Киберсамооценка
Участникам финансового рынка придется работать по ГОСТу
Банк России потребовал от некредитных финансовых организаций провести самооценку уровня киберзащищенности на предмет ее соответствия ГОСТу. Получившие письма ЦБ участники рынка, включая крупнейших игроков называют задачу весьма непростой: соответствующие требования в документе не приводятся, стандартов компании не знают. При этом сроки поставлены очень жесткие — отчитаться надо до конца ноября.
Как рассказали “Ъ” профучастники фондового рынка (брокеры и управляющие компании), в конце прошлой недели они получил от ЦБ письмо с требованием провести самооценку соответствия требованиям к обеспечению защиты информации в соответствии с ГОСТом. Как следует из письма (с ним ознакомился “Ъ”), результаты оценки необходимо направить в ЦБ до конца ноября. Ранее аналогичные письма получили НПФ и страховые компании, отчитаться о результатах они также должны в ноябре.
В ЦБ 17 сентября на запрос “Ъ” не ответили. На прошлой неделе первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев пояснял “Ъ”, что процедура нужна для предварительной оценки уровня защищенности рынка. Это предваряет присвоение риск-профиля всем участникам рынка. О переходе на риск-ориентированный подход в оценке уровня киберзащищенности и присвоении всем участникам рынка риск-профиля говорится в основных направлениях развития информационной безопасности (см. “Ъ” от 17 сентября). Господин Сычев отметил, что «все, кто попадает под зону регулирования, пройдут самооценку». Он подчеркнул, что ЦБ идет «от большого к малому, от системно значимых и социально значимых до остальных». По его словам, до микрофинансового рынка (МФО, ломбарды, КПК) очередь дойдет позже.
Как показал опрос “Ъ”, требование о проведении самооценки для многих компаний стало неожиданностью.
Для некредитных финансовых организаций необходимость оценки на соответствие ГОСТу вводится положением 684-П лишь с 2021 года, требования о самооценке в документе нет.
В итоге с ГОСТом большинство участников рынка едва успели ознакомиться. «Самооценку провести несложно, но для этого нужна методика, то есть формат шаблона проведения этой оценки, и на ее основе уже можно формировать риск-профили. Такой методики мы пока не видели»,— отмечает директор по информационным технологиям Российского союза автостраховщиков Алексей Самошин. По словам руководителя рабочей группы НП «Национальный платежный совет» Александра Виноградова, компаниям придется в авральном режиме изучить сам принцип ее проведения. Необходимо оценить, какие из используемых систем уже соответствуют требованиям и какие надо привести в соответствие с ними. «За два месяца с нуля с незнанием ГОСТа, что очень сложно»,— считает он.
Даже крупнейшие игроки — НПФ с имеющимися в штате специалистами по информационной безопасности — отмечают, что для них это «довольно объемная работа». Собеседник “Ъ” в крупной страховой компании указал, что у ведущих игроков хотя и есть специалисты по информационной безопасности, но нет экспертов по ГОСТу и в условиях дефицита кадров найти их проблематично. Впрочем, по словам председателя комитета по экономической и информационной безопасности НАУФОР Михаила Шабанова, «с точки зрения надзора не будет нарушений, в случае если предварительная самооценка будет проведена некорректно».
Ситуация на рынке микрокредитования, участники которого также получат письма от ЦБ, еще хуже. «С задачей самооценки могут справиться отдельные игроки рынка, не думаю, что даже десятка самых крупных ломбардов с этим справится»,— говорит председатель Ассоциации развития ломбардов Сергей Соковников. «У КПК крайне мало кадров, способных в принципе провести самооценку уровня информационной безопасности»,— отмечает председатель совета НОКК (КПК) Александр Норов.
По словам бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, если ЦБ хочет получить от участников рынка не отписки, то надо реализовать целый комплекс мер. «Необходимо провести обучение, подготовить для небольших игроков упрощенную версию опросника,— говорит он.— Кроме того, небольшим компаниям нужен не предложенный ГОСТом свободный выбор защитных мер, а конкретный перечень, что им необходимо иметь для обеспечения необходимого уровня защищенности». То есть, по его словам, надо разделять требования к крупным участникам рынка и к остальным.