Участники фондового рынка обеспокоены новыми требованиями по информационной безопасности, приближенными к банковским, которые будут применены к ним уже с 1 января 2020 года. В частности, от них потребуется сертификация программного обеспечения у сторонних организаций. По разным оценкам, новые требования обойдутся участникам от 8 млн до 70 млн руб. на компанию, что для небольших игроков может стать причиной для сдачи лицензий.
Как сообщил “Ъ” источник на фондовом рынке, по оценке Банка России, к 184 некредитным финансовым организациям (НФО; управляющие и страховые компании, брокеры, негосударственные пенсионные фонды) могут применяться повышенные требования по информационной безопасности. Количество компаний может вырасти до 200, поскольку на сегодняшний день в этот список не попали регистраторы. По оценке одного из собеседников “Ъ”, соответствие новым требованиям потребует 10–30 млн руб. разовых инвестиций в средних по размеру компаниях. По оценке другого источника, 8–10 млн руб. Председатель комитета по экономической и информационной безопасности НАУФОР Михаил Шабанов считает, что суммарно по всем требованиям затраты могут составить от 70 млн руб. в год и более разово, дополнительно потребуются увеличение штата и около 20 млн руб. в год на поддержку.
Новые требования по информационной безопасности записаны в положении Банка России 684-П, а также ГОСТом 57580. Этими документами установлены три уровня защиты информации: минимальный, стандартный и усиленный; к компаниям последних двух уровней применяются повышенные требования. Документ устанавливает критерии отнесения компаний к повышенному уровню защиты информации, по которым ЦБ и отобрал 184 участника рынка. ЦБ не ответил на запрос “Ъ”.
Самым затратным для компаний требованием станет обязательная для ряда программного обеспечения сертификация Федеральной службы по техническому и экспортному контролю (ФСТЭК) или анализ уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже четвертого. Член правления ГК «Финам» Владислав Пархомов считает, что требуется сертификация всего программного обеспечения, которое обрабатывает финансовые трансакции не только на клиентском компьютере или телефоне, но и на серверах компании. «Это серьезная задача для брокеров, особенно тех, кто использует самописное ПО»,— говорит он. По его словам, в группе «Финам» под стандартный уровень защиты информации подпадают брокерская и управляющая компании.
Согласно положению ЦБ, пункт о необходимости сертификации или оценки программного обеспечения вступает в силу с 1 января 2020 года.
Полина Смородская
SIA.RU: Главное
