Новые требования ЦБ к безопасности дорого обойдутся страховщикам и МФО
В 2027 году некредитным финансовым организациям, согласно новым требованиям Банка России, придется соблюдать повышенные требования к кибербезопасности. По словам участников рынка, в значительной степени это может отразиться на страховых компаниях, а также микрофинансовых организациях. Причем затраты на соответствие новым требованиям регулятора, по оценке экспертов, могут исчисляться десятками миллионов рублей.
Выйти из полноэкранного режима Развернуть на весь экран Фото: Евгений Павленко, Коммерсантъ Фото: Евгений Павленко, Коммерсантъ Банк России ужесточил требования к обеспечению информационной безопасности в некредитных финансовых организациях (НФО). Это следует из опубликованных 17 февраля изменений в положение регулятора «Об установлении обязательных требований… по защите информации… в целях противодействия осуществлению незаконных финансовых операций» (№775-П от 20 апреля 2021 года). ЦБ особо отмечает, что НФО (в число которых входят МФО, страховые компании, НПФ и другие участники рынка) обязаны не реже одного раза в три года «привлекать сторонних специалистов, чтобы те проверяли уровень защиты информации организации». Также компании должны оценивать свое программное обеспечение и приложения, в том числе предоставляемые клиентам, с точки зрения соответствия требованиям безопасности. Эксперты отмечают, что новые правила окажутся наиболее чувствительными прежде всего для участников страхового рынка. По словам руководителя департамента аудита, консалтинга и оценки соответствия компании «Кросс технолоджис» Катерины Сашенко, основные изменения коснулись страховых организаций, реализующих в данный момент минимальный уровень защиты информации, для которых повышаются требования до обеспечения стандартного уровня защиты информации, что может повлечь существенные расходы. В частности, страховщикам придется потратиться на модернизацию имеющихся систем защиты информации — например, внедрение средств многофакторной аутентификации, дополнительных средств межсетевого экранирования и обнаружения вторжений, выявления уязвимостей и т. п. Расходы, по мнению эксперта, потребуются и на сертификацию процессов безопасной разработки ПО или на оценку ПО — для организаций с собственной разработкой, а также на получение усиленной неквалифицированной электронной подписи в аккредитованных удостоверяющих центрах. По оценке «Кросс технолоджис», затраты могут варьироваться от 1,5–2 млн руб. при минимальных работах до 90–100 млн руб. при максимальных, в отдельных случаях стоимость может быть еще выше. Другим рынком, на котором может значимо отразиться введение новых правил, станет микрофинансовый. Его участники считают, что новые требования Банка России не окажут существенного влияния только на его лидеров, которые уже достигли необходимого уровня зрелости бизнес-процессов и довольно давно начали готовиться к вступлению в силу новых нормативов. Впрочем, как отмечают в СРО «МиР», пока единицы даже из крупнейших МФО реализовали данные требования к настоящему времени. Основная же часть МФО только сейчас приступает к оценке требуемых ресурсов. «Реализация последних требований одновременно со вступлением в силу ранее озвученных по информационной безопасности (аттестация для подключения к СМЭВ, переход на СМЭВ для работы с ЕСИА, проведение оценки влияния на СКЗИ для работы с ЕСИА, интеграция с ЕБС) требует колоссальных вложений»,— уверены в СРО «МиР». Для большинства МФО реализация мер, предусмотренных новой редакцией указания, в отведенные сроки может оказаться непосильной задачей, отмечают эксперты. «Это произойдет прежде всего в силу отсутствия четкой методологии, отсутствия формализации бизнес-процессов на требуемом регулятором уровне, дефицита компетенций в условиях кадрового голода в сфере информационной безопасности»,— перечисляет директор направления информационной безопасности МФК «МигКредит» Антон Воробьев. По его мнению, наибольшие затруднения могут возникнуть по направлениям контроля доступа, управления уязвимостями программных и аппаратных средств, а также систем, непосредственно связанных со сбором и регистрацией событий информационной безопасности и информирования о них регулятора. Затраты на приведение бизнес-процессов МФО в соответствие новым требованиям, по оценке господина Воробьева, могут составить несколько десятков миллионов рублей до конца года. Источник: http://www.kommersant.ru/doc/8441720
