Банк России представил к обсуждению проект положения, в котором описаны обязательные требования к обеспечению информационной безопасности некредитных финансовых организаций.
Напомним, что право устанавливать такие требования по согласованию с ФСБ и ФСТЭК не только к банкам, но и к некредитным участникам рынка регулятор получил в июне, когда Госдумой были одобрены поправки к законам «О национальной платежной системе» и «О Центральном банке». Предполагается, что часть норм положения вступит в силу 1 января 2020 года, а часть — еще через год, 1 января 2021 года.
Предполагается, что часть требований к защите информации для НФО будет рассчитана на обязательное выполнение всеми участниками рынка, а часть будет применяться только к крупным и системно значимым организациям. И хотя привести программное обеспечение в соответствие к новым требованиям обойдется недешево, однако эксперты считают, что повышать уровень защиты необходимо, поскольку киберриски в этом секторе растут постоянно.
Так же как и для банков, для некредитных организаций введены, в частности, требования по проведению внешнего аудита, мониторинга репозитариев мобильных приложений дистанционного банковского обслуживания, антифрод, отчетность по инцидентам.
Проектом положения устанавливается различный уровень требований к ИБ для разных категорий участников рынка. Так, усиленный уровень безопасности обязаны будут обеспечивать институты, признанные системно значимой инфраструктурной организацией финансового рынка «при условии достижения показателя среднедневного количества осуществляемых финансовых операций более 3 млн единиц». К таким организациям относятся, например, Московская биржа и НРД. Минимальные требования предъявляются к защите информации в микрофинансовых организациях, кредитных потребительских, жилищных накопительных и сельскохозяйственных кредитных потребительских кооперативах, а также ломбардах. На всех остальных распространяются требования стандартного уровня.
Введение ряда обязательных требований — например, разделение технологий (контуров) подготовки и подтверждения финансовых операций клиентами, ежегодный анализ уязвимостей и тестирование на проникновение и т. д.— может потребовать серьезной перестройки информационных систем и процессов.
