Брокерам и НПФ предъявят дополнительные требования к информационной безопасности

С 1 января следующего года к некоторым участникам финансового рынка могут быть предъявлены повышенные требования по части информационной безопасности. По оценкам Центробанка, инвестировать дополнительные деньги в кибербезопасность придется 184 компаниям, передает «Коммерсант».

Банк России относит к структурам, на которые будут распространяться повышенные требования, практически все некредитные финансовые организации: страховые компании, брокеры, негосударственные пенсионные фонды и другие. Если в этот перечень попадут регистраторы, количество компаний вырастет до 200.

Сколько участникам рынка придется потратить на соответствие требованиям, точно неизвестно. По разным оценкам, сумма может составить от 8 до 70 млн рублей на компанию. Помимо этого, организациям придется нести дополнительные ежегодные расходы. Это существенная для небольших игроков сумма, которая может стать для некоторых компаний причиной сдачи лицензии.

Одним из самых затратных требований станет пункт, согласно которому компании обязаны сертифицировать определенное ПО в Федеральной службе по техническому и экспортному контролю или проводить анализ уязвимостей по требованиям к оценочному уровню доверия не ниже четвертого. Второй вариант дешевле, но даже он будет стоить несколько миллионов рублей за один объект ПО.

Регулятором определены три уровня защиты информации: минимальный, стандартный, усиленный. Повышенные требования предъявляются к компаниям, соответствующим последним двум уровням. Критерии отнесения компании к тому или иному уровню безопасности установлены положением Банка России 684-П и ГОСТом 57580.

Осенние утечки

Взломы и утечки данных действительно являются основной угрозой для финансовых организаций и их клиентов. Этой осенью произошло несколько крупных утечек персональной информации клиентов российских банков. Виновником одной из них оказался сотрудник коллекторского агентства, с которым работал Сбербанк.

Читайте также: Что не так с защитой персональных данных

Между тем специалисты по кибербезопасности неоднократно отмечали, что вектор преступного проникновения сместился в сторону социальной инженерии. Банковские структуры слишком хорошо защищены, поэтому злоумышленники атакую самое слабое звено системы безопасности — человека. Выполнение требований регулятора вовсе не гарантирует безопасность.

Стоит отметить, что хакерам удается «пробить» защиту даже регулируемых участников рынка. Достаточно вспомнить недавний взлом южнокорейской биржи Upbit. Биржа в свое время вошла в список тех немногих площадок, которые выдержали правительственную проверку, однако хакеры все равно похитили с нее более $51 млн.

← Назад Поделиться: