Участники фондового рынка обеспокоены новыми требованиями по информационной безопасности, приближенными к банковским, которые будут применены к ним уже с 1 января 2020 года. В частности, от них потребуется сертификация программного обеспечения у сторонних организаций. По разным оценкам, новые требования обойдутся участникам от 8 млн до 70 млн руб. на компанию, что для небольших игроков может стать причиной для сдачи лицензий.
Фото: Олег Харсеев, Коммерсантъ / купить фото
Как сообщил “Ъ” источник на фондовом рынке, по оценке Банка России, к 184 некредитным финансовым организациям (НФО; управляющие и страховые компании, брокеры, негосударственные пенсионные фонды) могут применяться повышенные требования по информационной безопасности. Количество компаний может вырасти до 200, поскольку на сегодняшний день в этот список не попали регистраторы. По оценке одного из собеседников “Ъ”, соответствие новым требованиям потребует 10–30 млн руб. разовых инвестиций в средних по размеру компаниях. По оценке другого источника, 8–10 млн руб. Председатель комитета по экономической и информационной безопасности НАУФОР Михаил Шабанов считает, что суммарно по всем требованиям затраты могут составить от 70 млн руб. в год и более разово, дополнительно потребуются увеличение штата и около 20 млн руб. в год на поддержку.
Новые требования по информационной безопасности записаны в положении Банка России 684-П, а также ГОСТом 57580. Этими документами установлены три уровня защиты информации: минимальный, стандартный и усиленный; к компаниям последних двух уровней применяются повышенные требования. Документ устанавливает критерии отнесения компаний к повышенному уровню защиты информации, по которым ЦБ и отобрал 184 участника рынка. ЦБ не ответил на запрос “Ъ”.
684-П составлено по аналогии с положением по информбезопасности для банков, что не совсем верно, по мнению участников рынка. «Внимательное изучение положения показало, что специфика деятельности профучастников рынка ценных бумаг была учтена не в полной мере»,— говорит Михаил Шабанов. Советник по безопасности «Алор брокер» Дмитрий Кухтенков сообщил, что его компания подпадает под стандартный уровень защиты. «Информационная безопасность в нынешнее время актуальна как никогда, но хотелось бы, чтобы было меньше неоправданных затрат. У банков и некредитных финансовых организаций разные задачи, разные способы заработка и, соответственно, разные угрозы, уязвимости. А значит, и к средствам защиты нельзя подходить одинаково»,— считает он. Источник в крупной финансовой компании отмечает, что ЦБ уже давно ведет работу по повышению информационной безопасности поднадзорных: было понятно, что после банков настанет очередь остальных.
Самым затратным для компаний требованием станет обязательная для ряда программного обеспечения сертификация Федеральной службы по техническому и экспортному контролю (ФСТЭК) или анализ уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже четвертого. Член правления ГК «Финам» Владислав Пархомов считает, что требуется сертификация всего программного обеспечения, которое обрабатывает финансовые трансакции не только на клиентском компьютере или телефоне, но и на серверах компании. «Это серьезная задача для брокеров, особенно тех, кто использует самописное ПО»,— говорит он. По его словам, в группе «Финам» под стандартный уровень защиты информации подпадают брокерская и управляющая компании.
Директор по развитию ARQA Technologies (разработчик торговой системы QUIK) Владимир Курляндчик отмечает, что провести анализ уязвимости для компаний будет легче, но и он стоит несколько миллионов рублей за один объект программного обеспечения. По его мнению, пока не очень понятно, какие именно платформы подпадают под необходимость оценки уязвимости. «В среднем брокерская компания использует 6–12 различных платформ в своей деятельности. Если проводить оценку всего, сумма выйдет порядочная»,— говорит он. Представитель БКС сообщил, что все юридические лица группы подпадают под стандартный уровень защиты. По его словам, полноценная оценка требует серьезной вовлеченности специалистов по информационной безопасности в течение двух-трех месяцев и инвестиций не менее 3 млн руб. на одно юрлицо.
Согласно положению ЦБ, пункт о необходимости сертификации или оценки программного обеспечения вступает в силу с 1 января 2020 года.