15.11.2022
Затраты на перестройку оборудования могут быть несоразмерны их бизнесу
Брокеры попросили ЦБ и Федеральную службу по техническому и экспортному контролю (ФСТЭК) не относить их системы информационной защиты и безопасности к объектам критической инфраструктуры, как это сейчас подразумевается указом президента. С такой инициативой Национальная ассоциация участников фондового рынка (НАУФОР) обратилась к руководителю департамента по информационной безопасности Банка России Вадиму Уварову и директору ФСТЭК Владимиру Селину (письмо, подписанное президентом объединения Алексеем Тимофеевым, есть у «Ведомостей»).
В противном случае компаниям придется заниматься переоборудованием, что обойдется в несопоставимые с доходами брокеров суммы. Представитель ЦБ подтвердил получение письма. «Ведомости» направили запрос ФСТЭК.
С 2018 г. в России действует закон о безопасности критической информационной инфраструктуры (КИИ) – он регулирует ее субъектов и объекты. К первым относятся все российские юрлица из 10 сфер, в том числе банковской и финансовой, которым принадлежат софт и сети, а также автоматизированные системы управления. Субъекты, в свою очередь, должны разделить объекты КИИ по трем степеням значимости. Если объект не соответствует ни одному из установленных критериев – категория не присваивается. В ином случае объект считается значимым и к нему предъявляются повышенные требования. Ведение реестра значимых объектов КИИ, формирование и контроль реализации требований по обеспечению их безопасности закреплено за ФСТЭК. Служба учитывает в процессе проведения категорирования все платежи, направленные в федеральный или региональный бюджет, включая налоговые платежи субъектов КИИ.
В мае 2022 г. президент подписал указ о дополнительных мерах обеспечения информационной безопасности. В частности, с 2025 г. субъекты КИИ не могут использовать программы по защите информации из недружественных или аффилированных с ними стран. Кроме того, правительство опубликовало проект постановления с дополнительным перечнем критериев значимости объектов КИИ. Там появился показатель «Экономическая значимость» – он учитывает возникновение ущерба бюджету, оцениваемого в снижении выплат, осуществляемых субъектом КИИ.
В соответствии с новым проектом количество участников финансового рынка, попадающих хотя бы в одну из трех категорий, увеличится. Например, масса компаний по новым требованиям подходят по критерию «Экономическая значимость»: в суммах налоговых отчислений минимальное значение данного критерия выражается, например, для Москвы в 12,2 млн руб., для Санкт-Петербурга – в 3,4 млн руб., подчеркивается в письме НАУФОР. Это будет накладывать на бизнес дополнительные существенные требования по обеспечению информационной безопасности. При этом участники финансового рынка такими объектами юридически и фактически не обладают, говорится в письме, и, соответственно, дополнительные требования пока на них не возлагаются.
В случае принятия изменений необходимая стоимость организационно-технических мер защиты может начать превышать значения возможного ущерба или экономической эффективности субъектов, предупреждают в НАУФОР.
Организации финансового сектора также оказались в ситуации, когда вынуждены в соответствии с указом в ускоренном порядке переходить на отечественные средства защиты информации и в целом искать аналоги зарубежных программ и оборудования для импортозамещения. Введение дополнительных требований для большого числа участников финансового сектора может оказать существенное негативное влияние на весь рынок и поставить под угрозу сроки реализации указа, предупреждают в НАУФОР.
Ассоциация просит ЦБ и ФСТЭК пересмотреть критерии, вводимые новым проектом постановления, или же вовсе его отменить.
Как финтех-стартап «Ингосстрах-инвестиции» пока находятся в начале пути и изначально не нуждаются в решениях крупных западных производителей, используя свои разработки или продукты российских компаний (ARQA Technologies, 1С), говорит директор по IT-трансформации компании Илья Батай. Но гибкость – привилегия молодой организации, замечает он. Для игроков с устоявшейся инфраструктурой это может обернуться проблемой и дополнительными затратами, в чистом виде не дающими нового функционала, считает он. Профучастники не готовы к переходу на отечественное оборудование, кроме того, качество инфраструктуры будет вызывать вопросы, согласен собеседник в крупном брокере.
Требования властей в данном вопросе выглядят избыточными, говорит собеседник «Ведомостей», близкий к компании, занимающейся информбезопасностью. Замена ПО, серверов и сетевого оборудования в данном случае – это дорого, сложно и не факт, что эффективно, продолжает он. Если подобные требования вызывают сложности у игроков банковского сектора, то для профучастников рынка ценных бумаг они и вовсе неподъемны из-за колоссальной разницы в количестве доступного IT-ресурса и выделяемых бюджетах.
Софья Шелудченко