Несколько вводных слов о том, что такое вообще – система БЭСП
advertisement
С. В. Конявская, к. ф. н., ОКБ САПР О подготовке кредитных организаций к подключению к системе БЭСП Несколько вводных слов о том, что такое вообще – система БЭСП. Это система валовых расчетов в режиме реального времени. Такие системы есть более чем в 80 странах мира. Возникновение этих систем обусловливается тем, что срочность как правило требуется для крупных и сверхкрупных платежей (при том, что сами эти платежи составляют лишь около 5 % всех платежей, по ним проходит около 95 % денежных средств). Именно поэтому они должны как можно быстрее становиться окончательными, и обеспечиваться надежным управлением рисками. Как правило, владельцем и оператором таких систем во всех странах выступает национальный банк. В нашей стране система валовых расчетов в режиме реального времени называется системой БЭСП – системой банковских электронных срочных платежей. Система БЭСП – это дополнительная система – она функционирует наряду с системами межрегиональных и внутрирегиональных электронных расчетов, то есть участники системы БЭСП могут проводить платежи через платежную систему Банка России и с применением систем ВЭР и МЭР. Система БЭСП – централизованная на федеральном уровне, и обеспечивает валовые расчеты по срочным платежам в режиме реального времени вне зависимости от территориального расположения того или иного участника системы. Таким образом получается, что, по сути, в едином центре обрабатывается информация всех участников системы по всей стране. То есть система с центром в одной точке имеет очень широкий периметр, причем периметр принципиально расширяемый – за счет подключения к системе новых участников. Если представить себе ее в плане, то получится юбка с очень широким подолом и узкой талией. Это, естественно обуславливает очень жесткие требования к технической реализации системы, и в том числе, конечно, к обеспечению информационной безопасности, потому что край широк, удален – в том числе территориально, более того, по периметру расположены разные организации, а не только филиалы одной, как в обычных территориально распределенных системах. При этом, как в любой системе – ее общий уровень защищенности определяется самым слабым звеном. Поэтому махнуть рукой и позволить защищать информацию Участникам так, как они сами считают нужным – Банк не может, поскольку защищенностью центров обработки рисковать совершенно невозможно – цена вопроса тут слишком велика. Соответственно остается только тот вариант, согласно которому Банк и действует. А именно – система безопасности информации на уровне принадлежащих Банку России частей системы обеспечивает Банк, а на стороне Участников – сами участники, но по жестким требованиям Банка России. Главная особенность платежей через систему БЭСП – это то, что платежи немедленные. Это очень важно, когда платежи крупные и сверхкрупные. Электронное платежное сообщение, переданное в систему БЭСП сразу принимается в обработку и расчет осуществляется сразу после прохождения всех видов контроля, если платеж удовлетворяет условиям критерия немедленного расчета. Платежи на общих основаниях осуществляются в порядке поступления, но есть категория платежей, имеющая приоритет в обработке – это экстренные платежи. Если условия критерия немедленного расчета не выполняются, или если ЭПС поступило в момент, когда в обработке уже находится другое ЭПС для того же счета, то оно ставится во внутридневную очередь и платеж получает статус отложенного. Приоритет во внутредневной очереди, после экстренных, имеют платежи на бОльшие суммы. Далее есть регламент оптимизации расчетов по платежам из внутридневной очереди, он описан в Указании Банка России «О порядке проведения платежей и осуществления расчетов в системе валовых расчетов в режиме реального времени Банка России». Если в течение одного операционного дня системы БЭСП (о специфике операционного дня системы БЭСП скажу чуть ниже) – расчет по отложенному платежу так и не был произведен, то платеж аннулируется, о чем извещаются обе стороны (плательщик и получатель). В связи с этим сразу скажу о еще одной принципиальной особенности проведения платежей через систему БЭСП – проводится каждый платеж в течение одного операционного дня системы. То есть списание средств со счета плательщика и зачисление на счет получателя происходит с одной и той же календарной датой. Платеж считается безотзывным с момента списания средств со счета плательщика, и окончательным – с момента их зачисления на счет получателя. То есть, тем самым, все платежи в системе БЭСП – безотзывные и окончательные. Для того чтобы не было возможности злоупотреблений или технических неувязок, вызванных разницей во времени между центром и территориально удаленным Участником системы, операционный день системы БЭСП везде одинаковый, не предполагает сдвигов с учетом местного времени. Устанавливается регламент функционирования системы БЭСП Банком России и централизованно сообщается Участникам системы. Еще одна особенность, которую я косвенно уже упоминала, но на которой совершенно необходимо остановиться отдельно, заключается в том, что запросы по одному и тому же счету обрабатываются системой последовательно. То есть сначала обрабатывается одно обращение – проверки, оценка ликвидности, соответствия критериям немедленного расчета, и все остальные необходимые этапы, и только затем, после списания средств со счета плательщика и зачисления их на счет получателя – обрабатывается следующее обращение. Таким образом невозможна ситуация, при которой будут обработаны параллельно два обращения, сумма каждого из которых меньше, чем предельно допустимая для счета плательщика, но общая сумма которых – превышает сумму ликвидности. Хорошо понятно, что эта мера абсолютно принципиальна. Если в обычных случаях небольшой овердрафт, который может произойти из-за параллельный расчетов – не составит большой проблемы, то в случае сверхкрупных безотзывных платежей – цена вопроса слишком высока. Участие в системе БЭСП Система БЭСП функционирует в платежной системе Банка Росси и расчеты в ней производятся за счет средств, находящихся на банковских счетах участников, открытых в Банке России и обслуживаемых территориальными учреждениями Банка России. Участниками системы БЭСП могут быть: подразделения расчетной сети Банка россии, осуществляющие расчетное обслуживание клиентов Банка России, другие структурные подразделения Банка России, кредитные организации и их филиалы, другие клиенты Банка России. Форм участия в системе – две: прямое и ассоциированное. Ассоциированное участие отличается от прямого тем, что расчеты осуществляются и платежи проводятся через платежную систему Банка России на уровне территориальных учреждений, и пользоваться Ассоциированные участники расчетов могут не всеми услугами системы БЭСП. В частности, АУР могут осуществлять только платежи на общих основаниях, а с пометкой «экстренные» - нет. Прямая форма участия доступна двум типам участников – Прямым участникам расчетов и Особым участникам расчетов. Особыми участниками расчетов могут быть только подразделения расчетной сети Банка России или другие структурные подразделения Банка России. Прямыми участниками расчетов могут быть кредитные организации или их филиалы. По решению Банка России в состав ПУР могут включаться другие организации (не являющиеся кредитными). Ассоциированным участником расчетов могут быть как подразделения Банка россии, не являющиеся ОУР, так и кредитные организации или их филиалы, не являющиеся ПУР, а по решению Банка России – также и другие его клиенты, не являющиеся кредитными организациями. Еще раз напомню – участником системы БЭСП может быть только подразделение Банка России или клиент Банка России. Организации, не являющиеся подразделениями Банка России могут включаться в состав участников системы БЭСП только в том случае, если обслуживающее их учреждение Банка России является ОУР. Для того чтобы стать Участником системы, кредитная организация (или другой клиент Банка России) должна представить в обслуживающее учреждение Банка России заявление. Это заявление является Приложением к Положению о системе валовых расчетов в режиме реального времени Банка России, опубликовано, и доступно на сайте Банка России. Для включения в состав участников системы БЭСП кредитная организация должна а) иметь банковский (или корреспондентский) счет (или субсчет), открытый и обслуживающийся в соответствии с договором Банком России б) выполнять обязательные резервные требования Банка России в) не иметь просроченных денежных обязательств перед Банком России г) не иметь просроченной задолженности по оплате расчетных услуг Банка России д) не иметь картотеки расчетных документов, не оплаченных в срок, к счету (банковскому или корреспондентскому, счету или субсчету) в обслуживающем учреждении Банка России е) участвовать в обмене электронными сообщениями с Банком России в соответсвии с договором, заключенным с Банком России ж) соответствовать техническим требованиям к обмену электронными сообщениями и требованиям по информационной безопасности при проведении платежей и осуществлении расчетов в системе БЭСП. Ответить учреждение Банка Росии, в которое было подано заявление, должно не позднее, чем через 15 дней, - извещением об отказе или согласии. Отказ мотивируется в извещении. На этом, однако, ничего еще не заканчивается. Если кредитная организация претендует на то, чтобы стать Прямым участником расчетов, то после получения письменного согласия ей предстоит а) обеспечить наличие необходимого персонала. Это персонал, подготовленный к работе с техническими средствами и ПО для проведения платежей через систему БЭСП б) обеспечить применение средств криптографической защиты информации, установленных Банком России для обмена электронными сообщениями с системой БЭСП в) пройти процедуру тестирования всего этого – технических средств, ПО и обмена электронными сообщениями. Если же кредитная организация претендует на вхождение в систему в качестве Ассоциированного участника расчетов, то после получения письменного согласия ей предстоит только а) обеспечить наличие персонала, который подготовлен к работе с техническими средствами и ПО для проведения платежей через систему БЭСП и б) пройти процедуру тестирования технических средств, ПО и обмена электронными сообщениями с платежной системой Банка России на уровне территориального учреждения для проведения платежей через систему БЭСП. По результатам этих проверок Банк России принимает решение о готовности либо неготовности кредитной организации стать участником системы БЭСП. Принять это решение Банк должен не более чем за 10 рабочих дней. Если принято решение о готовности, то обслуживающее учреждение Банка России заключает с кредитной организацией договор. Для структурных подразделений Банка России регламент немножко другой, но мне в данном случае кажется целесообразным делать уклон именно в сторону кредитных организаций. Впрочем все это очень подробно изложено в Положении о системе валовых расчетов в режиме реального времени Банка России, которое, напомню, находится в открытом доступе. После заключения договора Банк России вносит информацию о новом участнике системы БЭСП в специальный Справочник – Справочник участников системы БЭСП, который является ведомственным справочником Банка России. Информация о ПУР и ОУР вносится также в Справочник БИК – Банковских идентификационных кодов. После того, как вступают в силу изменения информации в этих Справочниках, новые Участники системы БЭСП могут пользоваться ее услугами. В 2007 году в связи с созданием системы БЭСП Банком России разработаны и включены в состав эксплуатационной документации на эту систему «Руководство по информационной безопасности для системы БЭСП» и «Памятка по информационной безопасности пользователя системы БЭСП», а также требования, которые должны проверяться при включении в систему ее участников. Требования эти обусловлены с одной стороны особенностями системы БЭСП, о которых я коротко рассказала, а с другой – теми основными задачами, которые Банк России выделяет как основные в обеспечении информационной безопасности: а) обеспечение штатного и бесперебойного функционирования платежной системы б) защита платежных документов от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации в) обеспечение правомерного использования банковской (платежной) информации г) обеспечение надежного и контролируемого выполнения операций по осуществлению платежей, ведению бухгалтерского учета, управлению ликвидностью системы. При этом одной из своих наиболее актуальных задач Банк позиционирует создание равнопрочной с Банком России защиты платежных систем в кредитных организациях. Три кита информационной безопасности по мнению Банка России, которое мы в этой части, кстати, полностью разделяем – это периодический мониторинг подсистемы информационной безопасности на соответствие текущим требованиям, внедрение и правильное использование актуальных программно-аппаратных средств защиты информации, в том числе криптографических, и подготовка и повышение кваликации кадров, занятых в обеспечении информационной безопасности. Работая в сотрудничестве с Банком уже довольно давно и, смеем надеяться, достаточно успешно, сегодня мы предлагаем свои услуги кредитным организациям по всем трем направлениям – аудит текущего состояния информационной безопасности в организации, подготовка и повышение квалификации кадров и разработка и внедрение технических решений на основе требований российского законодательства и нормативных документов Банка России. На сегодняшний день имеются, в том числе, проверенные и работающие типовые решения, которые могут быть адаптированы под конкретные условия той или иной организации.
