Регулятор сформулировал требования к защите информации для некредитных финансовых организаций (НФО). Часть из них обязательна для исполнения всеми участниками рынка, часть предъявляется только к крупным и системно значимым организациям. Приведение программного обеспечения в соответствие с новыми требованиями обойдется недешево. Однако, по словам экспертов, повышать уровень защиты необходимо, так как киберриски в отношении данного рынка постоянно увеличиваются.
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
ЦБ опубликовал проект положения, в котором описываются обязательные требования к обеспечению информационной безопасности НФО. Право устанавливать такие требования по согласованию с ФСБ и ФСТЭК не только к банкам, но и к некредитным участникам рынка ЦБ получил в июне, когда Госдумой были одобрены поправки к законам «О национальной платежной системе» и «О Центральном банке». Предполагается, что часть норм положения вступит в силу 1 января 2020 года, а часть — еще через год, 1 января 2021 года.
В целом документ отражает тенденцию к переносу регуляторных требований к банковскому сектору на сектор НФО, отмечает начальник отдела ИБ компании «Алор+» Артем Антипов. Так же как и для банков, для некредитных организаций введены, в частности, требования по проведению внешнего аудита, мониторинга репозитариев мобильных приложений дистанционного банковского обслуживания, антифрод, отчетность по инцидентам. «ЦБ переходит от рекомендаций к требованиям, что повысит качество информационной безопасности на рынке»,— утверждает господин Антипов.
Проектом положения устанавливается различный уровень требований к ИБ для разных категорий участников рынка. Так, усиленный уровень безопасности обязаны будут обеспечивать институты, признанные системно значимой инфраструктурной организацией финансового рынка «при условии достижения показателя среднедневного количества осуществляемых финансовых операций более 3 млн единиц». К таким организациям относятся, например, Московская биржа и НРД. Минимальные требования предъявляются к защите информации в микрофинансовых организациях, кредитных потребительских, жилищных накопительных и сельскохозяйственных кредитных потребительских кооперативах, а также ломбардах. На всех остальных распространяются требования стандартного уровня.
Артем Сычев, замначальника главного управления безопасности и защиты информации ЦБ, 13 октября 2016 года на форуме Finopolis
Сегодня преступность — это не отдельные банды, а целая индустрия с распределением полномочий, и люди, которые пишут вредоносное программное обеспечение, получают доход за счет продажи своего инструментария, а не за счет уведенных у клиентов денежных средств
Предъявляемые документом требования являются лучшими практиками, отмечают представители крупных брокерских компаний. Тем не менее введение ряда обязательных требований — например, разделение технологий (контуров) подготовки и подтверждения финансовых операций клиентами, ежегодный анализ уязвимостей и тестирование на проникновение и т. д.— может потребовать серьезной перестройки информационных систем и процессов, указывает эксперт направления аудита и консалтинга Group-IB Андрей Алябьев. Потрудиться придется даже крупным брокерам, соглашается член правления ГК «Финам» Дмитрий Анциферов, так как новый проект «потребует серьезных доработок ПО для осуществления брокерской деятельности». По его словам, бюджеты компаний на ИБ, скорее всего, будут увеличиваться. «Средняя стоимость начального уровня пентеста (тестирование на проникновение.— “Ъ”) — 300 тыс. руб. Аудит на соответствие стоит порядка 1 млн руб.»,— прикидывает господин Анциферов.
Для мелких же некредитных организаций, отмечает консультант по интернет-безопасности компании Cisco Алексей Лукацкий, «где зачастую даже айтишника своего нет», это неподъемная работа. «Решение по сертификации должно быть "рыночным", то есть сертифицирующим органом должен быть не госмонополист, а, допустим, СРО, которая определит критерии и требования по обеспечению инфобезопасности, будет проводить оценку их соблюдения МФО»,— предлагает компромиссное решение гендиректор «СМСфинанс» Иван Меринов.
В целом же представители НФО отмечают, что повышать уровень защиты информации в секторе необходимо. «Банки обязаны отчитываться об инцидентах. Между ИБ-подразделениями многих банков налажено сотрудничество. Поэтому информация об инцидентах есть. Некредитные организации такой обязанности не имели, поэтому шанс того, что случившийся инцидент станет публичным, в разы ниже»,— говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. При этом, указывает он, уровень фрода и в этой сфере высок. С появлением у НФО возможностей дистанционного открытия счета вероятность атак и мошенничества только возрастает, соглашаются остальные эксперты.