В 2019 году Банк России выпустил Положение № 684-П, устанавливающее обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков. Указанное Положение, в частности, основывается на требованиях пункта 6.9 ГОСТ Р 57580.2-2018 и в этой части вступает в силу с 1 января 2022 года.
Таким образом, к январю 2022 года некредитные финансовые организации должны привести в соответствие с этим Положением и требованиями ГОСТ свои процессы и организационно-распорядительные документы.
Проблемой для некредитных финансовых организаций может стать необходимость выполнения требований пп. «г» и «д» п. 6.9 ГОСТ:
г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;
д) четвёртый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объёме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ.
Указанные требования аналогичны требованиям, предъявляемым к банкам, однако некредитные финансовые организации в большинстве случаев значительно меньше банков, и выполнение данных требований может вызвать ряд проблем.
Так, из наиболее распространённых сложностей можно выделить недостаток квалифицированных специалистов в области информационной безопасности, недостаточное финансирование и невозможность заложить в бюджет средства на закупку требуемого оборудования и средств защиты информации, кроме того, сами средства защиты информации в большей степени рассчитаны на крупные организации, а не на небольшие компании, и не тестировались на таких площадках.
Таким образом, исполнить требования 684-п в срок могут себе позволить только крупные игроки, в той или иной степени уже их соблюдающие.
Между тем проверки со стороны регуляторов небольших организаций могут привести к масштабному применению штрафных санкций и дестабилизации рынка НКФО.
В качестве решения данной проблемы разумно применить следующий подход:
Разумеется, быстрее и эффективнее с точки зрения приближающейся проверки ЦБ РФ исполнить требования, связанные с разработкой организационно-распорядительных документов, так как это проще и дешевле, чем закупить оборудование и СЗИ и подобрать необходимых специалистов.
Представляется целесообразным разработать или актуализировать следующие документы (перечень примерный):
Отдельное внимание следует уделить вопросу профессионального образования и повышению квалификации. В настоящее время ситуация такова, что специалистов по информационной безопасности, работающих с некредитными финансовыми организациями, довольно мало, чаще всего специалисты не знают специфику НКФО.
При этом на различных форумах и конференциях, где специалисты могут обменяться опытом, секции по безопасности в НКФО практически отсутствуют, что является упущением со стороны организаторов таких мероприятий.
Разумно предположить, что повышение внимания к проблемам НКФО является необходимым и, несмотря на возникающие в связи с возросшими требованиями регуляторов проблемы, может дать толчок к развитию нового актуального направления в сфере информационной безопасности.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных