Банк России разрабатывает требования к стандартному уровню защиты информации для всех страховщиков

9 декабря. FINMARKET.RU - Банк России прорабатывает вопрос об установлении требований стандартного уровня защиты информации для всех страховых организаций, сообщили "Интерфаксу" в Банке России. Кроме того, законодатели и ЦБ обсуждают нововведения об установлении квалификационных требований и требований к деловой репутации руководителей финансовых организаций, они также касаются страховщиков. Законопроект предусматривает меры дисквалификации на различные сроки для руководителей различных секторов финрынка.

Требования повышаются для небольших СК

В настоящее время требования по информбезопасности установлены по группам участников страхового рынка, они предъявляются в зависимости от объема их активов.

"К деятельности страховых организаций требования к обеспечению защиты информации для противодействия незаконным финансовым операциям установлены положением Банка России от 20 апреля 2021 года №757-П. В соответствии с его нормами, страховщики, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 млрд рублей, обязаны обеспечивать стандартный уровень защиты информации. Он предусмотрен ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических операций", - пояснили в ЦБ.

Страховщики, активы которых превышают 20 млрд рублей, должны "не реже одного раза в три года проводить оценку соответствия уровня защиты информации с привлечением проверяющих организаций в соответствии с требованиями стандарта РФ (ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия").

Такие компании должны "проводить оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, в том числе предоставляемых клиенту".

Кроме того, тем же положением ЦБ для крупных страховых компаний "установлены требования к технологии безопасной обработки защищаемой информации".

Иные страховые организации, не входящие в группу игроков на страховом рынке с активами свыше 20 млрд рублей, были "обязаны реализовывать минимальный уровень защиты информации", отмечает ЦБ. Ситуация меняется.

"Сейчас Банк России прорабатывает вопрос о реализации требований стандартного уровня защиты информации всеми страховыми организациями", - сообщил агентству регулятор.

Информбезопасность и деловая репутация

В настоящее время ко второму чтению готовится законопроект о квалификационных требованиях и требованиях к деловой репутации руководителей финансовых организаций, напомнили в ЦБ. Законопроект "предусматривает возможность признать деловую репутацию заместителя руководителя по информационной безопасности неудовлетворительной, если организация нарушает требования по обеспечению защиты информации, что привело к утечке персональных данных".

ЦБ предлагает дополнить законопроект "новым критерием, который связан с нарушением требований по противодействию кибермошенничеству".

"Предполагается, что механизм персональной ответственности будет работать следующим образом. Если в течение года регулятор неоднократно применял меры к организации за нарушение требований к защите информации и борьбе с мошенничеством, то профильный топ-менеджер банка на 10 лет лишается возможности занимать руководящие должности, быть членом органа управления и иным должностным лицом, к которому предъявляются требования к деловой репутации. Для топ-менеджеров страховых компаний, НПФ и других некредитных финансовых организаций данный срок составит 5 лет. Признанию деловой репутации должностных лиц неудовлетворительной будет предшествовать тщательная проверка", - пояснили в ЦБ "Интерфаксу" порядок применения персональных санкций к руководителям.

Поставщики в зоне высокого риска

На протяжении длительного времени российский финансовый сектор работает в условиях повышенной активности хакеров, периодически интенсивность компьютерных атак возрастает, отмечают в ЦБ. "За последнее время основные векторы компьютерных атак не претерпели значительных изменений. Злоумышленники по-прежнему пытаются скомпрометировать инфраструктуру финансовых организаций с использованием фишинговых рассылок с вложением вредоносного программного обеспечения и эксплуатации уязвимостей (поиск слабых мест в инфраструктуре организации), проводят DDoS-атаки", - указывает регулятор.

Наибольшую опасность представляют кибератаки на поставщиков услуг, полагают в ЦБ. Высокие риски объясняются тем, что к поставщикам "не применяются требования по обеспечению информационной безопасности".

Поэтому при участии Банка России разработан законопроект, который "направлен на обеспечение правового регулирования аутсорсинга ИТ и облачных сервисов при его использовании финансовыми организациями, включая страховые компании".

Глава цифровой "дочки" ЦБ, IT оператора страхового рынка - НСИС Николай Галушин подтвердил агентству: "В целом рынок испытывает всевозрастающую нагрузку от кибератак. Масштаб атак в разы увеличился с 2022 года".

Вместе тем, по его мнению, сами по себе стандарты результата не обеспечат. "Невозможно заниматься информбезопасностью только в формате создания документов. Сотрудники, подрядчики, общая защита - вот наиболее уязвимые точки несанкционированного доступа к информационным ресурсам со стороны киберпреступников. Поэтому контроль и превенция носит неослабевающий характер. Поэтому важны наши усилия в области защиты и контроля, обучения и развития сотрудников, сфере выбора передовых решений и других".

НСИС замкнется

С 2026 года НСИС забирает полностью на себя всю разработку и техническую поддержку АИС страхования. Часть технической поддержки в отношении объектов инфраструктуры будет передана внешнему подрядчику.

"До того, как мы смогли взять на свою ответственность всю разработку (доработку, изменение, улучшение кода), компанией была проделана большая работа по формированию собственной команды. И речь не только о разработчиках, но и о бизнес- и системном анализе, о тестировщиках, о корпоративной и системной инфраструктуре, об информационной безопасности, о технической поддержке", - развил тему Галушин.

Сделать все это на старте создания НСИС было невозможно, уверен он. Тогда потребовалось бы в один момент "набрать, подготовить, обучить несколько сотен человек, которые бы на старте не имели знаний о функционировании бывшей АИС ОСАГО (под эгидой Российского союза автостраховщиков) и создаваемой теперь НСИС АИС страхования. Сейчас все удалось".

"Создание компетенций внутри компании - это еще и 100% внутренней ответственности за функционирование системы - все SLA обеспечиваем мы сами, вся ответственность на команде, ее нельзя переложить на внешнего партнера, такового просто уже нет", - пояснил Галушин.

Однако глава НСИС не исключил ситуации, "когда при возникновении каких-то законодательных новелл или запросов рынка по масштабной доработке системы, выводу нового функционала НСИС может потребоваться дополнительный персонал на аутстафф или привлечение подрядчика". При этом в обоих случаях все вопросы по информационной безопасности - разграничению доступа к средам, проверке кода, оценке уровня защищенности, точкам доступа и другим всецело будут "в руках компании", заверил Галушин.