Банк Рос­сии по­тре­бо­вал от не­кре­ди­т­ных фи­нан­со­вых ор­га­ни­за­ций про­ве­сти са­мо­о­цен­ку уро­в­ня ки­бер­за­щи­щен­но­сти на пред­мет ее со­о­т­вет­ствия ГОСТу. По­лу­чив­шие пись­ма ЦБ участ­ни­ки ры­н­ка, вклю­чая кру­п­ней­ших иг­ро­ков на­зы­ва­ют за­да­чу весь­ма не­про­стой: со­о­т­вет­ству­ю­щие тре­бо­ва­ния в до­ку­мен­те не при­во­дят­ся, стан­дар­тов ко­м­па­нии не зна­ют. При этом сро­ки по­став­ле­ны очень же­ст­кие — от­чи­тать­ся на­до до кон­ца но­яб­ря.

Как рас­ска­за­ли “Ъ” про­фу­част­ни­ки фон­до­во­го ры­н­ка (бро­ке­ры и управ­ля­ю­щие ко­м­па­нии), в кон­це про­ш­лой не­де­ли они по­лу­чил от ЦБ пись­мо с тре­бо­ва­ни­ем про­ве­сти са­мо­о­цен­ку со­о­т­вет­ствия тре­бо­ва­ни­ям к обес­пе­че­нию за­щи­ты ин­фор­ма­ции в со­о­т­вет­ствии с ГОСТом. Как сле­ду­ет из пись­ма (с ним озна­ко­ми­л­ся “Ъ”), ре­зуль­та­ты оцен­ки не­об­хо­ди­мо на­пра­вить в ЦБ до кон­ца но­яб­ря. Ра­нее ана­ло­ги­ч­ные пись­ма по­лу­чи­ли НПФ и стра­хо­вые ко­м­па­нии, от­чи­тать­ся о ре­зуль­та­тах они та­к­же дол­ж­ны в но­яб­ре.

В ЦБ 17 сен­тяб­ря на за­прос “Ъ” не от­ве­ти­ли. На про­ш­лой не­де­ле пе­р­вый за­ме­сти­тель гла­вы де­пар­та­мен­та ин­фор­ма­ци­он­ной без­о­пас­но­сти ЦБ Ар­тем Сы­чев по­яс­нял “Ъ”, что про­це­ду­ра ну­ж­на для пред­ва­ри­тель­ной оцен­ки уро­в­ня за­щи­щен­но­сти ры­н­ка. Это пред­ва­ря­ет при­сво­е­ние риск-­про­фи­ля всем участ­ни­кам ры­н­ка. О пе­ре­хо­де на риск-о­ри­ен­ти­ро­ван­ный под­ход в оцен­ке уро­в­ня ки­бер­за­щи­щен­но­сти и при­сво­е­нии всем участ­ни­кам ры­н­ка риск-­про­фи­ля го­во­ри­т­ся в ос­но­в­ных на­прав­ле­ни­ях раз­ви­тия ин­фор­ма­ци­он­ной без­о­пас­но­сти (см. “Ъ” от 17 сен­тяб­ря). Гос­по­дин Сы­чев от­ме­тил, что «в­се, кто по­па­да­ет под зо­ну ре­гу­ли­ро­ва­ния, прой­дут са­мо­о­цен­ку». Он под­чер­к­нул, что ЦБ идет «от боль­шо­го к ма­ло­му, от си­сте­м­но зна­чи­мых и со­ци­аль­но зна­чи­мых до осталь­ных». По его сло­вам, до ми­к­ро­фи­нан­со­во­го ры­н­ка (МФО, ло­м­бар­ды, КПК) оче­редь дой­дет поз­же.

Как по­ка­зал опрос “Ъ”, тре­бо­ва­ние о про­ве­де­нии са­мо­о­цен­ки для мно­гих ко­м­па­ний ста­ло не­о­жи­дан­но­стью.

Д­ля не­кре­ди­т­ных фи­нан­со­вых ор­га­ни­за­ций не­об­хо­ди­мость оцен­ки на со­о­т­вет­ствие ГОСТу вво­ди­т­ся по­ло­же­ни­ем 684-П лишь с 2021 го­да, тре­бо­ва­ния о са­мо­о­цен­ке в до­ку­мен­те нет.

В ито­ге с ГОСТом боль­шин­ство участ­ни­ков ры­н­ка ед­ва успе­ли озна­ко­мить­ся. «Са­мо­о­цен­ку про­ве­сти не­с­ло­ж­но, но для это­го ну­ж­на ме­то­ди­ка, то есть фор­мат ша­б­ло­на про­ве­де­ния этой оцен­ки, и на ее ос­но­ве уже мо­ж­но фор­ми­ро­вать риск-­про­фи­ли. Та­кой ме­то­ди­ки мы по­ка не ви­де­ли»,— от­ме­ча­ет ди­рек­тор по ин­фор­ма­ци­он­ным тех­но­ло­ги­ям Рос­сий­ско­го со­ю­за ав­то­стра­хо­в­щи­ков Алек­сей Са­мо­шин. По сло­вам ру­ко­во­ди­те­ля ра­бо­чей груп­пы НП «На­ци­о­наль­ный пла­те­ж­ный со­вет» Алек­сан­д­ра Ви­но­гра­до­ва, ко­м­па­ни­ям при­дет­ся в ав­раль­ном ре­жи­ме изу­чить сам при­н­цип ее про­ве­де­ния. Не­об­хо­ди­мо оце­нить, ка­кие из ис­поль­зу­е­мых си­стем уже со­о­т­вет­ству­ют тре­бо­ва­ни­ям и ка­кие на­до при­ве­сти в со­о­т­вет­ствие с ни­ми. «За два ме­ся­ца с ну­ля с не­з­на­ни­ем ГОСТа, что очень сло­ж­но»,— счи­та­ет он.

Да­же кру­п­ней­шие иг­ро­ки — НПФ с име­ю­щи­ми­ся в шта­те спе­ци­а­ли­ста­ми по ин­фор­ма­ци­он­ной без­о­пас­но­сти — от­ме­ча­ют, что для них это «до­воль­но объ­е­м­ная ра­бо­та». Со­бе­сед­ник “Ъ” в кру­п­ной стра­хо­вой ко­м­па­нии ука­зал, что у ве­ду­щих иг­ро­ков хо­тя и есть спе­ци­а­ли­сты по ин­фор­ма­ци­он­ной без­о­пас­но­сти, но нет экс­пе­р­тов по ГОСТу и в усло­ви­ях де­фи­ци­та ка­д­ров най­ти их про­б­ле­ма­ти­ч­но. Впро­чем, по сло­вам пред­се­да­те­ля ко­ми­те­та по эко­но­ми­че­ской и ин­фор­ма­ци­он­ной без­о­пас­но­сти НАУФОР Ми­ха­и­ла Ша­ба­но­ва, «с точ­ки зре­ния на­д­зо­ра не бу­дет на­ру­ше­ний, в слу­чае ес­ли пред­ва­ри­тель­ная са­мо­о­цен­ка бу­дет про­ве­де­на не­кор­рек­т­но».

Си­ту­а­ция на ры­н­ке ми­к­ро­кре­ди­то­ва­ния, участ­ни­ки ко­то­ро­го та­к­же по­лу­чат пись­ма от ЦБ, еще ху­же. «С за­да­чей са­мо­о­цен­ки мо­гут спра­вить­ся от­дель­ные иг­ро­ки ры­н­ка, не ду­маю, что да­же де­сят­ка са­мых кру­п­ных ло­м­бар­дов с этим спра­ви­т­ся»,— го­во­рит пред­се­да­тель Ас­со­ци­а­ции раз­ви­тия ло­м­бар­дов Сер­гей Со­ко­в­ни­ков. «У КПК край­не ма­ло ка­д­ров, спо­соб­ных в при­н­ци­пе про­ве­сти са­мо­о­цен­ку уро­в­ня ин­фор­ма­ци­он­ной без­о­пас­но­сти»,— от­ме­ча­ет пред­се­да­тель со­ве­та НОКК (КПК) Алек­сандр Но­ров.

По сло­вам биз­нес-кон­суль­тан­та по без­о­пас­но­сти Cisco Systems Алек­сея Лу­ка­ц­ко­го, ес­ли ЦБ хо­чет по­лу­чить от участ­ни­ков ры­н­ка не от­пис­ки, то на­до ре­а­ли­зо­вать це­лый ко­м­плекс мер. «Не­об­хо­ди­мо про­ве­сти обу­че­ние, под­го­то­вить для не­боль­ших иг­ро­ков упро­щен­ную вер­сию опрос­ни­ка,— го­во­рит он.— Кро­ме то­го, не­боль­шим ко­м­па­ни­ям ну­жен не пред­ло­жен­ный ГОСТом сво­бод­ный вы­бор за­щи­т­ных мер, а кон­крет­ный пе­ре­чень, что им не­об­хо­ди­мо иметь для обес­пе­че­ния не­об­хо­ди­мо­го уро­в­ня за­щи­щен­но­сти». То есть, по его сло­вам, на­до раз­де­лять тре­бо­ва­ния к кру­п­ным участ­ни­кам ры­н­ка и к осталь­ным.