Письмо НАУФОР в Банк России о защите информации
Первому заместителю
Директора департамента
по информационной безопасности
Банка России
Сычеву А.М.
Уважаемый Артем Михайлович!
В связи с опубликованием проекта нового Положения «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее - проект) направляем предложения Национальной ассоциации участников фондового рынка к указанному проекту.
1. Считаем необходимым уточнить требования о сертификации и оценке соответствия программного обеспечения некредитных финансовых организаций.
Первый абзац пункта 1.9 проекта предусматривает возможность проведения оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013, в качестве альтернативы для сертификации указанного программного обеспечения в системе ФСТЭК. При этом абзацы пятый и шестой указанного пункта устанавливают обязанность некредитных финансовых организаций обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 4 (5) уровня доверия в соответствии с приказом ФСТЭК от 2 июня 2020 года № 76, не предусматривая никаких альтернативных возможностей.
В целях устранения указанного внутреннего противоречия предлагаем исключить из пункта 1.9 абзацы пятый и шестой, устанавливающие требование об обязательной сертификации прикладного программного обеспечения, поскольку приказ ФСТЭК от 2 июня 2020 года № 76 устанавливает требования только к программным и программно-техническим средствам технической защиты информации, а также средствам обеспечения безопасности информационных технологий, включая защищенные средства обработки информации, и его применения к иным программным средствам, которые и составляют большую часть прикладного программного обеспечения, не представляется возможным.
2. Считаем необходимым повысить минимальные значения показателей для отнесения профессиональных участников рынка ценных бумаг к числу финансовых организаций, применяющих стандартный уровень защиты.
Пункт 1.5.3 пункта 1.5 проекта относит к числу лиц, применяющих стандартный уровень защиты брокеров, дилеров, управляющих, депозитариев и регистраторов, определивших хотя бы по одному из показателей своей деятельности, в качестве годового диапазона квартальный диапазон, указанный в графе 5 приложения к Положению Банка России от 27.07.2015 № 481-П. При этом для целей установления требований к обеспечению защиты информации, предусмотренные указанным Положением диапазоны не являются оптимальными, вследствие чего значительное количество профессиональных участников рынка ценных бумаг могут попасть в категорию лиц, применяющих стандартный уровень защиты, что повлечет для них дополнительные финансовые и операционные затраты. Полагаем, что повышенные требования (стандартный уровень защиты) должны применяться к действительно крупным финансовым организациям, имеющим широкую клиентскую базу и значительную долю в обороте финансовых инструментов, что в полной мере соответствовало бы риск-ориентированному подходу в регулировании и надзоре за финансовым рынком.
В связи с вышеизложенным, просим рассмотреть возможность внесения следующих изменений в подпункт 1.5.3 пункта 1.5 проекта предусмотрев для отнесения некредитных финансовых организаций к числу лиц, применяющих стандартный уровень защиты следующие критерии:
а) для брокеров - объем сделок более 200 млрд. руб в квартал, а количество клиентов более 200 тыс. лиц,
б) для дилеров - объем сделок более 500 млрд. руб в квартал,
в) для депозитариев - стоимость учитываемых ценных бумаг более 5000 млрд. руб,
г) для управляющих - объем сделок более 200 млрд руб в квартал, а количество клиентов на обслуживании более 200 тыс. лиц.
3. Принимая во внимание необходимость проведения некредитными финансовыми организациями масштабных работ по внедрению требований к защите информационной безопасности, просим увеличить сроки вступления в силу проекта Положения, либо предусмотреть переходные положения, в соответствии с которыми установленные требования начинают применяться к программному обеспечению, уже используемому некредитной финансовой организацией на момент вступления в силу нового Положения, по истечении 3 лет с даты утверждения Положения Банком России.
С уважением,
Президент
А.В. Тимофеев
Письмо в pdf
07.12.2020