Мария Сарычева
27.02.2017

Ряд крупных банков готовит предложения к законопроекту, регулирующему безопасность критической информационной инфраструктуры. Согласно текущей версии проекта, все финансовые организации — от системообразующего банка до мелкой МФО — могут быть отнесены к критической информационной инфраструктуре, а значит, подпадают под действие закона о государственной тайне. Это может повлечь серьезные последствия для всего рынка финансовых услуг.

Как сообщил "Ъ" источник на банковском рынке, Сбербанк и несколько банков из топ-10 готовят предложения к принятому 27 января в первом чтении законопроекту "О безопасности критической информационной инфраструктуры РФ", а также двум законопроектам-спутникам (вносят изменения в Уголовный кодекс и некоторые законодательные акты РФ). На текущей неделе эти документы будут обсуждаться в профильных комитетах Госдумы. От официальных комментариев в Сбербанке, Альфа-банке, Райффайзенбанке, Бинбанке, "Открытии", Промсвязьбанке отказались. Участие в официальной дискуссии подтвердили в ВТБ и Россельхозбанке (РСХБ). "Предложения и отзывы банка, а также доводы о необходимости внесения поправок в обсуждаемые документы направляются для рассмотрения внешним регуляторам — Минкомсвязи, ФСБ, Банку России и другим",— отметили в пресс-службе РСХБ. В Московском кредитном банке и Газпромбанке на запрос "Ъ" не ответили.

Принятие законопроекта в текущем виде внушает финансистам опасения. В проекте нет конкретных критериев отнесения организаций к критической информационной инфраструктуре. Их планируется описать в специальном постановлении правительства. А оно появится не ранее чем через год после окончательного утверждения закона. Таким образом, рынок, по выражению одного из собеседников "Ъ", "покупает кота в мешке". По словам бизнес-консультанта по безопасности компании Cisco Systems Алексея Лукацкого, несколько лет назад обсуждалась вероятность принятия в качестве основного критерия категорирования объектов суммы ущерба, которую может нанести атака на информационную инфраструктуру. Причем в обсуждениях фигурировала сумма 1 млн руб. "Если возьмут за водораздел эту сумму ущерба, то все без исключения финансовые организации попадут под раздачу",— говорит господин Лукацкий. Есть предложение прописать эти критерии в основном тексте закона, что сделает правила игры понятными, рассказывают собеседники "Ъ" на финансовом рынке. Однако у такой идеи есть минусы. "Менять значения критериев на уровне постановления правительства все же гораздо проще, чем на уровне федерального закона",— указывает господин Лукацкий.

Волнует представителей финансового сообщества и привязка информации о защите критически важного объекта к государственной тайне. Такая норма содержится в текущей версии одного из законопроектов-спутников. "Все объекты, которые обладают критической инфраструктурой, должны будут либо создавать первые отделы (структуры, отвечающие за обеспечение режима секретности.— "Ъ"), либо отдавать на аутсорсинг такую деятельность тем организациям, у которых эти отделы уже есть",— говорит Алексей Лукацкий. Таким образом, информационные решения для банков и других финансовых организаций смогут поставлять только компании, имеющие лицензию на работу с гостайной. По словам руководителя одной из них, чтобы получить лицензию ФСБ, компания должна проводить сертификацию рабочих мест, где предполагается обработка секретной информации, в руководстве компании должны быть минимум два человека, имеющих допуск к такой информации. "Это глубокое взаимодействие с ФСБ, отчеты, проверки",— поясняет он.

Собственные вложения крупных компаний финансового рынка в информационную безопасность и сейчас уже достаточно велики. "Хотя формально требований к защите информации для брокеров нет, мы вынуждены относиться к этому серьезно: попытки взломать системы, DDoS-атаки — это наши суровые будни,— говорит президент ИХ "Финам" Владислав Кочетков.— Мы вложили в безопасность порядка $12 млн в рамках разовой инвестиции, затраты на поддержание лицензий программного обеспечения, оплата труда персонала — еще около $1,5 млн в год".

За нарушение требований к безопасности критической информационной инфраструктуры грозит уголовная ответственность. Она вводится одним из проектов-спутников. После первого чтения такая ответственность определена в виде лишения свободы на срок десять лет. Более того, под статью попадут и случаи, когда реальный ущерб не был нанесен, но была создана угроза его нанесения.

Ранее участники рынка в лице Российской ассоциации электронных коммуникаций (РАЭК) предлагали сохранить контроль над информационной безопасностью финансовых организаций за их основным регулятором — ЦБ. Такое решение принято, например, в отношении операторов связи, которые остались под контролем Минкомсвязи в области безопасности. По информации "Ъ", в ЦБ уже состоялось несколько тематических встреч по обсуждению данного законопроекта, однако регулятор свою позицию еще не сформулировал. В Банке России от комментариев отказались.