Ожидаемые последствия очередного ужесточения регуляторных норм для финансовой отрасли комментирует заместитель генерального директора группы компаний «Программный продукт», заместитель председателя подкомитета ТПП РФ по платежам и информационной безопасности Тимур Аитов.
- Повысит ли в принципе уровень безопасности финансовых и банковских операций на российском рынке принятие нового стандарта? Насколько своевременна и эффективна такая мера регулятора?
Активность злоумышленников на финансовом рынке возросла. СМИ постоянно сообщают о кибератаках, многочисленных взломах и хищениях средств, и происходит это как в нашей стране, так и за рубежом. Любое привлечение внимания к проблемам информационной безопасности, тем более принятие национального стандарта в этой сфере, следует признать важным и своевременным по той простой причине, что любой стандарт вносит системность — упорядочивает нормативно-правую базу, существовавшую до его принятия. Деятельность банков по противодействию злоумышленникам и защите информации сегодня регламентируется огромным количеством законных и подзаконных актов, подготовленных Банком России, ФСБ, ФСТЭК и другими ведомствами. Разработанный стандарт сводит воедино существующие требования в один документ, и это, конечно, следует приветствовать.
- Обеспечит ли базовый набор организационных и технических защитных мер, прописанный в стандарте, ожидаемое повышение уровня безопасности? Нет ли в этом наборе очевидных пробелов?
Готовил стандарт Банк России, однако все заинтересованные организации и сами фигуранты финансового рынка принимали активное участие в обсуждениях, давали собственные редакции отдельных пунктов. И не всегда при этом наблюдался консенсус. В частности, бурную дискуссию вызвал пункт об экономической целесообразности сертификации. Известно, что ФСТЭК сегодня не требует обязательной сертификации средств защиты для коммерческих организаций. Банки часто используют риск-ориентированный подход к защите информации, суть которого состоит в том, что не всем угрозам нужно противодействовать. Иногда разумнее, что называется, «пропустить удар», а потом просто списать ущерб, вызванный атакой. Банк России дал свои разъяснения по этому пункту в том смысле, что если сертификация экономически нецелесообразна, то банки вправе использовать и несертифицированные средства защиты. Детально и с пристрастием обсуждались экспертами технического комитета ТК122 и все остальные положения стандарта, ничто не осталось без внимания. На сегодняшний день стандарт принят и утвержден руководителем Росстандарта.
Что касается жесткости требований к реализации стандарта на практике, то все наши национальные стандарты (исключая стандарты в некоторых сферах, связанных, например, с оборонной промышленностью) имеют рекомендательный характер. И если Банк России дополнительно не придаст нынешнему стандарту статус документа, обязательного для исполнения участниками финансового рынка, то требования национального стандарта безопасности будут иметь характер рекомендаций. Уверен, что регулятор в ближайшее время внесет необходимые разъяснения на этот счет и уточнит статус документа. Отмечу, что стандарт распространяет свое действие как на субъекты национальной платежной системы, так на финансовые кредитные и некредитные организации.
- Насколько объемны и затратны меры, которые предстоит реализовать основным участникам финансового рынка для выполнения требований стандарта?
Какого-то резкого увеличения расходов, связанных с выполнением требований стандарта, ожидать не следует. Банки используют уже имеющиеся у них специализированные программно-аппаратные комплексы для организации защиты, и особых трат, связанных непосредственно с выполнением требований стандарта, они не планируют. Другое дело, что дополнительные траты появятся в связи со вступлением в силу отдельных новых редакций действующих нормативно-правовых актов Банка России. Например, это касается положения 382-П, которое с января 2018 года обязывает банки иметь свою собственную систему фрод-мониторинга, проводить анализ защищенности и тесты на отсутствие уязвимостей. Таким образом, расходы банков на информационную безопасность будут расти, при этом уровень фрода в целом по отрасли остается неизменным, не прогнозируется и появление особых неконтролируемых негативных тенденций в этой сфере.