Рынок окутывается гостайной

В банках сочли информационную безопасность критической

Ряд крупных банков готовит предложения к законопроекту, регулирующему безопасность критической информационной инфраструктуры. Согласно текущей версии проекта, все финансовые организации — от системообразующего банка до мелкой МФО — могут быть отнесены к критической информационной инфраструктуре, а значит, подпадают под действие закона о государственной тайне. Это может повлечь серьезные последствия для всего рынка финансовых услуг.

Фото: Евгений Павленко, Коммерсантъ

Как сообщил "Ъ" источник на банковском рынке, Сбербанк и несколько банков из топ-10 готовят предложения к принятому 27 января в первом чтении законопроекту "О безопасности критической информационной инфраструктуры РФ", а также двум законопроектам-спутникам (вносят изменения в Уголовный кодекс и некоторые законодательные акты РФ). На текущей неделе эти документы будут обсуждаться в профильных комитетах Госдумы. От официальных комментариев в Сбербанке, Альфа-банке, Райффайзенбанке, Бинбанке, "Открытии", Промсвязьбанке отказались. Участие в официальной дискуссии подтвердили в ВТБ и Россельхозбанке (РСХБ). "Предложения и отзывы банка, а также доводы о необходимости внесения поправок в обсуждаемые документы направляются для рассмотрения внешним регуляторам — Минкомсвязи, ФСБ, Банку России и другим",— отметили в пресс-службе РСХБ. В Московском кредитном банке и Газпромбанке на запрос "Ъ" не ответили.

Принятие законопроекта в текущем виде внушает финансистам опасения. В проекте нет конкретных критериев отнесения организаций к критической информационной инфраструктуре. Их планируется описать в специальном постановлении правительства. А оно появится не ранее чем через год после окончательного утверждения закона. Таким образом, рынок, по выражению одного из собеседников "Ъ", "покупает кота в мешке". По словам бизнес-консультанта по безопасности компании Cisco Systems Алексея Лукацкого, несколько лет назад обсуждалась вероятность принятия в качестве основного критерия категорирования объектов суммы ущерба, которую может нанести атака на информационную инфраструктуру. Причем в обсуждениях фигурировала сумма 1 млн руб. "Если возьмут за водораздел эту сумму ущерба, то все без исключения финансовые организации попадут под раздачу",— говорит господин Лукацкий. Есть предложение прописать эти критерии в основном тексте закона, что сделает правила игры понятными, рассказывают собеседники "Ъ" на финансовом рынке. Однако у такой идеи есть минусы. "Менять значения критериев на уровне постановления правительства все же гораздо проще, чем на уровне федерального закона",— указывает господин Лукацкий.

Волнует представителей финансового сообщества и привязка информации о защите критически важного объекта к государственной тайне. Такая норма содержится в текущей версии одного из законопроектов-спутников. "Все объекты, которые обладают критической инфраструктурой, должны будут либо создавать первые отделы (структуры, отвечающие за обеспечение режима секретности.— "Ъ"), либо отдавать на аутсорсинг такую деятельность тем организациям, у которых эти отделы уже есть",— говорит Алексей Лукацкий. Таким образом, информационные решения для банков и других финансовых организаций смогут поставлять только компании, имеющие лицензию на работу с гостайной. По словам руководителя одной из них, чтобы получить лицензию ФСБ, компания должна проводить сертификацию рабочих мест, где предполагается обработка секретной информации, в руководстве компании должны быть минимум два человека, имеющих допуск к такой информации. "Это глубокое взаимодействие с ФСБ, отчеты, проверки",— поясняет он.

Собственные вложения крупных компаний финансового рынка в информационную безопасность и сейчас уже достаточно велики. "Хотя формально требований к защите информации для брокеров нет, мы вынуждены относиться к этому серьезно: попытки взломать системы, DDoS-атаки — это наши суровые будни,— говорит президент ИХ "Финам" Владислав Кочетков.— Мы вложили в безопасность порядка $12 млн в рамках разовой инвестиции, затраты на поддержание лицензий программного обеспечения, оплата труда персонала — еще около $1,5 млн в год".

За нарушение требований к безопасности критической информационной инфраструктуры грозит уголовная ответственность. Она вводится одним из проектов-спутников. После первого чтения такая ответственность определена в виде лишения свободы на срок десять лет. Более того, под статью попадут и случаи, когда реальный ущерб не был нанесен, но была создана угроза его нанесения.

Ранее участники рынка в лице Российской ассоциации электронных коммуникаций (РАЭК) предлагали сохранить контроль над информационной безопасностью финансовых организаций за их основным регулятором — ЦБ. Такое решение принято, например, в отношении операторов связи, которые остались под контролем Минкомсвязи в области безопасности. По информации "Ъ", в ЦБ уже состоялось несколько тематических встреч по обсуждению данного законопроекта, однако регулятор свою позицию еще не сформулировал. В Банке России от комментариев отказались.

Мария Сарычева

Картина дня

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...