Интервью >>

Сергей Демидов, Московская биржа, №3/2025

На главную

№3 2025

Читать интервью в PDF

Интервью

Как найти точку равновесия между обеспечением информационной безопасности и эффективным функционированием компании

О нюансах функционирования группы компаний, являющейся объектом критической инфраструктуры, и о том, что реально может оказаться причинами «утечек» и как с этим бороться, рассказывает директор по информационной безопасности Московской биржи Сергей Демидов в беседе с председателем комитета НАУФОР по информационной безопасности Михаилом Шабановым.

- Сергей, какие новые тренды в области обеспечения информационной безопасности для некредитных финансовых организаций (НФО) сейчас, в 2025 году, стали актуальными? Недавно в сети появилась информация о штрафе одного из банков в размере 200 тысяч рублей за пересылку персональных данных через WhatsApp. Жесткие ограничения на возможность использования иностранных мессенджеров для пересылки информации о клиентах Роскомнадзор ввел пару лет назад, но до 2025 года каких-то штрафных санкций никто не получал. Как вы относитесь к этому, и каким образом у вас используются мессенджеры в общении с клиентами?

- Основным трендом последних лет является усиление регулирования, в том числе для некредитных финансовых организаций. С одной стороны - понятная история, зачастую мошенники перемещаются от кредитных организаций в сторону тех организаций, которые менее защищены. С другой стороны не всегда те же самые виды фрода, мошенничества одинаковы для банков и для не-банков. Регулятор пытается реагировать проактивно, действительно смотрит в сторону усиления регулирования, введения новых требований, новых видов наказания, в том числе, за разного рода нарушения. Когда я говорю «регулятор», имею в виду не только Банк России, но и Роскомнадзор. Недавно были введены оборотные штрафы за неверную обработку персональных данных, и можно говорить уже о том, что сейчас начнутся первые прецеденты по взысканию.

Запрет на использование различного рода мессенджеров существует уже достаточно давно. Это - один из элементов борьбы государства с мошенниками, которые выходят на связь с гражданами через мессенджеры, и государство пытается показать населению, что добросовестные организации никогда в мессенджере с вами контактировать не будут. Такие штрафы носят в том числе показательный характер. Организация не права, если в рамках своих процессов допускала пересылку конфиденциальной информации через незащищенные мессенджеры.

Московская биржа использует мессенджер для внутреннего общения, потому что как способ связи, он, безусловно, достаточно быстро позволяет проинформировать наших сотрудников. Но мы используем наш собственный мессенджер от одного из российских вендоров и достаточно распространенный на финансовом рынке. Мы используем его в режиме нахождения данных у нас, что позволяет за периметр компании эти данные не выпускать.

Но при этом мы не общаемся через этот мессенджер с клиентами, это в основном внутренние коммуникации. Клиенты же получают информацию только через официальные источники, и мессенджеры в них не входят именно потому, чтобы не пересылать конфиденциальную информацию через недостоверные каналы связи.

- Сталкивались ли вы с утечками данных по вине сотрудников? Есть ли такая статистика утечек в 2024 - начале 2025 года?

- Мы очень серьезно относимся к контролю утечек, и именно благодаря серьезности нашего подхода подобного рода инцидентов у нас практически не было. Почему я говорю «практически», потому что имеют место разного рода технические недопонимания, когда сотрудник пересылает, возможно, даже свои данные, на свою личную почту, например, страховку, которую он получил от компании в виде ДМС. В принципе, мы все равно запрещаем подобного рода пересылки, и поэтому формально они у нас подпадают под критерий утечек, хоть таковыми не являются.

Но тем не менее, почему я начал свою фразу с того, что мы внимательно следим за этой историей, потому что для нас контроль за информацией - это часть нашего бизнеса, часть нашей функции, которую мы исполняем как инфраструктура финансового рынка.

Важно еще отметить, что это не только контроль именно выхода информации наружу или какое-то неправильное перемещение внутри организации, это сегментирование доступа к конкретным системам. То есть там, где у нас информация, которую мы защищаем как организатор торгов, как национальная клиринговая организация, как национальный расчетный депозитарий, то она находится в очень ограниченном числе систем и к ней имеет доступ очень ограниченное число лиц, и это в основном люди, которые с нами работают долгие-долгие годы. Это позволяет сузить число лиц, допущенных к информации, и второе - обеспечить контроль техническими средствами. Нас обязывают защищать информацию три федеральных закона - «Об организованных торгах», «О клиринге» и «О центральном депозитарии», и эта защищаемая законом информация, как мы считаем, находится в достаточной сохранности. Мы верим в наши системы, в наши процессы, которые позволяют этот контроль осуществлять.

директор по информационной безопасности Московской биржи Сергей Демидов / фото Павел Перов

- С какими-то новыми проблемами, касающимися утечек, вы столкнулись за последний период?

- Злоумышленники всегда пытаются найти что-то новое. Соответственно, если мы говорим вообще о таких стандартных каналах, кроме мессенджеров, почты, сетевого трафика, сложно придумать что-то другое. Но если говорить об утечках, то многие происходят не из-за умысла, а из-за недоработок систем, и это тоже утечки. Если говорить о них, то неожиданным образом встала проблема искусственного интеллекта, дипфейков. Например, недавно у нас был очередной всплеск такой схемы, которая называется «звонок от директора»: звонок, сгенерированный с помощью ИИ. Уже запросил своих коллег, чтобы они достали примеры таких обращений, но, тем не менее, видно, что люди уже используют дипфейки.

Но это только верхушка айсберга, потому что если говорить о безопасности искусственного интеллекта, то говорить надо об алгоритмах, которые лежат в основе схемы. Возможность вытаскивания из алгоритмов первичной информации, чужой информации, сегментирование информации внутри алгоритмов - вот, что требует особого внимания.

Мы этот вопрос обсуждали в рамках Технического комитета 362 (комитет при ФСТЭК по стандартизации «Защита информации» - прим.), и, кажется, были услышаны. В стандарте, который будет разрабатываться в рамках данного Комитета, просили отдельно уделить внимание аспектам «модельного риска», то есть риска для информации, который заложен в самой модели. И мы сейчас как раз пытаемся собрать заинтересованных людей, работаем с Ассоциацией Финтех, с коллегами из Яндекса.

Проблема действительно серьезная. Все активнее и активнее в финансовом секторе начинают использоваться помощники, через алгоритмы которых возможны утечки. Решением может быть то, что на английском называется framework - подход, который позволил бы использовать готовые безопасные технологии, чтобы данные были в безопасности. Проблематика утечек, касающаяся не умышленного действия, а несовершенства технологий, в какой-то момент может больно выстрелить.

- В завершение этой темы такой вопрос, который, конечно, всех интересует: кто чаще всего становился непосредственно виновником утечки?

- Ну, к счастью, у нас это не массовые события, поэтому говорить о том, что есть статистика и можно выделить отдельное подразделение или группу лиц, не приходится. Базово у нас нет прецедентов, когда человек это сделал из злого умысла. В основном это все-таки ошибки персонала, в том числе неправильное использование личной информации и т.д. И, к счастью, это не приводило к серьезным последствиям.

- Давайте остановимся на бюджете информационной безопасности. На какие меры информационной безопасности выделялся бюджет в 2024 году и какие планы на 2025 год?

- Этот вопрос волнует очень многих и не только в области информационной безопасности, но и бизнесменов, потому что они пытаются понять, а как они выглядят на фоне рынка, правильно ли финансируется их информационная безопасность, достаточен ли бюджет информационной безопасности, и, кажется, эти вопросы все более и более становятся важными.

Мы занимаемся внедрением разного рода требований регулятора постепенно, причем как существующих, так и будущих, например, по той же операционной надежности. Хоть горизонт планирования достаточно длинный, то есть требования вступят в силу через несколько лет, но мы все равно уже постепенно начинаем инвестировать во внедрение этих процессов, чтобы обкатать их на себе, на всей группе. У нас есть еще два юридических лица, которые лицензируются Банком России и имеют специальный статус - это клиринговая организация и центральный депозитарий - где все это тоже нужно внедрять. Поэтому заранее начинаем подготовку. И это достаточно весомая статья расходов.

Содержание персонала тоже требует финансирования. В последние годы идет серьезный рост зарплат по сфере IT, а сфера информационной безопасности очень сильно конкурирует со сферой IT. И когда начинается рост зарплат в IT, то начинается и рост зарплат в области информационной безопасности. Соответственно, часть бюджета ушла на пересмотр компенсаций и на поиск новых сотрудников.

- Если я правильно понял вас, то у вас планируется повышение бюджета ИБ на 2025 год?

- Здесь скорее вопрос управления бюджетом. Сфера информационной безопасности сложна, и можно, что называется, «угробить бюджет», при этом еще и аргументируя это необходимостью исполнить требования Банка России, ФСТЭКа, Роскомнадзора и ФСБ. В этом и мастерство менеджера - в поиске баланса.

Моя цель на этот год - оптимизация бюджета. Компания очень заботится об информационной безопасности, но наращивание бюджета должно быть разумным и сбалансированным. Безусловно, есть рост в силу высокой ключевой ставки, инфляции и продолжающегося процесса замещения технологий, но этим ростом мы все-таки стремимся управлять через разные методологии, которые присутствуют у нас в компании.

- Коль мы коснулись уже импортозамещения, я бы хотел тогда уточнить некоторые моменты. Какие отечественные средства защиты информации используются сейчас Московской Биржей?

- Практически все средства защиты информации, включая антивирусы, у нас российские, все интегрировано и работает. Как я сказал ранее, важно не только все купить и включить зеленые лампочки, важно, чтобы они еще были между собой интегрированы.

- Хотел тогда уточнить еще один момент. Вы используете при этом отечественное серверное оборудование?

- Скажем так: мы находимся в активном тестировании. Регулятором срок перехода на отечественный программно-аппаратный комплекс установлен к 2030 году, соответственно, время еще есть. Нам очень важна надежность систем, которые мы эксплуатируем. Поэтому мы хотим так называемую «наработку на отказ», - статистику надежности отдельных компонентов, и только после этого начинать масштабный переход. Для нас принципиально, чтобы мы работали в рамках тех показателей надежности, которые у нас установлены Наблюдательным советом.

- Хорошо. Мы уже частично затронули влияние процессов импортозамещения, естественно, как это все влияет на внедрение средств информационной безопасности?

- Здесь происходит весьма серьезная «пересборка пазла». Когда замещаются только средства защиты информации и их нужно интегрировать между собой - это одно. А когда еще меняются и IT-компоненты, их тоже нужно подключать к системам логирования, строить интеграцию с IDM-системами и т.д., это увеличивает сложность.

У нас этот проект имеет общее управление, где мы решаем не только задачи IT и задачи информационной безопасности, но отслеживаем, чтобы внедряя новые компоненты в IT-инфраструктуру, они сразу подключались к системам информационной безопасности, вставали под защиту и соответствовали регуляторным требованиям. Ведь уже сейчас регулятор в лице Банка России предъявляет много требований к логированию, сбору информации и ее обработке.

Эта программа будет продолжаться практически до 2030 года, поскольку будут заменяться аппаратные системы хранения данных, серверное оборудование, и важно, чтобы оно тоже интегрировалось со всеми средствами защиты.

директор по информационной безопасности Московской биржи Сергей Демидов / фото Павел Перов

- Насколько безболезненно с точки зрения, опять же, управления всеми этими процессами, проходит процесс?

- Честно говоря, процесс болезненный по ряду причин. Но если исходить не из эмоций, а верить статистике, то могу сказать, что количество инцидентов, которые возникают вокруг замещенных средств, пока незначительное. Но это трудно, программа сложная, отвлекает очень много ресурсов, достаточно ценных в настоящий момент, потому что приходится еще выполнять свои текущие обязанности.

- Тут мы плавно переходим к кадрам. Как изменился наем специалистов в области информационной безопасности в 2025 году по сравнению с прошлым годом, 2024-м?

- В 2025 году закончился сейчас только первый квартал, и в силу зимних новогодних праздников, а это традиционно является периодом затишья для смены работы, говорить о каких-то трендах тяжело. Но несколько моментов я отмечу.

Наверное, первый из них - конкуренция с IT. Эта сфера более привлекательна тем, что в ней меньше тревожности в плане возможного нарушения регуляторных требований, больше созидания. А особенность профессии ИБ, функция «защити, оборонись, соблюди регуляторику», делает ее менее привлекательной. Кроме того - среди работодателей есть много привлекательных IT-брендов.

Второй момент - крупные игроки («Солар», «Позитив», «Касперский»), забрали себе пласт готовых, хороших кадров, потому что могут им платить достаточно хорошие деньги. «Позитив», например, не так давно сделал IPO, за счет чего также «собрал» кадры с рынка. По данным Минобрнауки, ежегодно выпускается от 30 до 50 тысяч специалистов, при том что потребность в них в разы больше. В результате на рынке получается длящийся дефицит, когда большие игроки забирают хорошие кадры.

Третье - пока не удается найти необходимую точку соприкосновения в диалоге с Минобрнауки и с вузами на тему изменения программы или подходов к обучению, чтобы из вузов выходили более подготовленные кадры. Мы берем много студентов на стажировку, стараемся их обучать, но видим, что качество подготовки достаточно низкое, и проблема в том, что многие вузы эту проблему не видят (не все, но многие). В рамках Уральского форума мы обсуждали эту проблему с представителями вузов, их основная риторика: «У нас все хорошо. Вы просто не умеете смотреть». Но когда я набираю выпускников, а я до сих пор беседую не только с руководителями, но и зачастую с обычными специалистов, я вижу «качество» этого образования. К сожалению, оно не очень нам подходит.

И у нас есть еще одна специфика: подготовка разработчика в рамках нашей инфраструктуры. Инфраструктура биржи, депозитария, клиринговой организации очень специфичные. В России семь бирж, а тех, которые активно работают, и того меньше, и у каждой своя система. Банки плюс-минус могут «подсмотреть» процессы друг у друга, есть схожие системы, есть банки, которые работают на одной АБС, есть брокеры, которые работают на одной системе одного производителя. В нашей специфике такого нет. Срок для так называемого «онбординга» (адаптация нового сотрудника) разработчика, который нужен просто для написания кода для торговой системы, составляет до полутора лет. Это долго. Когда мы берем выпускников из вузов, их приходится переобучать, погружать в технологии, нормативку, специфику безопасности, как она организована на бирже.

Мы продолжим работу с вузами и будем развивать это партнерство, чтобы все-таки поменять ситуацию.

- Может ли в этом вопросе помочь использование искусственного интеллекта?

- На самом деле искусственный интеллект во многом как раз может помочь решить эту задачу, есть технологии, которые позволяют очень здорово экономить ресурсы и время. То есть система самостоятельно отфильтровывает только то, где действительно требуется внимание человека. Мы имеем, условно, 10 тысяч событий в сутки, различного рода аномалий, которые возникают в инфраструктуре, в отношении которых надо убедиться, что это не злые хакеры, не утечки, не вторжение. Система сейчас помогает убрать из этой массы информации все то, что однозначно является ложным срабатыванием, и сфокусировать внимание человека на двух-четырех сотнях событий, которые требуют настоящего внимания. Это позволяет экономить ресурсы, то есть нам уже нужно не три человека, а, условно, достаточно одного-двух. Это тот путь, который мы будем развивать.

У нас в целом искусственный интеллект выделен в отдельное направление в стратегии информационной безопасности. Там пять отдельных направлений, и вот одна из частей - это как раз ИИ. Там есть несколько задач, которые в итоге должны помочь нам частично решить и кадровую проблему за счет того, что мы высвобождаем ресурсы на более важные задачи, где искусственный интеллект пока еще не справляется.

- Сергей, как вы относитесь к системе повышения квалификации специалистов в области информационной безопасности в соответствии с принятым стандартом по специалистам ИБ в кредитно-финансовой сфере. В частности, на базе того же КЦ НАУФОР, например?

- В целом дело хорошее. Но важно отметить, что повышение квалификации не заменяет более продвинутое экспертное обучение. Когда человек хочет изменить свою квалификацию, например, о чем мы сегодня говорили много раз - перейти, из ИТ в информационную безопасность - то такое повышение квалификации и есть базовый набор шагов. Но почему я говорю, что это не заменит? Информационная безопасность очень динамична, за счет того, что это в некоторой степени состязательная дисциплина. Мы защищаемся не от какого-то сферического хакера в вакууме, а от действий вполне конкретных людей, которые думают, как проломить защиту. Это постоянное противостояние. А мы думаем, как подстроить системы, чтобы, обнаружить и противодействовать. Соответственно, средства защиты постоянно устаревают.

Вот базовый стандарт по информационной безопасности - он содержит какие-то основы, но не учитывает эту динамику. И чтобы быть успешным даже инженеру в области информационной безопасности, нужно постоянно свои технологические знания обновлять, повышать, смотреть смежные области. Поэтому мы своих сотрудников мотивируем идти постоянно обучаться, обучаться в том числе, как я сказал, смежным знаниям.

Мои сотрудники, которые занимаются рисками, смотрят и технические области, сотрудники, которые занимаются анализом кода, сейчас пошли на обучение искусственному интеллекту в «Сколково», и это очень поощряется компанией. В дальнейшем, возможно, какие-то у них появятся новые идеи, о которых мы пока не думали, которые помогут повысить нашу эффективность.

По сути, информационная безопасность должна появляться на этапе, когда приложение только делается. А это значит, что специалист, инженер по информационной безопасности, должен не только заниматься безопасностью кода, но и понимать, как работает микросервисная архитектура, из чего она строится, какие риски в ней есть и т.д. Это очень важно, мы очень много инвестируем в обучение и очень стараемся, чтобы оно было не только профильным.

председатель комитета НАУФОР по экономической и информационной безопасности Михаил Шабанов / фото Павел Перов

- Прекрасно. А сейчас хотел бы перейти к выстраиванию подходов к вопросам ИБ в крупных и небольших компаниях. Различаются ли они?

-Конечно, они различаются. У нас в группе есть не только крупные компании, но и мелкие, которые не попадают под отдельные виды регулирования.

С точки зрения крупной компании основным фреймворком для нас являются требования Банка России, в том числе и рекомендательного характера. Из зарубежных мы имеем сертификацию на ISO 27001 и продолжаем ее поддерживать: недавно был итоговый аудит, который подтвердил нашу сертификацию на этот стандарт. Мы планируем его поддерживать и дальше, потому что это некий минимальный уровень гигиены, который говорит, что наш базовый набор принципов в ИБ соответствует международному стандарту.

Сейчас мы активно изучаем новый стандарт - NIST 2.0. Нам кажется, что с точки зрения методологии он достаточно зрелый. Смотрим, что интересного в нем есть, возможно, какие-то отдельные элементы будем использовать. Особенно это актуально после его обновления: в нем появились как раз те вещи, про которые мы с вами сегодня говорили, например, экономика в области информационной безопасности. Бюджеты на ИБ растут не только в России, но и по всему миру. Значит, все уже начали задумываться: как померить финансовую эффективность информационной безопасности и в том числе сделать ее более прозрачной для акционеров и для органов управления организации.

Если говорить о малых компаниях в нашей группе, то мы стараемся прямо на них не налагать дополнительное требование. У нас в структуре есть дочерний микро-интегратор по информационной безопасности, который имеет все лицензии, в том числе он является нашим внутренним оператором связи. Он нам помогает и оказывает ИБ услуги нашим маленьким дочерним компаниям. Потому что в крупных есть свои полноценные службы информационной безопасности. В небольших компаниях не везде это целесообразно, поэтому мы пользуемся услугами нашего маленького интегратора по информационной безопасности. У него, например, есть пакетная услуга - регулярные тесты на вторжение и сканирование, то есть мы следим за инфраструктурой наших небольших компаний. Вторая услуга- постоянный мониторинг инфраструктуры, чтобы мы знали, если на них будут нападать, мы это увидим и сможем им предоставить свои ресурсы, подставить плечо. И третья услуга - это документарное сопровождение. Многие из небольших компаний не понимают нюансов законодательства в области защиты персональных данных, и, соответственно, где-то им нужно такую помощь оказать. При этом пакетные услуги от микро-интегратора важные, но малоинвазивные, то есть не нарушающие бизнес-процессы.

- Тогда мы плавно перешли еще к одному вопросу мы перешли. Насколько сегодня актуальна самостоятельная разработка комплексной системы защиты информации для НФО?

- Здесь опять вопрос о размере компании. Безусловно, крупные НФО, наверное, действительно должны быть самостоятельны, они имеют свои конкурентные преимущества в технологиях и процессах, которые складывались годами. Они отличаются от других некредитных финансовых организаций, а это значит, что нужно подстраивать и информационную безопасность под их специфику. Информационная безопасность - это не что-то висящее в воздухе, это большой комплекс, интегрированный в корпоративное управление, инфраструктуру и процессы. Значит, большие организации так или иначе вынуждены сами разрабатывать полноценную систему. Что касается небольших компаний, то, как я говорил ранее, здесь может быть востребован условный аутсорсинг. Только аутсорсинг должен быть не только юридическим, договорным, а с реальными услугами и действиями. Например, мы заинтересованы в безопасности наших дочерних компаний, поэтому ответственно подходим к их сканированию, мониторингу и т.д. И если аутсорс-интеграторы в области информационной безопасности готовы поддерживать именно такой практический уровень безопасности, то, вероятно, это может быть востребованной услугой. Она освободит ресурсы компаний от непрофильных видов деятельности.

Важно еще одно большое направление - так называемый «закон об аутсорсинге», который активно продвигает Банк России. Там есть очень интересная мысль: небольшим компаниям, которые выходят на финансовый рынок, вообще не надо думать о своей инфраструктуре. Зачем им думать о покупке серверов, зачем им думать о покупке каких-то лицензий операционных систем, об интеграции всего этого со средствами защиты информации? Ответ на этот вопрос как раз находится в «облаках». В принципе, для нормального старта можно было бы прийти в «облако» и разместить там свой готовый микросервис, который работает как брокерская система или другой финтех-продукт. Основателю финтеха не придется думать обо всей этой окружающей инфраструктуре, а только о готовой ценности продукта.

Если посмотреть на соседей из недружественных стран, те же самые Google, Amazon Cloud, они работают по этому принципу. У нас пока есть определенные законодательные ограничения, но, повторюсь, Банк России, понял эту историю, именно оттуда появился этот закон об аутсорсинге. Надеемся, что в какое-то обозримое время он двинется дальше и будет принят Государственной думой, чтобы наконец это стало реальностью.

Это важно для развития финтех-компаний, которые в целом благоприятно влияют на финансовую инфраструктуру, финансовый рынок - появляются новые продукты, ценности для потребителей финансовых услуг, и это в целом двигает экономику весьма динамично. Почему российский рынок выгодно отличается от зарубежных? Именно из-за того, что здесь есть умы, готовые создавать финтех-компании, финансовые продукты и двигать их вперед. Главное, чтобы законодательство не мешало, а помогало.

директор по информационной безопасности Московской биржи Сергей Демидов / фото Павел Перов

- Роскомнадзор предлагает инициативы, связанные с упрощением или со стандартизацией вопросов обработки персональных данных, для того чтобы была возможность у малых, небольших компаний, которые работают с персональными данными, была возможность передавать это также на аутсорсинг. Здесь есть движение, и я с вами полностью согласен, что оно имеет такой положительный, позитивный характер. И хотел еще остановиться на таком вопросе. Существуют ли тонкости регулирования информационной безопасности в НФО и сложности в выполнении большого количества нормативных требований различных надзорных органов?

- Да, безусловно, существуют, потому что многие нормативные акты Банка России в первую очередь ориентированы на кредитные организации и не учитывают специфику НФО, в частности - взаимодействие НФО с организаторами торгов.

В чем это заключается? Самый банальный пример - многие торговые алгоритмы используют микрочипы FPGA (программируемая пользователем вентильная матрица), а это вообще не серверы. Но одно из требований к НФО, например, - обязательно должен быть настроен антивирус. Как поставить антивирус на FPGA-карту, и существуют ли в России в реестре ФСТЭКа (антивирус - это средство защиты информации, значит, его надо брать только из реестра ФСТЭКа) антивирусы для разворачивания на FPGA-картах, я не знаю. Но кажется, сделать это невозможно.

Поэтому действительно есть нюансы для НФО. Пример, который я привел просто лежит на поверхности. Есть еще нюансы с использованием криптографии, а все торговые системы и брокерские системы - это высоконагруженные системы, которые обрабатывают до 100 тысяч заявок в секунду. Это не фигура речи, а конкретные цифры, которые мы с участниками торгов получаем на разного рода нагрузочных тестах. И в принципе использование криптографии или подтверждение заявок лицом, выставляющим заявку, в торговых алгоритмах невозможны. Вероятно, многие нормы регулирования брались от банков, когда человек берет платежный документ, вставляет флешку, подписывает, отправляет, ждет подтверждения и т.д. Однако когда идет поток в 100 тысяч транзакций в секунду, мне, кажется, это не очень реально (улыбается).

Но на самом деле Банк России понимает эту проблематику, и они внимательно слушают, обращаются за помощью, когда такие нюансы обсуждают. Просто все поменять, как правило, невозможно, поэтому такие правки зачастую включаются в свежие версии нормативных документов по мере их выявления. В целом ситуация идет в хорошую сторону, многие недочеты из нормативного регулирования для НФО уже убираются. Есть полноценная работа Банка России - они не просто что-то издали и «выполняйте как хотите», а именно прислушиваются, смотрят, как можно помочь, чтобы регулирование не просто было обязательное, но еще и учитывало интересы. И это организовано не только на уровне личных контактов, много что обсуждается и в рамках Технического комитета 122 и других площадок, на которых Банк России собирает заинтересованные стороны и в открытом формате прислушивается к их комментариям.

По другим регуляторам аналогичные процессы тоже идут. Мы в прошлом году активно обсуждали ГОСТ по безопасной разработке со ФСТЭК, искали применимость такого ГОСТа на финансовом рынке, в том числе предлагали свои комментарии. И то, что этот диалог вообще состоялся - а это была не одна встреча, а целая серия встреч и с авторами нового ГОСТа по безопасной разработке, и с со ФСТЭК, с их достаточно высокопоставленными представителями - говорит о том, что они тоже понимают. Ни у кого нет желания издавать нормативный документ безотносительно того, как он будет применяться в индустрии. Поэтому диалог ведется со всеми регуляторами, и остается только ждать результата.

директор по информационной безопасности Московской биржи Сергей Демидов / фото Павел Перов

Читать интервью в PDF

	На главную	К другим интервью

О журнале

Журнал «Вестник НАУФОР» - это ежемесячный журнал с познавательными статьями о практике работы на рынке ценных бумаг, обзорами рынка, интервью с ведущими его представителями, материалами мероприятий в области финансового рынка.

Авторами журнала являются профессиональные финансисты: брокеры, управляющие, аналитики, корпоративные юристы, риск-менеджеры, представители инфраструктуры. Зная профессию изнутри, эти люди пишут о том, что действительно является повесткой их рабочего дня. Уровень понимания и анализа конкретных проблем задан принадлежностью авторов к индустрии финансов.

Читателями журнала «Вестника НАУФОР» являются представители госорганов, Банка России, руководители и специалисты финансовых компаний - профучастников рынка ценных бумаг и управляющих компаний, инвестиционные консультанты.

По вопросам приобретения печатной версии издания связываться с Мироновой Татьяной - mironova@naufor.ru

№3 2025

Дата публ./изм.
24.06.2025