СтенограммаМихаил Шабанов: Уважаемые участники конференции, добрый вечер! Разрешите поприветствовать самых стойких и заинтересованных слушателей. Хочу сказать, что наша сессия посвящена вопросам информационной безопасности. Тема информационной безопасности звучит в рамках конференции впервые. Модератором нашей сессии буду я, Михаил Шабанов, член Совета директоров НАУФОР и председатель комитета по экономической и информационной безопасности НАУФОР. Для участия в сессии мы пригласили Андрея Выборнова - заместителя директора Департамента информационной безопасности Банка России, Сергея Демидова - директора Департамента операционных рисков, информационной безопасности и непрерывности бизнеса ПАО «Московская биржа», Владимира Курляндчика - директора по развитию «АРКА Текнолоджиз», Владимира Дюкова - руководителя направления безопасности и урегулирования конфликтных ситуаций управляющей компании «Альфа-Капитал», Дмитрия Кухтенкова - советника по безопасности компании «АЛОР+», Александра Лезова - заместителя президента-председателя правления по корпоративной безопасности финансовой группы «БКС». С учетом предварительного обсуждения актуальных проблем, связанных с вопросами обеспечения информационной безопасности некредитных финансовых организаций, которые мы обсудили с участниками фондового рынка, выявилась следующая тема, которую мы бы хотели сегодня обсудить. Это, прежде всего, как говорится, прямо с пылу, с жару введение в действие Положения Банка России № 684П от 17 апреля 2019 года «Об установлении для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». И далее, если позволит нам время, это «Исполнение некредитными финансовыми организациями требований, определенных Федеральным законом 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Нашу работу я предполагаю построить следующим образом: вначале выступят приглашенные нами эксперты, а затем будет предоставлена возможность задавать вопросы из зала. Если возражений не будет, тогда мы приступим к обсуждению первой темы.Принятым положением, которое было вчера размещено в открытом доступе, определен большой набор требований по обеспечению информационной безопасности некредитными финансовыми организациями. В связи с этим возникает ряд вопросов. Давайте я вначале их озвучу: - Как сильно повлияет на весь ландшафт российского фондового рынка исполнение требований данного положения? - Каковы возможности снижения регуляторной и надзорной нагрузки в сфере обеспечения информационной безопасности путем развития внешнего и внутреннего аудита информационной безопасности нефинансовых кредитных организаций? - Существует ли возможность снизить требования к НКО, реализующим стандартный уровень защиты информации? - Какова готовность НКО к внедрению национального стандарта Российской Федерации ГОСТа Р57580.1 2017 года в соответствии с требованиями данного Положения? - Что необходимо предпринять НКО, Банку России для успешного прохождения процедуры сертификации используемого программного обеспечения, автоматизированной системы и приложений? Ну, и в завершение, конечно: какова экспертная оценка возможных материальных и финансовых затрат нефинансовых кредитных организаций на организацию исполнения требований данного Положения? Это неполный перечень вопросов и каждый из выступающих, я думаю, сможет дополнить этот список. И вначале я хочу предоставить слово нашим участникам, представляющим инфраструктурные компании фондового рынка, затем представителям профессионального сообщества и завершить нашу дискуссию предлагаю представителю Банка России. Итак, слово предоставляется Сергею Демидову, «Московская Биржа»/ Сергей Демидов: Спасибо большое за представление. Добрый вечер, коллеги! Действительно, наверное, сложная тема, но, тем не менее, я смотрю, что люди продолжают подтягиваться, значит, интерес к этому вопросу есть. Собственно говоря, со своей стороны я попробую начать отвечать последовательно на эти вопросы, потому что вопросов действительно много накапливается. И первый из заданных вопросов это был, как сильно повлияет данная регуляция на ландшафт рынка. Ну, до этого скажу, наверное, что мы последовательно как Московская биржа с самого начала, наверное, когда проект стал публичным и доступен для обсуждения, мы взаимодействовали и с регулятором, и с рынком именно для того, чтобы понять, какой эффект на рынок будет иметь эта регуляция. Почему мы? Ну, во-первых, потому что большинство участников являются участниками торгов, имеют подключение к нам, а значит, мы несем на себе частично бремя обеспечения информационной безопасности участников. Соответственно, мы здесь не последнее, наверное, звено, которое является интересантом данного направления с точки зрения обеспечения информационной безопасности, и в то же время мы не хотим, чтобы этот рынок сейчас погряз в расходах на информационную безопасность. Потому что всегда, наверное, мы все здесь понимаем с вами, что всегда расходы должны соизмеряться со степенью того риска, который несет на себе инфраструктура. И если статистика по кредитным организациям регулярно публикуется Банком России, и там действительно колоссальные суммы, я помню, назывались госпожой Скоробогатовой суммы и в 400 млрд рублей убытков, и 700 в разные годы, то по рынку НФО и участников торгов не знаю, есть ли подобная статистика, может быть, позже спросим у коллег из Банка России, но, по крайней мере, эта статистика не публичная. Наш разговор с участниками рынка показал, что инциденты единичные и не несут. Поэтому, очевидным образом, мы старались в этот процесс вступить и запустить этот процесс общения участников рынка с регулятором для того, чтобы регулирование стало отвечать тем рискам, которые есть на рынке. Удалось это или нет? Сложный вопрос. Что-то, наверное, удалось, что-то, наверное, не удалось. В чем же основная проблематика? Основная проблематика, конечно, в том, что документ весьма массивный. Если для кредитных организаций существовало 100 БР и ББС(?-09.20) и кредитные организации привыкли ему следовать и привыкли к регуляции банка России, то в этой стезе на рынке нефинансовых организаций регулятор пришел впервые, и пришел, в принципе, с новым, весьма тяжелым регулированием. При этом, на наш взгляд, до сих пор не в полной мере учтена специфика именно рынка торгов, рынка расчетов в результате торгов, которая не нашла отражения в данной регуляции. И это, безусловно, повлечет за собой, на наш взгляд, достаточно существенные траты рынка, которые не будут направлены на непосредственно покрытие риска, который присущ данному рынку. Вместе с тем, я напомню, что даже выступление господина Сычева на ряде конференций говорили, что, в принципе, рынок именно торгов и рынок брокерский это сейчас такая тихая гавань с точки зрения злоумышленников. И тихая она лишь потому, что, в принципе, вывод денежных средств весьма затруднен с этого рынка. Потому что для того, чтобы получить доступ к денежным средствам физических лиц, нужно совершить достаточно большое число телодвижений (я имею в виду злоумышленникам): нужно каким-то образом взломать системы, нужно получить криденшлз, дальше нужно активы одного участника передать на счет другого, дальше совершить вывод на банковские средства и только потом идет процесс обналичивания. Вот в этой схеме, действительно, наверное, проще уже атаковать финальное звено, где уже можно брать деньги с банковского счета и обналичивать, нежели чем пытаться воздействовать на всю эту цепочку. Соответственно, мы действительно жили в такой тихой гавани, и получается, что сейчас регулирование приходит к нам и, с одной стороны, не учитывает специфику рынка, с другой стороны, риск на рынке был небольшим. Поэтому, отвечая на вопрос, как он повлияет, на наш взгляд, повлияет. Повлияет ли это прямо катастрофично? Наверное, нет. Почему я так думаю? Потому что на самом деле я здесь все-таки как человек такого оптимистического склада ума, я все время думаю, что это хороший задел на будущее. И если действительно мы сейчас в тихой гавани, мы вот этих рисков не видим, но это не значит, что они не возникнут в будущем. Что это означает? Это значит, что в какой-то момент, если действительно регулятор прав, а этого исключать нельзя, и действительно банковское сообщество сейчас в результате соблюдения этих требований в большей степени станет защищенным, то те люди, которые ищут, каким образом уворовать средства физических лиц, начнут переключаться на другие продукты, на другие рынки, на другие сегменты. И вот здесь, наверное, действительно, как бы опережающим темпом хорошо, что брокерское сообщество уйдет в такое небольшой отрыв и сделает свои системы априори более безопасными. Ну, насколько это затратно, не знаю, наверное, надо спрашивать именно у брокерского сообщества. Михаил Шабанов: Согласен. Спасибо большое. Но все-таки прежде я хочу предоставить слово Владимиру Курляндчику, представителю компании «АРКА Текнолоджиз». Владимир Курляндчик: Спасибо, Михаил. Я, наверное, тоже не на все вопросы смогу ответить. Но если говорить про первый, - как что поменяется, - то, если честно, когда эта сессия сегодняшняя организовывалась и я к ней готовился, я готовился как бы исходя из того текста постановления, который был несколько последних месяцев в доступе. И, поскольку, как Михаил сказал, вчера был опубликован новый текст, я сегодня буквально в самолете его изучал, и, в принципе, обнаружил, что усилия НАУФОР не пропали даром, и ситуация стала, в общем, заметно лучше для некредитных финансовых организаций, чем она была, скажем, еще позавчера. И поэтому степень влияния на рынок впрямую этого постановления, оно, на мой взгляд, не такое драматическое, которое можно было бы ожидать по предыдущему варианту текста. Тем не менее, несколько важных, на мой взгляд, аспектов в этой части я бы хотел отметить. Во-первых, так или иначе, была реализована концепция пропорционального регулирования, которая выразилась в конкретных цифрах внутри этого постановления. И если у профучастника меньше, чем 100 тысяч клиентов или меньше, чем 100 миллионов оборота в ценных бумагах, что, кстати, тоже отдельная такая интересная вещь, поскольку оборот профучастников складывается не только из операций с ценными бумагами, но и с валютой, и срочными контрактами, но вот… В общем, в принципе, те, кто ни по одному из этих критериев не выше, они вообще, грубо говоря, могут расслабиться, у них жизнь определяется просто здравым смыслом в этой части, что дает им определенные конкурентные преимущества не в смысле даже прямого коста, который они не понесут на имплементацию ГОСТа, а в смысле того, что они могут экспериментировать с рядом новых сервисов, которые, если бы делали участники, попадающие под стандартный уровень защиты по ГОСТу, им бы пришлось довольно серьезно озабочиваться тем, чтобы все требования ГОСТа соблюсти, а здесь с этим можно ну как бы играть, по крайней мере. В принципе, это означает, что у таких компаний относительно небольших, есть какое-то время на разного рода эксперименты технологического характера с диджитализацией и с прочими модными трендами, которые в настоящий момент есть. При этом, правда, нужно вот эти критерии отслеживать, и как только ты этот трешколд пробиваешь, то там все по полной программе, и поэтому нужно понимать свой кост, который тебя ждет, когда и если у тебя с этим бизнесом все будет в растущем тренде. Но, тем не менее, определенное преимущество у небольших компаний появляется именно технологического такого характера. С другой стороны, влияние есть и непосредственное. Дело в том, что сам по себе ГОСТ, который является существенной частью всего этого постановления, он, в принципе, документ-то технический: там несколько сотен технических требований и каждое из них само по себе вполне себе понятное и разумное требование. Вопрос только в том, что их имплементация даже по стандартному уровню защиты, который (ну, там три уровня защиты в ГОСТе, если кто в деталях не в курсе - высокий, стандартный и попроще, что называется), раз, два, три - они там называются. Михаил Шабанов: Минимальный. Владимир Курляндчик: Да, минимальный. Так вот, даже по стандартному уровню защиты, в принципе, довольно много нужно что проанализировать внутри компании как с точки зрения технологий, применяемых, так и с точки зрения процессов и процедур. И вот наша компания, мы два года назад начали изучать ГОСТ этот, когда он еще даже не был принят, а только активно обсуждался, и, в принципе, затеяли у себя проект по адаптации всего и вся, и в нашем случае речь идет не только про софт, с которым, к слову, не так много пришлось доделывать, но и про собственно инфраструктурные вещи. Поскольку, как многие из вас знают, мы оказываем услуги аутсорсинга нашей торговой платформой, соответственно, все требования, связанные с инфраструктурой в этой части, так или иначе, мы должны были проанализироваться на этот предмет. И вот там, в принципе, довольно большая перестройка в наших дата-центрах и в процедурах уже прошла и продолжает идти, и это такой прямо серьезный эфорт, который от компании нашей потребовала вся эта история. И, на наш взгляд, чем раньше компания начинает анализировать прямое влияние этого постановления на свои процессы, тем лучше, потому что неожиданностей может вскрыться довольно много в результате анализа. Наверное, профучастники не будут оглашать оценки в деньгах, мне так почему-то кажется, потому что сложно отделить косты, которые непосредственно на это, от костов, которые в принципе про информационную безопасность. Ну, я могу сказать так, что мы потратили уже, ну вот чисто на аппаратные и софтверные решения порядка 200 тысяч долларов, ну вот просто уже потрачено, и еще будут потрачены сравнимые деньги, это, не считая времени и людей, которые фактически уже год у нас выделенные люди просто только тем и занимаются, что трансформируют какие-то наши решения в рамках адаптации инфраструктуры. Мы, правда, для себя поставили задачу адаптироваться на первый уровень, на самый высокий. Потому что до вчерашнего дня на самом деле не было понимания, какой уровень будет применяться к нашим клиентам. Ну, соответственно, в реальной жизни теперь можно что-то делать попроще, но, тем не менее, процессы идут, и оценки у нас вот такие. Спасибо. Михаил Шабанов: Владимир, я правильно понимаю, что 99% ваших клиентов это все-таки обеспечивает средний уровень защиты информации? Владимир Курляндчик: Я думаю, что нет, я думаю, что довольно небольшой процент наших клиентов по новому тексту попадает под вот этот средний уровень, а остальные попадут под минимальный. Михаил Шабанов: Под минимальный. Хорошо, я понял. Владимир Курляндчик: Ну, мне так кажется, исходя из рейтингов Московской биржи, как например, которые она публикует. Ну, просто 100 миллионов оборота в ценных бумагах это как бы такая тема, в общем… Ну, у нас 200 клиентов, а 50-й номер в рейтинге - это порядка миллиарда, по-моему, или даже меньше. Михаил Шабанов: Оборота? Владимир Курляндчик: Да, оборота. Поэтому как-то вот… Если в штуках, то, наверное, меньшая часть. Михаил Шабанов: Хорошо. Спасибо. Сейчас я предлагаю присоединиться к нашей дискуссии Александра Лёзова. Александр Лёзов: Добрый день, уважаемые коллеги! Я хочу сказать, что компания БКС, безусловно, идет в ногу со временем в плане обеспечения информационной безопасности. Наверное, обсуждать положения документа будем позже на каком-то уровне, наверное, более низком. Я сегодня хотел бы сказать вам вот что. Надеюсь, что многие знают, а если кто не знает, то расскажу. Примерно уже второй год, наверное, Михаил Витальевич, у нас заработал такой коллегиальный орган, который называется Комитет по экономической и информационной безопасности. И, в частности, компания БКС выступила с инициативой разработки карты угроз экономической и информационной безопасности. На наш взгляд, данный документ поможет участникам сориентироваться в этом сложном мире нормативных документов, требований и всего остального, и поможет сориентироваться клиентам. На сайте есть адрес электронной почты, если у кого-то есть какие-то предложения, можно туда смело обращаться, можно даже приезжать к нам на комитет и это все на мероприятии обсуждать. Впоследствии мы планируем, что данный документ будет разослан всем участникам. Так, Михаил Витальевич? Михаил Шабанов: Все верно. Спасибо. Я прошу присоединиться к нашей дискуссии Владимира Дюкова. Владимир Дюков: Добрый день, коллеги! Ранее на «круглом столе» мы уже обсуждали тему внутреннего фрода и тему необходимости соблюдения мер информационной безопасности, в том числе, как это ни цинично бы прозвучало, это тема ликвидности для злоумышленников совершить противоправные действия. Разумеется, проникнуть в инфраструктуру банка, где существует только защита самого банка, гораздо проще, нежели профучастника: слишком много телодвижений. Разумеется, злоумышленникам необходимо иметь определенные знания не только в сфере IT, но и в том числе и в сфере биржевой торговли, дабы совершить это хищение. Сейчас по факту профучастники так или иначе идут по пути банковского сектора. Если банки этот путь уже прошли задолго до нас, ну сейчас идет как раз на укрепление внутренних инфраструктур в плане информационной безопасности по хорошему счету по образу и подобию банковской системы. Вопрос, касающийся разговора, что профучастники, конечно же, не будут озвучивать в нулях, сколько это будет стоить, это правда, действительно. Могу сказать, что это действительно недешево, недешевое удовольствие. А что касательно структур, да, действительно, профучастники с оборотом в 100 миллионов, их не так много. В основном как раз получается, что во вторую категорию и в первую попадает львиное большинство этих компаний. Да, существуют управляющие компании всего лишь с одним паевым фондом в управлении и пять человек штата, где за информационную безопасность может отвечать специалист АХО, как мы проводили в свое время исследование и опрос различных компаний. Да, у таких компаний, конечно, не будет средств на то, чтобы полностью четко соблюдать ГОСТ, Но это вопрос рынка, поэтому… Сергей Демидов: Прокомментирую только, что не сто миллионов, а сто миллиардов. Это, в принципе, чуть повышает порог. А то мы сейчас с вами тут рынок расстроим. Михаил Шабанов: Для управляющих компаний да, но для брокерских - это 100 миллионов. Сергей Демидов: Для брокерских 100 миллиардов. Брокеры, которые в течение квартала 100 тысяч миллионов рублей в квартале - написано так в нормативном акте. Я просто на него смотрю прямо в напечатанную версию. И тут действительно 100 тысяч брокеры, 100 тысяч миллионов рублей. Как-то странно написано. Михаил Шабанов: Да, странно написано. Я немножечко по-другому прочитал эту фразу. Сергей Демидов: Сейчас это официальный нормативный акт, тут стоит сверху штамп, читаем - 100 миллиардов. Михаил Шабанов: Да, ну тогда действительно у нас к средней категории не так много будет относиться, а все остальные брокеры перейдут как бы в третью. Сергей Демидов: Ну, я бы еще даже прокомментировал по стоимости, для того чтобы уже чуть-чуть в практику перейти, а то мы так высокоуровневыми тезисами обменялись. Но если говорить с точки зрения практики, почему, ну, с одной стороны, да, те, кто захочет в лоб решать эту задачу и начнет прямо вот брать самые дорогие средства и с рынка средства информационной безопасности внедрять, наверное, да, тут сумма может быть и 100 миллионов, и больше. Но, с другой стороны, тут, к слову, надо сказать, что, в принципе, регулятор достаточно грамотно подошел к самому ГОСТу и оставил там норму, которая позволяет относиться к внедрению средств защиты, исходя из экономической целесообразности. В самом ГОСТе есть пункт 6.2 или 6.3 (я не помню точно номер), который предусматривает, что можно не использовать конкретное требование ГОСТа, если оно экономически нецелесообразно для той или иной организации. Это некая вторая норма, то, что в самом нормативном акте регулятор уже разделил рынок на несколько сегментов, но также в самом ГОСТе по отношению к конкретным мерам, которые должны быть приняты организацией, можно отдельные меры, я так понимаю и читаю, ГОСТ можно не применять, если это экономически нецелесообразно. Поэтому любая организация, которая видит, что о'кей, у них нету антивируса и антивирус им смысла покупать большого нету или, допустим, нету смысла покупать межсетевой экран… Звучит страшно, наверное, для банковского сектора, меня бы закидали уже тухлыми помидорами, но я раскрою секрет, есть участники, которые ни к чему не подключены, у них FPGA-карты(?), с которых они торгуют, и выделенный канал для сетей управления. Зачем им на этих FPGA-картах антивирус и как его туда поставить и кто его разработает, история умалчивает. Поэтому я думаю, что в рамках НФО это как раз будет та мера, которую НФО будут использовать. Вместе с тем было несколько встреч с Банком России на предмет того, чтобы помочь Банку России разобраться в специфике работы именно нашего рынка, рынка НФО, рынка биржевого, чтобы рассказать, какие игроки на нем есть. И мы, конечно, надеемся здесь, что в дальнейшем эта регуляция будет в большей степени адаптироваться. Потому что да, я соглашусь с Владимиром, который говорит, что в регуляции сейчас в нормативном акте упомянут только фондовый рынок, ну то есть сделки акциями, хотя, с другой стороны, я прекрасно понимаю, что есть достаточно крупные игроки, очень технологичные игроки и большие игроки на срочном рынке, и валютном рынке, которые чифти(?-28.08), и они, получается, в лоб в эту регуляцию не попадают вообще. Ну, достаточно странно. Я думаю, что тут движение будет с двух сторон, и с одной стороны регулятор, надеюсь, захочет узнать, как все-таки работает этот рынок, ну и мы поможем ему это понять. Михаил Шабанов: Большое спасибо, Сергей, за комментарий. Но вот я смотрю в моей версии, то, что в электронном виде: да, для брокерских компаний, которые в течение трех последних кварталов по состоянию на 31 декабря предшествующей дате определения уровня защиты информации заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100… Сергей Демидов: Тысяч… Михаил Шабанов: А, 100 тысяч миллионов рублей. Да, спасибо, точно. Написано немножко да, так интересно. Да-да. Сергей Демидов: Главное, чтобы это не оказалось теперь опечаткой. А то… Михаил Шабанов: Путаница, да. Да, чтобы это точно не оказалось опечаткой. Иначе эти нули как-то приводят в некоторое замешательство. Сергей Демидов: В других местах там причем 20 миллиардов, например… Михаил Шабанов: Да, там миллиарды все точно указано миллиардами. Здесь почему-то цифра оказалась вот такая. Может быть, это действительно какая-то опечатка? Или нет? Сергей Демидов: Будем надеяться, что нет. Сто миллиардов выглядит более разумным, чем сто миллионов. Михаил Шабанов: Согласен. Потому что я думал, что это цифры немного другого порядка. Спасибо большое. Дмитрий Кухтенков, есть какие-то дополнения по этому поводу? Дмитрий Кухтенков: Добрый вечер, уважаемые коллеги! В общем-то, не секрет, что профучастники между собой общаются достаточно давно, обсуждают ГОСТ, мы начали встречаться еще, когда была создана рабочая группа при Центральном банке России при разработке, подготовке этого ГОСТа, мы много обсуждали тех проблемных вопросов, с которыми нам предстоит в последующем столкнуться. Сейчас для профучастников введение нового ГОСТа и приведение своей нормативки, техники к стандартам нового ГОСТа, ну это как перед прыжком в бассейн, когда ты перед этим никогда этого не делал. Понятно, все опасаются. Понятно, у многих еще остаются вопросы, до конца не ясно, как это будет происходить, что касается сертификации программных продуктов, что касается проверок… Ну, много на самом деле вопросов. Мы надеемся, что эти вопросы будет в последующем отработаны, ну, что греха таить, что многих профучастников не постигнет судьба тех банков, которые не пережили волны закручивания гаек, когда банков было раза в три больше. Ну, вопросов много. Надеемся на лучшее. Очень хотим заразиться здоровым оптимизмом. А дальше посмотрим. У меня все, спасибо. Михаил Шабанов: Спасибо большое. Я предлагаю сейчас промежуточный итог подвести представителю Банка России. Андрей. Андрей Выборнов: Добрый день, уважаемые коллеги! Ну, действительно полномочия у Банка России по регулированию и надзору по тематике информационной безопасности появились только в прошлом году. Большинство, наверное, знает, что в прошлом году были изменения в федеральное законодательство, в результате чего у Банка России появились полномочия по регулированию этих вопросов, по регулированию вопросов защиты информации, по надзору за этими вопросами и, соответственно, мы как бы обязаны в рамках своей компетенции эти полномочия реализовать, собственно. Мы находимся (очевидный факт) в начале этого пути, и вот этот нормативный акт, который вышел, это как бы первый шаг к развитию как регулирования, так и, очевидно, к дальнейшему развитию надзора в рамках этой тематики. Сегодняшняя дискуссия почему-то свелась только к этому ГОСТу, которым дана нормативная ссылка в нормативном акте. На самом деле мы исходили из четыре таких крупных направлений обеспечения информационной безопасности и постарались эти четыре направления рамочно отразить, собственно, в этом нормативном акте, который так сегодня широк… Так удачно совпало, что он вчера был опубликован. Даже, в принципе, страшно представить, что бы мы обсуждали, если бы Минюст вовремя не справился и не зарегистрировал бы его к этому мероприятию. Но, тем не менее, там как бы четыре блока вопросов, на которые мы обратили свое внимание. И основной из них это на самом деле даже не ГОСТ, а основной из них - это, собственно говоря, реализация процессов информационной безопасности на уровне технологий. Это, нам кажется, очень важный момент, в отличие от, так сказать, навесных разного рода средств защиты, которые стоят в инфраструктуре, такие, как антивирус, защита от несанкционированного доступа, межсетевые экраны, собственно, о которых идет речь в ГОСТе. Нас, честно говоря, больше сейчас заботит именно реализация технологических мер защиты информации, которые, собственно, отображены в этом нормативном акте. В акте приведено такое рамочное регулирование этих вопросов, и эти требования, они в первую очередь направлены на обеспечение целостности и подлинности информации, которая обрабатывается и циркулирует в рамках соответствующего электронного документооборота между клиентами, организациями и т.д. Для того чтобы эффективно эту тему регу… Я еще раз повторю, что это сейчас максимально рамочное регулирование, мы просто эту тему обозначили. Для того чтобы развиваться в этой теме и, очевидно, нам, и как-то наше регулирование, и выстраивать эффективно процедуры надзора в этой части, у нас действительно, может быть, эта работа ведется не очень быстро, но поставлена работа и мы надеемся на взаимодействие с участниками рынка, может быть, в рамках того комитета, который существует, для того чтобы адаптировать вот эти рамочные требования к технологии обработки информации, именно к тем технологическим процессам типовым, скажем так, к тем процессам обработки информации, которые существуют в разных категориях у наших поднадзорных в разных видах деятельности на финансовом рынке. Второй блок вопросов - это действительно безопасность приложений, это «знаменитая» сертификация, о которой все говорят. По существу вопроса мы озабочены темой выстраивания работы в отношении приложений, критичных с точки зрения уязвимостей. И надо сказать, что мы свои полномочия реализуем по закону по согласованию с двумя уполномоченным органами ФСТЭКом и ФСБ. То есть это такой бы не только акт Банка России, но это акт Банка России, который согласован со ФСТЭКом и с ФСБ России. С ФСБ России - в части криптографии, а с ФСТЭК России - в части иных вопросов защиты информации. Так вот, вообще говоря, тема сертификации, она в этой части сильно пересекается с компетенцией ФСТЭК России, и вот в рамках взаимодействия с этой службой у нас сформировалась позиция о том, что возможны два варианта. Первый вариант - это действительно сертификация, как таковая по требованиям к безопасности информации. Но это тяжелая процедура, мы понимаем, что она минимум полгода, в большинстве случаев неприменима с точки зрения современного подхода к разработке программного обеспечения. Но она имеет место быть. Или, в акте прописана процедура, что анализ уязвимостей по определенному уровню, по ГОСТу 15408. Причем этот анализ уязвимостей может быть реализован как самостоятельно… Это у нас была с Московской биржей такая определенная дискуссия по этому вопросу, и мы пришли к компромиссному решению, что либо это может быть реализовано самостоятельно, если есть компетенции, безусловно. Если компетенции нет, то, естественно, надо привлекать сторонние организации. Но эта деятельность лицензируемая, поэтому организация должна иметь лицензию. Ключевой вопрос в этой теме, как нам кажется, тут даже два ключевых вопроса, наверное. Первый - это разработка дальнейшего методологического аппарата, который позволит проводить такого рода работу. И мы много раз говорили, но это тяжелая работа, мы сейчас активно над ней работаем, это разработка профиля защиты, который позволит общую методологию 15408 приблизить, собственно говоря, к тематике именно оценки приложений, которые используются на финансовом и банковском рынке. И вторая тема - это, конечно, качество работ в случае привлечения сторонних организаций. Да, понятно, что есть формальное требование о наличии лицензии при привлечении работ. Но очевидно, для нас по крайней мере, что не все организации, которые лицензированы ФСТЭК России, могут качественно проводить работу в отношении безопасности, проверки уязвимости в приложениях. Ограниченное количество организаций, которые обладают такой компетенцией. Одна из других тем, над которой мы сейчас активно думаем, как ее реализовать как практически, так и в какой-то мере в правовом поле, - это создание некой системы, условной системы аккредитации (опять же в кавычках), так назовем ее, на самом деле мы думаем, что надо создать систему добровольной оценки соответствия, где объединить в некий пул организации, которые качественно могут проводить работу по оценке соответствия, с обеспечением качества их работы, проверки качества работы, которую проводят, чтобы у нас поднадзорных была возможность выбрать этот пул организаций и чтобы работа именно по проверке безопасности приложений на уязвимости была выполнена качественно. Это важная тема, с нашей точки зрения, и вообще в целом с точки зрения обеспечения информационной безопасности. Третья тема - это инфраструктурная защита разного рода навесными средствами защиты информации. Эта тема, действительно, она детально прописана в ГОСТе, о котором много говорили. ГОСТ на самом деле вышел два года назад, и перед тем, как начать эту работу, мы провели… Разработка ГОСТа велась в рамках технического комитета 122 (есть такой технический комитет, есть в нем подкомитет № 1, если не ошибаюсь, по информационной безопасности), и эту работы мы вели три или четыре года назад где-то на протяжении примерно 1-1,5 года. И перед началом этой работы мы сознательно постарались расширить состав членов вот этого подкомитета, включив туда представителей из двух НФО. То есть это наша была инициатива, мы пытались создать вот такую площадку, где участвовали все заинтересованные лица с точки зрения разработки наших документов. И ГОСТ, насколько я понимаю, был приказом Росстандарта легализован примерно два года назад, и только сейчас мы нормативно закрепили его как обязательность применения. И, собственно говоря, четвертое направление, которое мы в нормативном акте закрепили - это вопросы протоколирования действий операций, которые выполняются на разных технологических участках. То есть вот такие четыре группы вещей. Еще там, безусловно, есть тема внешнего аудита, - тот вопрос, который вы задавали. Михаил Шабанов: Очень важный момент для брокерских компаний, управляющих компаний. Андрей Выборнов: Да. Эта тема на самом деле перекочевала из банковского регулирования. У нас есть (может, кто-то знает, кто-то нет) соответствующее положение Банка России, которое регулирует вопросы защиты информации при осуществлении перевода денежных средств, и там долгое время была тема с тем, что вот этот контроль может проводиться в двух формах: либо в форме самооценки, то есть самостоятельно, либо в форме внешнего аудита с привлечением соответствующей организации. Опять же вот этот привлечение, оно ограничено лицензионными требованиями, потому что этот вид услуг, он тоже лицензируемый. Поэтому организация, которая привлекается, должна иметь соответствующую лицензию ФСТЭК России, и об этом в акте прописано. Но у нас как бы сложилась такая практика, что большинство банков, безусловно, пошли по пути самооценки, там соответствующая отчетность имеется, которая предоставляется ..?.. . И мы столкнулись с тем, что не всегда мы получали объективные результаты, с одной стороны, а с другой стороны, был случай, когда были существенные инциденты в информационной безопасности тех организаций, которые показывали высокие результаты в рамках самооценки. То есть мы поняли, что самооценка как инструмент, он не совсем эффективен, недостоверен, и поэтому мы и как в отношении банковского сектора, так и сразу в отношении блока НФО мы отказались от самооценки и закрепили обязанность проведения вот этого аудита. Опять же здесь тема с точки зрения выбора аудиторских компаний… У нас есть определенные оценки по деньгам, сколько это может стоить и т.д. Есть формальная сторона вопроса, то, что, в принципе, можно привлечь любого аудитора, который обладает соответствующей лицензией, и есть пока неформальная сторона вопроса, что не каждая организация, которая имеет лицензию, может провести аудит качественно. Поэтому в этой части тоже работаем условно над созданием той же системы аккредитации, ну, может быть, той же, но по другой тематике, опять же по некому пулу аудиторских проверяющих организаций, которые формально обладают лицензией, а с другой стороны, могут качественно проводить работу по аудиту, чтобы получать достоверные данные как для Банка России, так и достоверные данные, интересные менеджменту наших поднадзорных. Это вот с точки зрения аудита. Если говорить о пропорциональном регулировании, во-первых, надо сказать, что у каждого профильного департамента, в данном случае департамента рынка ценных бумаг и товарного рынка, существуют подходы к категорированию своих поднадзорных на группы. Мы эти подходы, безусловно, не изобретали, мы взяли те вещи, которые нам были предоставлены в рамках наших взаимоотношений… Михаил Шабанов: Этой концепции, да? Андрей Выборнов: Концепции, да. В принципе, все поднадзорные из блока НФО делятся на крупные, средние и мелкие. И надо сказать, что не по нашим критериям, опять же повторюсь, разрабатывал не наш департамент, разрабатывал профильный департамент рынка ценных бумаг, департамент коллективных инвестиций и т.д., то есть у каждого департамента, в принципе, в теории вопроса есть критерии по делению поднадзорных на группы. И по существу вопроса вот этот акт нормативный, он сейчас распространяется только на крупные организации. То есть было принципиальное решение руководства Банка России, что не распространять на всех, а распространить только на крупных. И распространить в таком достаточно мягком варианте, что, условно говоря, системно значимые организации реализуют второй уровень защиты информации… Михаил Шабанов: Средний уровень. Андрей Выборнов: Средний уровень защиты информации. А все остальные - минимальный. То есть минимальный уровень - это просто джентльменский набор, так сказать, минимальный уровень, который… Вообще когда мы делали ГОСТ, мы предполагали, что минимальный уровень будет распространяться на, скажем, микрофинансовые организации… Михаил Шабанов: Да-да, мы читали в проекте. Андрей Выборнов: Там минимальный набор требований. Но вот поскольку мы поняли, что у нас была достаточно… Она была по времени короткая дискуссия, но она такая интенсивная дискуссия в рамках проекта обсуждений нормативного акта. И нас очень усиленно просили понизить уровень, мы пошли на встречу и решили, что надо начать, наверное, не с максимальных уровней, а с минимального, для того чтобы постепенно. Михаил Шабанов: Большое спасибо. Андрей Выборнов: Да. И второй момент - по срокам. Там на самом деле, если внимательно почитать, там очень много отложенных норм, в частности, в части обязанности применения ГОСТа там отложена норма до 2021 года, если я правильно помню. Михаил Шабанов: Да, до 2021-го. Андрей Выборнов: Там такое поэтапное как бы вступление. Михаил Шабанов: Часть - 2020 год, 2021 год. Андрей Выборнов: 2020 год… Я сейчас на память не помню, но суть заключается в том, что там поэтапное вступление, что третий уровень надо достигнуть к 2020 году… Михаил Шабанов: И 2022 год. Андрей Выборнов: …к 2022 году. Значит, надо понимать, что есть соответствующая методика, где вот эти уровни соответствия ГОСТу прописаны. То есть можно ее взять и примерить на себя. Наши следующие направления работы. Что мы видим? У нас сейчас на повестке дня две темы крупные, тяжелые такие вот, которые мы будем решать. Первая - это, собственно говоря, адаптация вот этих рамочных требований к специфике деятельности разных категорий организаций. Мы эту работу пытались начать в прошлом году, она как-то у нас пока идет вяло, но, тем не менее, мы ее в этом году активно пытаемся реализовать. Как мы ее выстраиваем? Мы ее выстраиваем таким образом, что пытаемся описать как бы типовой технологический процесс… Михаил Шабанов: Да, верхнеуровневый, я помню, да. Мы рабочую группу по этому поводу создавали, но, по-моему, сейчас будет она меняться и мы подключимся более активно к этой работе. Андрей Выборнов: Да. Вот здесь нам надо, как мне кажется, усилить для того, чтобы надзорные процедуры уже были адаптированы к практике работы. И второй момент, чем мы сейчас активно занимаемся, - это выстраивание именно процедур надзора. Ведь на самом деле расстановка антивирусов и следующих ..?.. это как бы не самоцель. Нас как бы беспокоит на самом деле… То есть цель всего этого регулирования и надзора - это показатели, связанные с уровнем несанкционированных операций, незаконных операций, как прописано в законе. То есть Банк России, по закону, регулирует не для того, чтобы просто ради регулирования, а с точки зрения противодействия незаконным финансовым операциям, как прописано в законе. То есть нас интересует уровень незаконных операций, о чем здесь многие говорили, что у нас нет инцидентов, у нас все нормально. Михаил Шабанов: Ну, на самом деле есть. Просто я понимаю, что их не такой объем и не такое количество, как в кредитных организациях. Андрей Выборнов: Да, возможно. Мы находимся только в начале пути, поэтому здесь как бы мы, наверное, не обладаем всей полнотой картины. Второе направление - это важная тема, связанная с операционной устойчивостью, операционной надежностью, непрерывностью процессов. Поскольку понятно, что компьютерные атаки приводят либо к каким-то хищениям, либо к нарушениям функционирования, и для ваших организаций это так же плохо, как и хищения, наверное. Михаил Шабанов: Безусловно. Андрей Выборнов: И третья тема, над которой мы работаем, - мы хотим понять и сейчас работаем над методиками - относительно качества менеджмента, качества управления с точки зрения инфомрационной безопасности. Вот эти три показателя мы, наверное, будем вводить в наши надзорные мероприятия. То есть о чем коллега говорил, что действительно ..?.. организации отношение к информационной безопасности по остаточному принципу, когда работник, не знаю, охраны труда заодно занимается информационной безопасностью. Ну, вот это нам кажется не совсем правильным, особенно в крупных организациях, наверное. Поэтому, наверное, качество управления, вот именно корпоративного управления с точки зрения информационной безопасности, будем развивать эту тему и концентрировать наш надзор в этой области. Кратко я еще одну тему хотел бы осветить, поскольку там есть смычка со 197-м Федеральным законом. Михаил Шабанов: 187-й? Ну, времени у нас пока хватает, пожалуйста. Андрей Выборнов: Я буквально два слова по этому вопросу хочу сказать. Кто внимательно читал акт наш нормативный 684П… Михаил Шабанов: Там исключили его именно, что он не относится к регулированию 187-го. Андрей Выборнов: Да, он не относится к этой теме, безусловно, это явно там прописано. Но там есть тема информирования об инцидентах Банка России. То есть вводится обязанность, в случае, если происходит инцидент, необходимо проинформировать Банк России. Аналогичная норма для банков существует. Параллельно существует с 187-ФЗ и все наши поднадзорные, они являются субъектами критической информационной инфраструктуры, часть из них являются значимыми. Значит, все субъекты, вот все просто поголовно, начиная от Московской биржи и заканчивая ломбардом, обязаны в случае инцидента по 187 Федеральному закону информировать госорган, это вот прямая обязанность введена. Там в зависимости от размера организации можно разными способами информировать, но тем не менее обязанность существует. У нас был некий диалог с коллегами из уполномоченного органа относительно оптимизации этой процедуры информирования, поскольку об одних и тех же инцидентах идет информирование как Банка России, так и, собственно говоря, и по сути вопроса ..?.. . В результате у нас появился некий протокол, который позволяет нашим поднадзорным реализовать информирование двумя способами на свое решение. Первый способ - это когда информирование идет параллельно, второй способ - когда информирование идет через Банк России. То есть это вот на решение наших поднадзорных. Это просто важно понимать, и соответствующее письмо, насколько я помню, Банк России рассылал и предлагал нашим поднадзорным выбрать способ информирования. Для того чтобы это информирование реализовать по нашему акту, у нас, в принципе, стандартизован опять же в рамках ТК-122 некий стандарт существует форматов обмена. Он, может быть, сейчас не совсем совершенный, мы будем его развивать в сторону более удобного его использования, но он как бы пока существует такой. И у нас есть некая система автоматизированная, которая позволяет по этим стандартам проводить информирование. Эта система же другим концом как бы привязана к ..?.. , поэтому она позволяет пересылать то, что к нам пришло, в автоматическом режиме без изменений в сторону госоргана. Собственно говоря, весь прошлый год у нас ушел на то, чтобы… Ну, не весь, но большая часть прошлого года ушла на то, чтобы подключить к этой системе кредитные организации, соответственно, в наших будущих планах более-менее ближайших - это вот те организации, которые подпали под наше регулирование с точки зрения вот этого нормативного акта нового, чтобы они тоже были подключены к этой системе и могли осуществить свою обязанность по информированию об инцидентах, которая появилась в рамках нового акта. Вот как бы кратко пока, наверное, все. Михаил Шабанов: Большое спасибо, Андрей. Я могу поделиться информацией, касающейся введения, внедрения этих требований для некредитных финансовых организаций. Ну, имеется в виду прежде всего 187-ФЗ. На последнем заседании Комитета по экономической и информационной безопасности НАУФОР мы обсуждали эту тему, и на комитете, а он был расширенный, расширенное заседание, присутствовали юристы различных брокерских, управляющих компаний, которые в один голос твердили о том, что 187-ФЗ не относит впрямую в качестве вот как субъекта. Вы сказали, что там все относятся, вплоть до ломбарда, а юристы почему-то не считают, что вот брокерские и управляющие компании являются субъектом вот этого закона, который регулирует вопросы критической информационной инфраструктуры Российской Федерации. Андрей Выборнов: Я не юрист, но в моем понимании там явно прописано. Сергей Демидов: Я тоже подтвержу, потому что на самом деле мы долго консультировались и консультировались, собственно говоря, со ФСТЭК, на самом деле, что говорит закон. Он весьма витиевато написан, но там написано, что любая компания, обладающая средствами компьютерными, по сути, является субъектом критической информационной инфраструктуры. А дальше уже идут критерии значимости и незначимости, под которые кто-то подпадает или не подпадает. Вот здесь это как раз вопрос о том, что, в принципе, любая организация, у которой есть в наличии компьютеры, сети, которая подключена, она часть критической информационной инфраструктуры. Андрей Выборнов: Да, там же как написано, там же определение есть, и там из включения в критическую информационную инфраструктуру (ну, закон можно прочитать, я дословно не воспроизведу, там витиевато действительно написано), но суть в том, что организация, которая действует в… там, по-моему написано - в кредитно-финансовой сфере или в банковской сфере или в сферах финансового рынка (что-то такого плана), они автоматически становятся субъектами КИИ. Сергей Демидов: Там даже более широко написано, что… Отдельно там есть критерий экономической значимости, но без даже указания сферы деятельности организации, просто как объект. Просто из определений 187-ФЗ следует, что любой субъект, у которого есть объекты (а объекты - это просто компьютерные серверы, сети и прочие штуки), соответственно, организация, у которой есть вот эти объекты, является критической информационной инфраструктурой. Там вот как раз безотносительно сферы деятельности. Сфера деятельности уже применяется непосредственно при категорировании. Михаил Шабанов: Сергей, все верно. Однако, скажем, наши члены НАУФОР запросили подготовить нас и разработать соответствующее информационное письмо, которое бы четко разъясняло вот эти пункты и нашу позицию о том, кто является субъектами и каким образом дальше уже вопрос категоризации и исполнения действительно уже будет касаться тех норм и требований, которые изложены в законе. Сергей Демидов: Я просто здесь переживаю за то, что, собственно говоря, недавно вышли правки, и в рамках этих правок четко определена дата окончания категорирования, и это, по-моему, сентябрь этого года. Потому что раньше там была плавающая дата: нужно было закончить ее в течение года с момента начала, но не было указано, до какого момента надо начать, хотя закон уже вступил в силу. И этим все пользовались, потому что, в принципе, обязывающей даты репортинга во ФСТЭК информации о проведении категорирования объектов не было. Вот сейчас она появляется либо уже появилась (у меня сейчас просто нет информации, буквально сегодня с утра читал это письмо), но тем не менее я так ожидаю, что она появится, поэтому вот этот счетчик начнет потихоньку тикать, а дальше уже могут быть кары небесные. Михаил Шабанов: Большое спасибо за очень своевременную информацию. Коллеги, это, я думаю, злободневный вопрос и всех он касается. Поэтому я предлагаю внимательно изучить этот вопрос и посмотреть. Вот видите, то есть позиция у Банка России о том, что мы все, все профучастники являются субъектами данного закона, а значит исполнять эти требования нам в том или ином виде придется, в зависимости от категории, к которой будут отнесены. Андрей Выборнов: Вот смотрите, какая там, в этом законе. То есть надо понять, что закон выстроен не по отраслевому принципу, там как бы на все отрасли и сферы нашей славной экономики два регулятора - ФСТЭК и ФСБ, неважно какая сфера деятельности. Соответственно, и все разъяснения, безусловно, должны идти с их стороны, в том числе. Михаил Шабанов: Нет, там были и указы президента, мы прекрасно читали, и приказы ФСТЭКа и ФСБ, но я, насколько понимаю, даже в этом плане нормативная база еще полностью не готова для исполнения этого закона. Андрей Выборнов: Нормативная база по линии ФСТЭКа по нашим уже готова и уже меняется. Нормативная база по линии ФСБ России, действительно, она сейчас какие-то акты вышли, какие-то формируются. Но надо понимать разделение компетенций этих двух замечательных служб и как это увязано со значимостью и незначимостью. Михаил Шабанов: А для нас еще очень важно, как в эту систему встроен Банк России, нашего главного надзирателя. Андрей Выборнов: Собственно говоря, в нашем понимании, реализация этого закона… Еще раз повторю, что весь наш рынок, он как бы субъект КИИ. Для субъектов КИИ установлена обязанность информирования об инцидентах ФСБ России. То есть, собственно говоря, вся нормативная база ФСБ России, в которой что-то сделано, что-то не сделано, она вокруг вот этого информирования - сроки информирования, порядок информирования, технические средства информирования и т.д. - вот это все вокруг информирования об инцидентах. Ну, и обратная связь там, безусловно, тоже прописывается: как из ФСБ какая-то информация прилетает для того, чтобы противодействовать компьютерным атакам. Некоторые субъекты КИИ являются счастливыми обладателями значимых объектов КИИ. Значимость объекта КИИ определяется по постановлению правительства, которое действует уже примерно года полтора, 127-е постановление правительства. Этого постановления правительства разработчиком был ФСТЭК России, и это постановление оно идет, по закону, по согласованию с Банком России, мы его согласовывали. Это полномочия там. В законе прописано: Банк России согласовывает. В этом постановлении много разных критериев категорирования. Наш критерий, который к нам имеет отношения, к нашей отрасли, - это объем операций, средний ежедневный объем операций, скажем так. И, по-моему, если я не ошибаюсь, наши поднадзорные становятся значимыми, когда достигается средний дневной объем более 3 млн единиц операций. Сергей Демидов: В течение года. То есть в течение года каждый день должно быть… Андрей Выборнов: Да. То есть на самом деле в нашем понимании таких организаций в стране будет не очень много, вернее их будут единицы. Сергей Демидов: Ну, это вопрос, как считать. Здесь все время проблема с нашими нормативными актами, это как читать или как считать, а дальше начинаются проблемы. Потому что если, например, мы возьмем заявки, не приведи Господь, то, в принципе, значимыми окажутся все брокеры. Хотя это тоже транзакция, они ее посылают, это волеизъявление. Он ее тут же отзывает - это вторая транзакция. У нас тех, кто пуляет заявками, а не сделками, достаточно много. Поэтому сразу возникает такое трактование неоднозначное. Андрей Выборнов: Здесь надо смотреть формально, я думаю, что такое финансовая операция с точки зрения тех или иных видов деятельности. Сергей Демидов: Не детерминированы термины в документах Банка России, к сожалению, оказались. И проблема в том, что как раз вся регуляция выходит в том числе полной недетерминированных определений. Даже, ссылаясь на… Вот мы ушли от ГОСТа и нормативного акта, вводящего в действие. А меня на самом деле очень пугает пункт 10 этого нормативного акта, который причем вступает в силу через десять дней, сразу после подписания, то есть он уже фактически скоро станет всем обязательным. И такой же есть пункт, который для кредитных организаций, который чуть-чуть на момент меняет вообще всю организацию взаимодействия в России между финансовыми организациями, включая банки, НСПК тоже. А пункт гласит то, что каждая транзакция должна быть подписана, причем под подписывании должна обеспечиватьсяцелостность. А это значит никакая ПЭП перестает работать в России через десять дней вообще. Ну, потому что, нельзя, используя ПЭП, подписать документ, и проставление ПЭП это просто заголовок - Демидов Сергей Владимирович в заголовке электронного документа после ввода пароля, который проставляется. Соответственно, происходит то, что, в принципе, ПЭП перестает существовать. Я уверен, что регулятор, наверное, не хотел этого сделать, такой революции, я просто привожу это как пример, что вот такие неточные требования и неточные определения зачастую создают некий вакуум и дальше возникает вопрос - а как будет проверяться? Потому что сейчас, получается, можно прийти и любую организацию, которая в своей ДБО использует простую электронную подпись… Андрей Выборнов: Сейчас у меня перед глазами документа нет, но из памяти я вспоминаю, что у нас вроде бы мы ПЭП не убивали, у нас была написана норма о том, что должна быть придана юридическая значимость применению ПЭПа. Но просто сейчас перед глазами нет, не могу прокомментировать. Сергей Демидов: Ну да… Михаил Шабанов: Мы вернемся к этому вопрос потом уже в рабочем порядке. Если действительно существует такая проблема, мы ее озвучим. Сергей Демидов: Это к тому, что здесь в любой момент, конечно, хотелось бы, чтобы в будущем была плотная работа с рынком для того, чтобы избегать неоднозначных трактований. Владимир Курляндчик: Извините, что вмешиваюсь в вашу замечательную дискуссию, я тоже сейчас этот пункт посмотрел, вот прямо как он отлит как бы из бронзы в тексте. Там, в принципе, видно, что обе стороны правы, как это ни странно звучит. С одной стороны, действительно, в этом пункте есть первый абзац, который говорит про то, что должен обеспечивать, чтобы целостность, а с другой стороны, есть следующий абзац в этом же пункте, где написано, что все должно быть в соответствии с законом об электронной подписи. Поэтому, в принципе… Сергей Демидов: Я читаю это так, что ПЭП использовать нельзя, а вот все, что в 63-ФЗ осталось, можно. Потому что ПЭП не обеспечивает целостность ну никак. Владимир Курляндчик: Ну, короче, мне кажется, добрая воля регулятора, видна в этом пункте. Может быть, формулировки такие же неудачные, как «100 тысяч миллионов», но, тем не менее, видно, что как бы, ну вроде бы вот этот смысл вкладывался. И я тут поддержу, что главное это то, как проверки будут проходить. Вот это важно. Андрей Выборнов: Коллеги, перед тем, как начинать…То есть мы не хотим объективно начать проверять прямо вот с завтрашнего дня, кто там применяет УКЭП, кто ПЭП… Михаил Шабанов: И соблюдается ли целостность. Андрей Выборнов: Да, и ..?.. какого класса стоит, собственно говоря. Я думаю, что это… Еще раз: наша цель сейчас следующая, нам необходимо - а) разобраться с технологией обработки информации, реально понять, где какие УКЭПы, ПЭПы и УНЭПы нужны или не нужны, и начать следить именно за рисками. То есть не проверять наличие антивируса как такового, а начать следить за рисками с точки зрения объема незаконных операций с точки зрения операционной надежности и с точки зрения корпоративного управления по линии информационной безопасности. То есть надо сказать, что наличие, условно говоря, антивируса на каком-то АРМе это нас, конечно, может быть, интересует, но это как бы в случае того, если высокие риски у наших поднадзорных. Тогда мы уже будем разбираться реально, почему там нет антивирусов. Сергей Демидов: Я вспоминаю как раз тот нормативный акт, который по корпоративному управлению был тем же ТК-122 утвержден или это было какое-то изменение в 100БР(?), по-моему, как раз не ГОСТом, а 100БРом выходил, и там больше всех, конечно, изумляло, что там минимальная численность инфобезопасников для любой организации пять штук. Ну, потому что там вот… Мы считали, там точно рекомендовалось отделять методолога от мониторинга, мониторинг от эксплуататора информационной безопасности, и все эти функции должны быть различны. И тогда дискуссия была, но хорошо, что мы остановились на этапе, что это рекомендательный стандарт. Все-таки можно вопрос по поводу проверок. Когда они начнутся, начнутся ли вообще, то есть, есть ли какой-то план Банка России, когда все-таки ожидать вот ужаса-ужаса, уже когда придут проверять? И по каким обстоятельствам? Андрей Выборнов: Ну, честно говоря, я больше за регулирование методологии отвечаю. Михаил Шабанов: Нет, ну тут вопрос просто касается того, что это будет организовано в рамках вашего департамента или все-таки это будет организовано через департамент ценных… Андрей Выборнов: Нет, это общая, проверки у вас организуют централизованно, безусловно. Сергей Демидов: Нам говорили, что департамент информационной безопасности. Михаил Шабанов: Да, были такие слухи. Андрей Выборнов: Нет-нет, понимаете, есть вопрос организации, есть вопрос участников. То есть организация не за нами. А есть, собственно говоря, кто ходит проверять. Насколько я знаю, в группе компаний Московской биржи проверки у нас начинаются скоро. Михаил Шабанов: Комплексная проверка? Сергей Демидов: Зря я сегодня… Андрей Выборов: Нет, и вы тоже об этом знаете. Сергей Демидов: Конечно, знаем. Владимир Курляндчик: Тут вот коллеги справа от меня, как мы сидим, они попросили позитива. Ну, мне так показалось, что хочется позитива профучастникам. Я в качестве позитива пару мыслей хотел бы отметить. Первая такая, что вот эта вся регуляторная история вокруг информационной безопасности, по крайней мере у меня, человека, который в нее сколько-то лет назад уже успел занырнуть и от первого шока отойти, в принципе, вызывает какое-то такое общее впечатление, что просто регулятор пришел ко всем и сказал: «Ребята, тема серьезная, вот озаботьтесь ей по-нормальному. Вот вам best practice, ну и как бы давайте уже делать что-нибудь». Потому что риски есть. Вот я немножко утрирую, но в целом достаточно большая как бы гибкость документов, которые есть, несмотря на какие-то нюансы. Даже вот этот пункт, по которому мы подискутировали, и тот, в принципе, оставляет как бы варианты для нормального развития событий в целом. Поэтому, мне кажется, основное чего добиваются здесь наши коллеги из Центрального банка, это то, чтобы у некредитных организаций появился серьезный интерес, что ли, к этой теме. Это в первую очередь. Детали, ну вот видно, что диалог идет. Первая версия документа была ужасна для всех, просто все бы легли и 1 января следующего года просто уже бы не торговали. Но сейчас это уже как бы понятный, в принципе, разумный документ, как мне кажется. А вторая часть позитива, она про какие-то уже истории, связанные с имплементацией. Я просто хотел чуть-чуть поделиться нашим опытом. Когда пытались на технические требования инфраструктурного характера наложить какие-то продукты, технологии, которые в мире применяются, в общем, выяснилось, что довольно большую часть требований мы можем выполнить за счет встроенных средств применяемых нами системных решений, тех же самых фейрволов, операционных систем, ..?..визоров и т.д. И, в принципе, если этим озаботиться, ну имеется в виду такой эффективной экономией, то тут как бы есть, где сэкономить, и мы готовы в рабочем порядке делиться какими-то наработками в этой части с нашими клиентами. Поэтому, в принципе, не все так ужасно, как мне кажется, как с первого взгляда видится. По крайней мере, после двух лет этого процесса я уже в позитивнее нахожусь. Сергей Демидов: То есть ты рад, что торги остановятся не с 1 января 2020 года, а только с 2021-го? Владимир Курляндчик: Нет, ну я грущу, когда админы приходят к нам в очередной раз на борт компании и говорят: «Вот бюджет там, потом что ГОСТ там…» Ну, дальше в диалоге выясняется, что что-то можно сделать эффективнее. И то, что в принципе этот процесс идет, ну, я считаю, что это хорошо. Сергей Демидов: Ну, я не знаю, у меня тут двоякое ощущение, потому что я общаюсь с коллегами по цеху и пытаюсь как-то понять мнения, и, к сожалению, зачастую вижу, что не всегда люди на местах разделяют какое-то бережное отношение к этой теме. И многие используют… Почему я про этих пятерых человек вспомнил, потому что когда этот нормакт вышел, я видел прямо по рынку - люди бегали с ним к своему руководству, трясли и говорили: «Вот у меня двое, дай мне еще троих», - и показывали, и считали, и доказывали, что нужны пять. Я боюсь, что сейчас может произойти следующее. Мы чуть-чуть рынок средств информационной безопасности этим нормативным актом подогреем, и действительно рынок начнет, на нем начнут люди покупать. А если купить все средства даже, которые предписаны данным нормативным актом и сделать информационную безопасность, ну, на мой взгляд, это ни разу не обязательно поможет повышению уровня информационной безопасности. Проблема с кадрами зачастую… По-моему, сейчас все об этом говорят, начиная от Касперской и заканчивая программой «Цифровая экономика», которые говорят, что кадры информационной безопасности, во-первых, те, что есть, их мало, а, во-вторых, не всегда они в должной степени годны для решения задач. Получается, на этот рынок мы даем им знамена, тому небольшому числу, мы даем знамена, на котором они сейчас побегут покупать средства, но необязательно это усилит информационную безопасность. Поэтому твой оптимизм, что, наконец-то, вроде как в правильном направлении, да, направление правильное, правильная ли реализация, - не знаю. Владимир Курляндчик: Простой пример. Положение, о котором мы столько сегодня говорим, содержит пункт, что любой поднадзорный по этому положению обязан проинформировать своих клиентов о рисках, связанных с вирусами. Ну, там сформулировано чуть посложнее, но суть в этом. Это нормальное абсолютно требование, оно полезное. И если брокер будет доводить до всех клиентов на входе просто, что, «ребята, вот антивирусы поставьте фейрволы включите», то количество, как ты говоришь, криденшлс, которые, хоть ты и говоришь, что инцидентов немного в индустрии, их немного, но они есть. И количество пострадавших в этих инцидентах может стать меньше просто оттого, что всем будут про это говорить. Потому что жизнь же как устроена сейчас, прекрасно просто: воткнул компьютер, с него, я извиняюсь, и великие дейтрейдеры и на порносайт ходят, и акциями торгуют или, прости Господи, неликвидными фьючерсами. Ну, и как бы нормально все после этого, понимаешь. Владимир Дюков: Ну, у любого нормального брокера стоит ограничение, чтобы трейдеры этого не делали. Владимир Курляндчик: Управляющие компании это отдельная история. А вот брокеры, обслуживающие частных инвесторов, у них другая жизнь.У них там кто-то с той стороны баррикад, в смысле с той стороны сервера, и что он там делает у себя на компьютере дома, ну это тайна сия есть велика. Сергей Демидов: Просто тут вопрос еще, что на самом деле, вот я честно и откровенно считаю, когда анализирую такую штуку, я считаю откровенно, что это действительно такой некий шаг вперед. Повторюсь, что НФО действительно это, наверное, тот рынок, куда всякие злые хакеры могут перекинуться после кредитных организаций, когда поймут, что деньги там тоже есть. И, соответственно, это некий шаг вперед, потому что регуляция, она такая опережающая получилась. Но, с другой стороны, вот то, что ты говоришь, что это полезно, я вот сейчас реально участвую во многих технологических проектах и вижу, что технология еще быстрее пошла вперед. Сейчас везде рассказывают про кубера. Оказалось, что кубернейцы, безопасность в них. Из безопасников про это знают единицы, а айтишники уже вовсю внедряют, потому что это оказалось вот так вот. Ты там берешь все из публичных источников, ты развернул, у тебя готовая инфраструктура, ты кое-как сделал, ты запустил продукт. То есть тайм ту маркет благодаря вот этим технологиям докеризации, куберам и прочим, они сокращаются там ту маркет просто качественно, в разы. И все это начинают использовать. Вот эта регуляция чуть-чуть не про это, она уже отстала. Владимир Курляндчик: Ну, вот это не делает их безопасными. Ну, как бы есть же истории про великих из IT-индустрии - про Гугл, про Фейсбук, и все нормально, у людей тоже все плохо как бы: утекает, в Конгресс вызывают, и вообще все не слава богу, хотя они на острие атаки. Поэтому то, что… Ну, я как бы не хотел бы тут быть врагом профсообщества, честно скажу, но в принципе серьезное здравое звено во всей этой истории есть. А отдельно меня радует то, что в обсуждении этой темы Центральный банк проявил понимание ситуации, я бы так сказал. Это одна из немногих историй за последнее время, где это прямо сильно было проявлено. Понимание ситуации было проявлено очень сильно. Поэтому есть надежда на диалог. Андрей Выборнов: - Мы же были зажаты сроками, с одной стороны, поэтому мы как бы вынуждены были успеть… Владимир Курляндчик: Самое время сказать, что мы делаем общее дело все дружно. Такая вот у нас…Андрей Выборонов: Если бы было больше времени, мы бы, конечно… Михаил Шабанов: Хорошо, большое спасибо за комментарии. Коллеги, ну вот сейчас подошло время задавать вопросы из зала. Если есть желающие, пожалуйста. Вопрос (Ж): - Вы знаете, при первом рассмотрении вот этого замечательного нормакта обратили внимание на пункт 5.3, где указан перечень организаций, которые обязаны соблюдать ГОСТ. И вот управляющие компании среди них не поименованы. То есть там есть управляющие - это именно по ценным бумагам, есть брокеры, НПФы и т.д. Но управляющей компании, УК ПИФ НПФ, ее нет. Мы хотели уточнить, все-таки на нас это распространяется или нет? Андрей Выборнов: Я поясню по этой теме. Я так косвенно сказал, что решение было о том, что только на крупные организации, и это решение принималось профильным департаментом. В профильном департаменте, который регулирует вашу деятельность, собственно, они решили, что вот на эту категорию организаций пока распространение нецелесообразно. Ж.: А если управляющая компания крупная? То есть все равно нет? Владимир Дюков: Там слово «управляющая», но не сказано «компания». Михаил Шабанов: Владимир, включите микрофон, не все слышат. Владимир Курляндчик: - Ну, вот прямо есть «управляющая»? Владимир Дюков: Да, последний абзац. Андрей Выборнов: То есть, Смотрите, в законе прописано, что Банк России регулирует деятельность тех организаций, которые поименованы в 86-ФЗ, там перечень есть в законе. Там перечень есть, да? Ж: Нет, вот здесь как раз имеются управляющие, которые осуществляют деятельность по управлению ценными бумагами. Это лицензия профика. А нас интересует именно лицензия УК ПИФ, это немножко другое. То есть здесь четко именно профдеятельность указана: управляющая компания по профдеятельности. Андрей Выборнов: Можно я мысль закончу? Значит, правовым основанием этого нормативного акта является требование закона, норма закона, в которой прописано, что Банк России устанавливает требования к защите информации для организаций, которые ведут деятельность и которые перечислены в 86-м Федеральном законе, эти виды деятельности, по согласованию со ФСТЭКом и ФСБ. Значит, изначально ..?.. на все эти группы организаций, которые в законе перечислены. Потом было принято в какой-то момент времени решение, что только на крупные и на отдельные категории организаций. Соответственно, эта часть, она как бы отпала до лучших времен. Решили сосредоточиться на крупных. Вот, собственно, вот эта дельта между тем, что есть в законе, и тем, что есть в акте, вот она вызвана этим. Сергей Демидов: Я так понял, что это вопрос, что целый пласт организаций просто не попал: управляющие ПИФом… Сергей Демидов: - Да, и достаточно серьезный пласт, если речь идет именно об этом.Андрей Выборнов: Я сейчас в моменте не готов, давайте тогда… Сергей Демидов: Я просто не знаю, хорошо это или плохо, потому что получается, что на вас действует… Посмотрите, там есть интересный, стык со 187-ФЗ. И когда была встреча во ФСТЭк, ФСТЭК говорит о том, что наши приказы 235 и 239, которые относятся к значимым, которые описывают необходимые меры обеспечения информационной безопасности для значимых организаций и критической информационной инфраструктуре, можно не соблюдать, если вы соблюдаете иное профильное законодательство. И в качестве примеров они приводили требование Банка России либо 152-ФЗ. То есть вот для этих систем можно типа не соблюдать наши приказы. Соответственно, если вдруг на вас ГОСТ как бы получается или вот этот нормакт не действует, то получается, на вас и эта оговорка не действует. Получается, если вдруг вы действительно попадаете в критерий 3 млн транзакций (опять же, вопрос, что рассматривать транзакциями), то вам тогда придется соблюдать ФСТЭКовские регуляции. Я не знаю, что тут лучше. С Банком России диалог всегда попроще, потому что туда можно по крайней мере позвонить, дойти, поговорить. Со ФСТЭКом это более сложный процесс. Андрей Выборнов: В моменте не готов ответить. Давайте, я контакт оставлю тогда. Вопрос: Спасибо большое. Михаил Шабанов: Пожалуйста, еще вопросы. Вопрос: - Добрый день. У меня такой глобальный вопрос, в принципе. Для кого пишутся вот эти нормативные акты, вот эти документы? Потому что я как исполнитель, как представитель информационной безопасности, получая этот документ… Михаил Шабанов: Представьтесь, пожалуйста, какую компанию вы представляете? Вопрос: Брокерскую компанию. Михаил Шабанов: Уклончивый ответ. Вопрос: Я с этим документом иду к юристу, мы начинаем разбираться, соответственно, в этой терминологии, понимая, что нам надо и то, и то, и все, и через десять дней уже что-то должны внедрить. При этом дальше до генерального директора доносится информация, что надо такие-то средства потратить. Генеральный директор обращается к юристу: «А как мы можем витиевато обойти вот эти формулировки?» У меня, в принципе, вопрос к этим документам… Вот как Владимир уже говорил, с Сергеем когда общались, что основная проблема-то в кадрах, в обучении той же информационной безопасности. Поэтому то, что предписывается в регламентах, оно, ну, грубо говоря, компания должна иметь фейрвол. Если компания не занялись этим, то есть не было у нее фейрвола, и они пойдут, приобретут его и поставят, у них будут все и клиенты, и… Михаил Шабанов: Понятно. А суть вопроса? Давайте перейдем к вопросу непосредственно. Вопрос: Скорее, не вопрос, а предложение. Может, стоит сосредоточиться больше на best practice какой-то информационной безопасности: что лидеры рынка внедряют, как они это внедряют? А не общими формулировками, что надо. Ну, надо фейрвол, пойдут, купят, поставят и оставят там пароль админ-админ, всех в общей сети. Сергей Демидов: - А мне кажется, что был ответ на этот вопрос. Ответ был в том, что гаверненз, то есть управление информационной безопасностью - это одна из тех задач, которые себе, собственно говоря, регулятор ставит. Я просто почему встрял, потому что, мне кажется, вот у нас тоже есть best practice, но столько, сколько мы инвестируем в информационную безопасность, наверное, мало кто инвестирует, ну просто из-за того, что для других это не такой большой риск, не такая большая часть бизнеса, которую они обеспечивают. Поэтому о'кей, мы можем дать свои best practice, рассказать, как мы там на биг-дата с помощью машин-ленинг, это не пустые сейчас слова, это действительно штуки, про которые мы можем рассказывать, вылавливаем аномалии в сети и ищем злых хакеров, но вряд ли вам захочется за эти деньги это внедрить. Поэтому с точки зрения гаверненз как раз, вот я здесь вижу большое благо, что мелкие организации наконец-то об этом задумываются, и там появится человек, хотя бы приходящий, который информационной безопасностью наконец-то начнет заниматься и наконец-то там появится хоть какая-то базовая экспертиза, и люди там придут, поставят какие-то базовые вще - фейрвольчики какие-то хотя бы, дешевенькие пусть для начала. Может быть, со временем, после первой, второй, третьей проверки Банка России наконец-то они там придут и что-то нормальное сделают, но хотя бы этот лед тронется. Вот сейчас, честно скажу, наше ощущение, что действительно лед пока не трогается никак. То есть это такой инейблер - такое английское слово есть. То есть люди начнут задумываться. Вопрос: - В этом плане-то я согласен. Вопрос только - начнут ли задумываться? Потому что опять же, получив этот документ, будут его трактовать так, чтобы обойти это и не исполнять. Михаил Шабанов: Коллеги, хорошо, я понял. Спасибо. Еще вопросы? Пожалуйста. Вопрос: Андрей Киселев, НРК «Рост». Я документ тоже прочел, у меня вопрос по срокам, он поднимался… Но вот хочу пункт 5.1, например, что организация должна определить свой уровень, ну первый рабочий день за предыдущие три квартала. Например, у нас уровень изменился с минимального на средний, а сроков, что мы должны привести в соответствие на уровень, по-моему, я не нашел. Вот сколько нам дается срок? Андрей Выборнов: Там есть… Посмотрите, по крайней мере, должно быть о том, что при изменении уровня там какой-то период времени дается на приведение в соответствие. Вопрос: Значит, не дочитал. Спасибо. Михаил Шабанов: Хорошо, коллеги. Итак, мы завершаем нашу сессию. Будет какое-то заключительно слово, подведение итогов? Андрей Выборнов: Ну, как сказать. Я, наверное, начну с того, что уже говорил. Все-таки мы выступаем за… Для чего мы регулируем информационную безопасность, для чего мы все это делаем? То есть нас волнуют следующие вопросы: операционная надежность, это финансовая стабильность нашего рынка и это защита прав потребителей финансовых услуг. Чтобы клиенты не страдали, чтобы организации из-за проблем информационной безопасности финансовые не страдали, не разорялись, и чтобы наш рынок предоставлял финансовые услуги в те сроки, в которые он должен предоставить. Вот ради этого, собственно говоря, мы всем этим занимаемся. Ну, безусловно, это требует регулирования, выполнения каких-то вещей. Будем как-то в этом направлении совместно двигаться. И второй момент, о котором еще хотелось бы сказать. Безусловно, мы сильно заинтересованы во вовлеченности и в совместной работе нас как департамента информационной безопасности и таких ассоциаций, как ваша, чтобы мы понимали друг друга и говорили на одном языке. Михаил Шабанов: Хорошо. Большое спасибо. Коллеги, я хочу от нас всех поблагодарить приглашенных участников, наших спикеров за те, я считаю, достаточно детальные обсуждения темы и острых вопросов. Я надеюсь, все почувствовали ту важность и значимость информационной безопасности, которая сейчас становится достаточно актуальной проблемой для брокерских компаний. Понятно, что это только начало и первый этап и, как правильно было здесь отмечено, что это сейчас в большей степени касается крупных компаний, инфраструктурных компаний, которые попадают под либо обеспечение стандартного уровня безопасности, либо среднего. Но я надеюсь, что в процессе этой работы уже на этапе непосредственной реализации требований федерального закона нам удастся организовать хорошее рабочее взаимодействие и с Центральным банком, и с соответствующими надзорными органами, обеспечивающее выполнение требований нашего федерального законодательства и подзаконных актов в области обеспечения информационной безопасности нефинансовых кредитных организаций. Еще раз я выражаю всем благодарность за участие в нашей сессии, и всем хорошего вечера, и до новых встреч. Дата публ./изм.
20.08.2019 |
