18 июля 2018 г.

Алгоритм действий банка в случае инцидентов в ДБО согласно закону РФ от 27 июня 2018 №167-ФЗ

Согласно закону РФ от 27 июня 2018 № 167-ФЗ, в закон от 27 июня 2011 года №161-ФЗ "О национальной платежной системе" внесен ряд изменений (вступают в силу спустя 90 дней с момента опубликования). Таким образом, с 26 сентября 2018 года, согласно закону РФ № 167-ФЗ, банки должны будут оценивать риски несанкционированных переводов денежных средств и разрабатывать свои критерии таких переводов*. Банк России, в свою очередь, должен опубликовать критерии определения потенциально мошеннических операций**.

По новой версии №161-ФЗ банкам необходимо внедрить механизмы блокировок сомнительных операций в ДБО (в тех банках, где это до сих пор не сделано) и (возможно) внести изменения в действующие договоры ДБО с клиентами. При обнаружении признаков несанкционированного перевода денежных средств, банки с октября 2018 года обязаны будут приостановить исполнение платежа на срок до двух дней и запросить его подтверждение у клиента.
Ниже, основываясь на нововведениях в законе №161-ФЗ, представлено описание процессов реагирования на инциденты ИБ в системах ДБО для случаев: а) блокировки платежа по инициативе клиента – схема №1 и б) блокировки платежа по инициативе банка - схема №2.



* Законом РФ от 27 июня 2018 № 167-ФЗ в закон от 27 июня 2011 года №161-ФЗ внесено, в том числе, следующее дополнение: “Оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности)”.
** Законом РФ от 27 июня 2018 № 167-ФЗ в закон от 27 июня 2011 года №161-ФЗ "О национальной платежной системе" внесено, в том числе, следующее дополнение: “Признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России и размещаются на его официальном сайте в информационно-телекоммуникационной сети "Интернет".

P.S. 1) Банк России опубликовал Признаки осуществления перевода денежных средств без согласия клиента (утв. приказом Банка России от 27 сентября 2018 года № ОД-2525)

2) Банк России в своем Информационном письме от 9 октября 2018 года № ВН-03-56-3-2/3398 по проверке выполнения требований, изложенных в 167-ФЗ (приостановка платежей по Признакам, установленных Банком России, реализация мероприятий по противодействию осуществлению переводов денежных средств без согласия клиентов, обязанность информирования Банк России обо всех случаях (попытках) осуществления переводов денежных средств без согласия клиентов), дает отсрочку в 180 дней с даты вступления 167-ФЗ (26.09.2018)

3) с 01.11.2018 вступил в силу Стандарт Банка России СТО БР БФБО-1.5-2018 "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена по выявлению инцидентов, связанных с нарушением требований к обеспечению защиты информации"

4) Указание Банка России от 25.12.2018 № 5039-У "О формах и порядке направления операторами ... о приостановлении зачисления денежных средств ..." опубликовано в Вестнике Банка России № 9 от 05.02.2019

Алгоритм действий банка в случае инцидентов в ДБО в формате .vsd можно скачать здесь.

2 комментария:

  1. Спасибо! А почему в данном контексте на схемах говорится об инцидентах ИБ в СДБО? Разве тут речь не о процессах приостановления и перевода и возврата средств по инициативе клиента и банка?
    Не думаю, что корректно сразу считать это инцидентом ИБ.

    ОтветитьУдалить
  2. Вы правы. В данной заметке (из-за тематической направленности блога на ИБ) рассматривается лишь частный случай приостановления и перевода и возврата средств по инициативе клиента или банка. Приостановка платежей, проведенных в СДБО и/или возврат средств в случае платежа через ДБО без согласия клиента - головная боль службы ИБ банка (и не только ИБ). Считать ли это инцидентом или событием (как в отчетности 0403203 "Сведения о событиях...") ИБ? Тонкости, в курсе которых только служба ИБ.

    ОтветитьУдалить