Остаточный вариант документа был сокращен в связи с дублированием норм действующего законодательства. Премьер-министр РФ Дмитрий Медведев подписал постановление от 13 июня 2012 года № 584 «Об утверждении Положения о защите информации в платежной системе», которое должно вступить в силу с первого июля текущего года. Как утверждают эксперты, окончательный вариант Постановления отличается по тексту от предложенного проекта документа. В частности, в названии проекта фигурировало слово «национальной», которое исчезло в названии принятого документа. Кроме того, окончательный вариант Постановления состоит только из 9 пунктов, проект же состоял из 17.
Отметим также, что в окончательном варианте документа отсутствует пункт, регламентирующий требования по защите информации при переводе денежных средств. Такое решение было принято в связи с тем, что согласно действующему законодательству, устанавливать требования по защите, согласуемые с Федеральной службой по техническому и экспертному контролю (ФСТЭК), а также с Федеральной службой безопасности (ФСБ) должен Центральный банк РФ.
В пункте, регламентирующем обязательные типы средств защиты, отсутствует часть предложения: «в том числе прошедших в установленном порядке процедуру оценки соответствия». Это связано с тем, что детально требования к оценке прописываются во внутренних документах Центрального банка.
Кроме того, в принятом документе отсутствует фрагмент: «Контроль и надзор за выполнением требований, установленных настоящим Положением, осуществляется Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их полномочий и без права ознакомления с защищаемой информацией в соответствии с законодательством Российской Федерации о государственном контроле (надзоре). Контроль за соблюдением требований по обеспечению защиты информации при осуществлении переводов денежных средств осуществляется Центральным банком Российской Федерации в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю». В окончательном варианте документа эта фраза звучит так: «Контроль (оценка) соблюдения требований к защите информации осуществляется операторами и агентами самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации».
По мнению экспертов, такие текстовые изменения в документе связаны с тем, что соответствующие нормы уже прописаны в действующих законодательных актах страны.