Киберсамооценка
Банк России потребовал от некредитных финансовых организаций провести самооценку уровня киберзащищенности на предмет ее соответствия ГОСТу. Получившие письма ЦБ участники рынка, включая крупнейших игроков называют задачу весьма непростой: соответствующие требования в документе не приводятся, стандартов компании не знают. При этом сроки поставлены очень жесткие — отчитаться надо до конца ноября.
Как рассказали “Ъ” профучастники фондового рынка (брокеры и управляющие компании), в конце прошлой недели они получил от ЦБ письмо с требованием провести самооценку соответствия требованиям к обеспечению защиты информации в соответствии с ГОСТом. Как следует из письма (с ним ознакомился “Ъ”), результаты оценки необходимо направить в ЦБ до конца ноября. Ранее аналогичные письма получили НПФ и страховые компании, отчитаться о результатах они также должны в ноябре.
В ЦБ 17 сентября на запрос “Ъ” не ответили. На прошлой неделе первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев пояснял “Ъ”, что процедура нужна для предварительной оценки уровня защищенности рынка. Это предваряет присвоение риск-профиля всем участникам рынка. О переходе на риск-ориентированный подход в оценке уровня киберзащищенности и присвоении всем участникам рынка риск-профиля говорится в основных направлениях развития информационной безопасности (см. “Ъ” от 17 сентября). Господин Сычев отметил, что «все, кто попадает под зону регулирования, пройдут самооценку». Он подчеркнул, что ЦБ идет «от большого к малому, от системно значимых и социально значимых до остальных». По его словам, до микрофинансового рынка (МФО, ломбарды, КПК) очередь дойдет позже.
Как показал опрос “Ъ”, требование о проведении самооценки для многих компаний стало неожиданностью. Для некредитных финансовых организаций необходимость оценки на соответствие ГОСТу вводится положением 684-П лишь с 2021 года, требования о самооценке в документе нет.
В итоге с ГОСТом большинство участников рынка едва успели ознакомиться. «Самооценку провести несложно, но для этого нужна методика, то есть формат шаблона проведения этой оценки, и на ее основе уже можно формировать риск-профили. Такой методики мы пока не видели»,— отмечает директор по информационным технологиям Российского союза автостраховщиков Алексей Самошин. По словам руководителя рабочей группы НП «Национальный платежный совет» Александра Виноградова, компаниям придется в авральном режиме изучить сам принцип ее проведения. Необходимо оценить, какие из используемых систем уже соответствуют требованиям и какие надо привести в соответствие с ними. «За два месяца с нуля с незнанием ГОСТа, что очень сложно»,— считает он.
Даже крупнейшие игроки — НПФ с имеющимися в штате специалистами по информационной безопасности — отмечают, что для них это «довольно объемная работа». Собеседник “Ъ” в крупной страховой компании указал, что у ведущих игроков хотя и есть специалисты по информационной безопасности, но нет экспертов по ГОСТу и в условиях дефицита кадров найти их проблематично. Впрочем, по словам председателя комитета по экономической и информационной безопасности НАУФОР Михаила Шабанова, «с точки зрения надзора не будет нарушений, в случае если предварительная самооценка будет проведена некорректно».
Ситуация на рынке микрокредитования, участники которого также получат письма от ЦБ, еще хуже. «С задачей самооценки могут справиться отдельные игроки рынка, не думаю, что даже десятка самых крупных ломбардов с этим справится»,— говорит председатель Ассоциации развития ломбардов Сергей Соковников. «У КПК крайне мало кадров, способных в принципе провести самооценку уровня информационной безопасности»,— отмечает председатель совета НОКК (КПК) Александр Норов.
По словам бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, если ЦБ хочет получить от участников рынка не отписки, то надо реализовать целый комплекс мер. «Необходимо провести обучение, подготовить для небольших игроков упрощенную версию опросника,— говорит он.— Кроме того, небольшим компаниям нужен не предложенный ГОСТом свободный выбор защитных мер, а конкретный перечень, что им необходимо иметь для обеспечения необходимого уровня защищенности». То есть, по его словам, надо разделять требования к крупным участникам рынка и к остальным.
Как рассказали “Ъ” профучастники фондового рынка (брокеры и управляющие компании), в конце прошлой недели они получил от ЦБ письмо с требованием провести самооценку соответствия требованиям к обеспечению защиты информации в соответствии с ГОСТом. Как следует из письма (с ним ознакомился “Ъ”), результаты оценки необходимо направить в ЦБ до конца ноября. Ранее аналогичные письма получили НПФ и страховые компании, отчитаться о результатах они также должны в ноябре.
В ЦБ 17 сентября на запрос “Ъ” не ответили. На прошлой неделе первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев пояснял “Ъ”, что процедура нужна для предварительной оценки уровня защищенности рынка. Это предваряет присвоение риск-профиля всем участникам рынка. О переходе на риск-ориентированный подход в оценке уровня киберзащищенности и присвоении всем участникам рынка риск-профиля говорится в основных направлениях развития информационной безопасности (см. “Ъ” от 17 сентября). Господин Сычев отметил, что «все, кто попадает под зону регулирования, пройдут самооценку». Он подчеркнул, что ЦБ идет «от большого к малому, от системно значимых и социально значимых до остальных». По его словам, до микрофинансового рынка (МФО, ломбарды, КПК) очередь дойдет позже.
Как показал опрос “Ъ”, требование о проведении самооценки для многих компаний стало неожиданностью. Для некредитных финансовых организаций необходимость оценки на соответствие ГОСТу вводится положением 684-П лишь с 2021 года, требования о самооценке в документе нет.
В итоге с ГОСТом большинство участников рынка едва успели ознакомиться. «Самооценку провести несложно, но для этого нужна методика, то есть формат шаблона проведения этой оценки, и на ее основе уже можно формировать риск-профили. Такой методики мы пока не видели»,— отмечает директор по информационным технологиям Российского союза автостраховщиков Алексей Самошин. По словам руководителя рабочей группы НП «Национальный платежный совет» Александра Виноградова, компаниям придется в авральном режиме изучить сам принцип ее проведения. Необходимо оценить, какие из используемых систем уже соответствуют требованиям и какие надо привести в соответствие с ними. «За два месяца с нуля с незнанием ГОСТа, что очень сложно»,— считает он.
Даже крупнейшие игроки — НПФ с имеющимися в штате специалистами по информационной безопасности — отмечают, что для них это «довольно объемная работа». Собеседник “Ъ” в крупной страховой компании указал, что у ведущих игроков хотя и есть специалисты по информационной безопасности, но нет экспертов по ГОСТу и в условиях дефицита кадров найти их проблематично. Впрочем, по словам председателя комитета по экономической и информационной безопасности НАУФОР Михаила Шабанова, «с точки зрения надзора не будет нарушений, в случае если предварительная самооценка будет проведена некорректно».
Ситуация на рынке микрокредитования, участники которого также получат письма от ЦБ, еще хуже. «С задачей самооценки могут справиться отдельные игроки рынка, не думаю, что даже десятка самых крупных ломбардов с этим справится»,— говорит председатель Ассоциации развития ломбардов Сергей Соковников. «У КПК крайне мало кадров, способных в принципе провести самооценку уровня информационной безопасности»,— отмечает председатель совета НОКК (КПК) Александр Норов.
По словам бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, если ЦБ хочет получить от участников рынка не отписки, то надо реализовать целый комплекс мер. «Необходимо провести обучение, подготовить для небольших игроков упрощенную версию опросника,— говорит он.— Кроме того, небольшим компаниям нужен не предложенный ГОСТом свободный выбор защитных мер, а конкретный перечень, что им необходимо иметь для обеспечения необходимого уровня защищенности». То есть, по его словам, надо разделять требования к крупным участникам рынка и к остальным.
Читайте также
Самозапрет на кредиты
Подробно о том, как установить запрет на выдачу кредита, кто вправе это сделать и зачем.
Опрос ВТБ: более половины сибиряков хотели бы привязать к банковской карте льготы или проездной
У 63% жителей CФО есть небанковские пластиковые карты
ИИ против эмоций: как искусственный интеллект меняет брокерский бизнес
Драйвером индустрии инвестиций в ближайшее время будет использование искусственного интеллекта
РСХБ запустил геймдев-направление
Россельхозбанк выпустил первую мобильную образовательную игру для школьников и студентов
Россияне назвали самые ожидаемые операции в цифровых рублях
Самыми востребованными операциями в цифровых рублях после массового внедрения в России новой формы валюты станут оплата налогов, пошлин и сборов
СДМ-Банк снизил комиссию по факторингу до 1,5% в месяц
СДМ-Банк объявил об улучшении условий программы «Доступный факторинг»
В ВТБ констатировали облигационный бум в инвестициях
Интерес частных инвесторов к тому или иному инвестиционному инструменту напрямую связан с траекторией ключевой ставки
РСХБ запустил студенческий агрофинтех-акселератор для перспективных стартапов
Россельхозбанк объявил о начале приема заявок на новый сезон студенческого акселератора для стартапов
Доля топ-10 банков впервые превысила 80% в активах — «Эксперт РА»
Уже на среднесрочном горизонте агентство ждет смену «расстановки сил» по итогам текущего экономического цикла
Россияне жалуются на спам-звонки от банков после их запрета
Крупные банки продолжают обзванивать клиентов без разрешения