Читаем Платежные системы полностью

Так, Банк России в Письме 34-Т от 01.03.2013 г. сформулировал рекомендации по повышению уровня безопасности при использовании банкоматов и платежных терминалов, согласно которым кредитным организациям следует классифицировать и периодически пересматривать классификацию мест установки устройств по степени риска подвергнуться попыткам взлома, установки скиммингового оборудования и воздействия вредоносного кода, а также совершения несанкционированных операций; оснащать устройства защитным оборудованием и специальным программным обеспечением; контролировать устройство на регулярной основе, в том числе через системы удаленного мониторинга и видеонаблюдения; информировать Банк России и всех заинтересованных лиц о фактах и попытках совершения несанкционированных операций; осуществлять страхование, надлежащее крепление устройств и установку их преимущественно в безопасных местах; предусматривать возможность безопасного использования устройств маломобильными группами населения, людьми с ограниченными возможностями здоровья.

Следует отметить, что в 2009 году реализован проект по созданию межбанковского информационного ресурса, обеспечивающего закрытый канал обмена данными по инцидентам с платежными картами и информационной безопасностью.[221]

Как уже отмечалось выше, информационная безопасность платежей может быть достигнута также путем стандартизации отдельных процедур.

7 мая 2009 года был принят Банком России и введен в действие Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0» (СТО БР ИББС-1.2-2009), а в 2010 году его заменил стандарт СТО БР ИББС-1.2-2010. Данный стандарт устанавливает способы определения степени выполнения требований Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0).

Стандарт (СТО БР ИББС-1.0) устанавливает общие требования к обеспечению информационной безопасности в кредитных организациях автоматизированных банковских систем на стадиях жизненного цикла, банковских платежных и информационных технологических процессов, средствами антивирусной защиты, при назначении и распределении ролей и обеспечении доверия к персоналу, при управлении доступом и регистрации, при использовании ресурсов сети Интернет, при использовании средств криптографической защиты информации.

Кроме того, данный стандарт Банка России определяет требования к организации и функционированию службы информационной безопасности организации банковской системы РФ, к определению области действия системы обеспечения информационной безопасности, к выбору подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности, к разработке планов обработки рисков нарушения информационной безопасности, к разработке внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности, к организации реализации планов внедрения системы обеспечения информационной безопасности, к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности, к организации обнаружения и реагирования на инциденты информационной безопасности, к мониторингу и контролю защитных мер, к проведению самооценки информационной безопасности, к проведению аудита информационной безопасности, к принятию решений по стратегическим и тактическим улучшениям системы обеспечения информационной безопасности.

Стандарт (СТО БР ИББС-1.2-2010) детально прописывает методику оценки соответствия информационной безопасности организаций требованиям вышеуказанного стандарта, которая определяет: состав показателей информационной безопасности и способы их оценивания; способы оценивания текущего уровня информационной безопасности; способы оценивания менеджмента информационной безопасности организации и уровня осознания информационной безопасности; способы определения итогового уровня соответствия информационной безопасности организации требованиям.

Существует также стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» (СТО БР ИББС-1.1-2007), который устанавливает требования к проведению внешнего аудита информационной безопасности.

Неотъемлемым элементом повышения безопасности системы розничных платежей является работа Банка России по повышению финансовой грамотности населения.

Повышение финансовой грамотности населения в сфере платежных услуг способствует формированию у населения стимулов и навыков разумного и ответственного использования безналичных платежных инструментов, раскрывает их преимущества, повышает уровень доверия и содействует развитию безналичных расчетов.[222]