российской разработки потребует модификации всех устройств, принимающих карты на территории Российской Федерации. Как полагают эксперты, отведенных на это двух с половиной лет может не хватить, такая задача потребует не менее 5–7 лет. Масштаб финансовых затрат на подобное мероприятие оценить сложно. Ясно лишь, что они значительны.
Не до конца ясен вопрос, кого именно коснутся новые требования. Проблема криптографического модуля актуальна для национально значимых платежных систем, использующих платежные карты: из таких у нас УЭК, NCC и НСПК. При этом последней непризнание национально значимой не грозит – в соответствии с пунктом 14 статьи 22 161-ФЗ «О национальной платежной системе», НСПК признается национально значимой без всяких условий.
Хочется верить, что в конечном итоге Банк России прислушается к экспертам и внесет в проект необходимые изменения. Еще более важно, чтобы будущие исправления не принесли новых проблем участникам платежного рынка. В любом случае регулятор сможет закрыть глаза на невыполнение невыполнимых требований – лишь бы не наломать дров.
Начать дискуссию