Информбезопасность дорого стоит
Брокеры не готовы нести дополнительные траты
Профучастники обеспокоены новыми требованиями ЦБ к их информационной безопасности, которые вводятся с нового года. Особенно это касается небольших компаний, для каждой из которых соответствие новым стандартам может обойтись более чем в 10 млн руб. в год. Профильная саморегулируемая организация обратилась в Банк России с просьбой снизить требования и перенести их на год.
Национальная ассоциация участников фондового рынка (НАУФОР) в связи с многочисленными обращениями профессиональных участников рынка ценных бумаг, управляющих компаний (УК) и специализированных депозитариев направила в Банк России письмо с просьбой изменить положение №684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации…» (“Ъ” ознакомился с письмом).
Основное предложение — повышение порога для отнесения компаний к стандартному уровню защиты, чтобы как можно больше участников рынка остались на минимальном уровне.
В частности, нынешняя редакция положения для брокеров предполагает переход на стандартный уровень защиты с минимального, если объем клиентских операций за три месяца превышает 100 млн руб. Участники рынка просят поднять его до 200 млн руб. Регулятор также требует использовать ПО и оборудование не ниже определенного уровня, соответствующего ГОСТам.
Аналогичным требованиям уже соответствуют российские банки. Частично положение Банка России по некредитным финансовым организациям вступило в силу с начала года, но из-за карантина регулятор принял решение не применять меры воздействия. Еще в прошлом году профучастники выражали обеспокоенность новыми требованиями (см. “Ъ” от 4 декабря 2019 года), поскольку практически они были перенесены из положения, касающегося банков, без учета специфики остального рынка.
Как сообщил “Ъ” президент НАУФОР Алексей Тимофеев, письмо ассоциации — это часть консультационного процесса, который ведется с Банком России.
«Отсрочка в связи с пандемией была очень кстати, это позволило продолжить обсуждения деталей регулирования»,— сказал он. В Банке России сообщили, что изучат данное предложение.
По оценкам участников рынка, согласно текущим нормам положения, под стандартный уровень защиты подпадают около 200 брокеров, то есть практически половина всех компаний, которые получили соответствующую лицензию. Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергей Демидов признает, что, согласно текущим нормам, под стандартный уровень защиты подпадают даже те брокерские компании, которые не имеют большого числа клиентов и работают только на себя, не создавая риска для клиентов, которых у них попросту нет.
Требования к некредитным финансовым организациям практически идентичны требованиям к банкам и не учитывают профиль риска, подтверждают брокеры.
С одной стороны, говорят они, понятна позиция ЦБ, который боится взрыва мошенничества, но, с другой стороны, вывод средств из, например, брокера или УК происходит не напрямую, а через те же самые банки. По словам Сергея Демидова, риски на брокерском рынке весьма низкие, а инциденты информационной безопасности единичные, что в принципе признает и сам Банк России, соответственно, требования к ним сейчас завышенные. «Все-таки злоумышленники атакуют те сферы, где деньги можно вывести быстро и без следов, а из торгов их выводить не так просто»,— говорит он.
По оценкам собеседников “Ъ”, для средней и небольшой некредитной финансовой организации соответствие стандартному уровню защиты обойдется в 10–30 млн руб. в год. По словам одного из них, для брокера не из топ-30 помимо найма отдельного сотрудника необходимо инвестировать в железо и средства защиты одновременно около 2–5 млн руб., плюс ежегодная поддержка в 20–30% от стоимости, плюс внешняя оценка соответствия ГОСТ 57580 минимум 2 млн руб., возможно, некоторым потребуется и оценка доверия программного обеспечения по уровням доверия — это 1,5–2 млн руб. за каждое обновление (релиз). Если же у брокера будет минимальный уровень защиты, отмечает собеседник “Ъ”, то расходы уменьшатся в несколько раз.