Сбербанк и несколько банков из топ-10 готовят предложения к принятому 27 января в первом чтении законопроекту «О безопасности критической информационной инфраструктуры РФ», а также двум законопроектам-спутникам (вносят изменения в Уголовный кодекс и некоторые законодательные акты РФ). Об этом «Коммерсанту» сообщили источники на банковском рынке. На текущей неделе эти документы будут обсуждаться в профильных комитетах Госдумы. От официальных комментариев в Сбербанке, Альфа-Банке, Райффайзенбанке, Бинбанке, «Открытии», Промсвязьбанке отказались. Участие в официальной дискуссии подтвердили в ВТБ и Россельхозбанке (РСХБ). «Предложения и отзывы банка, а также доводы о необходимости внесения поправок в обсуждаемые документы направляются для рассмотрения внешним регуляторам — Минкомсвязи, ФСБ, Банку России и другим»,— отметили в пресс-службе РСХБ. В Московском кредитном банке и Газпромбанке на запрос не ответили.

Принятие законопроекта в текущем виде внушает финансистам опасения. В проекте нет конкретных критериев отнесения организаций к критической информационной инфраструктуре. Их планируется описать в специальном постановлении правительства. А оно появится не ранее чем через год после окончательного утверждения закона. Таким образом, рынок, по выражению одного из собеседников, «покупает кота в мешке». По словам бизнес-консультанта по безопасности компании Cisco Systems Алексея Лукацкого, несколько лет назад обсуждалась вероятность принятия в качестве основного критерия категорирования объектов суммы ущерба, которую может нанести атака на информационную инфраструктуру. Причем в обсуждениях фигурировала сумма 1 млн рублей. «Если возьмут за водораздел эту сумму ущерба, то все без исключения финансовые организации попадут под раздачу»,— говорит Лукацкий. Есть предложение прописать эти критерии в основном тексте закона, что сделает правила игры понятными, рассказывают собеседники на финансовом рынке. Однако у такой идеи есть минусы. «Менять значения критериев на уровне постановления правительства все же гораздо проще, чем на уровне федерального закона»,— указывает Лукацкий.

Волнует представителей финансового сообщества и привязка информации о защите критически важного объекта к государственной тайне. Такая норма содержится в текущей версии одного из законопроектов-спутников. «Все объекты, которые обладают критической инфраструктурой, должны будут либо создавать первые отделы (структуры, отвечающие за обеспечение режима секретности), либо отдавать на аутсорсинг такую деятельность тем организациям, у которых эти отделы уже есть»,— говорит Алексей Лукацкий. Таким образом, информационные решения для банков и других финансовых организаций смогут поставлять только компании, имеющие лицензию на работу с гостайной. По словам руководителя одной из них, чтобы получить лицензию ФСБ, компания должна проводить сертификацию рабочих мест, где предполагается обработка секретной информации, в руководстве компании должны быть минимум два человека, имеющих допуск к такой информации. «Это глубокое взаимодействие с ФСБ, отчеты, проверки»,— поясняет он.

Собственные вложения крупных компаний финансового рынка в информационную безопасность и сейчас уже достаточно велики. «Хотя формально требований к защите информации для брокеров нет, мы вынуждены относиться к этому серьезно: попытки взломать системы, DDoS-атаки — это наши суровые будни,— говорит президент ИХ "Финам" Владислав Кочетков.— Мы вложили в безопасность порядка 12 млн долларов в рамках разовой инвестиции, затраты на поддержание лицензий программного обеспечения, оплата труда персонала — еще около 1,5 млн долларов в год».

За нарушение требований к безопасности критической информационной инфраструктуры грозит уголовная ответственность. Она вводится одним из проектов-спутников. После первого чтения такая ответственность определена в виде лишения свободы на срок десять лет. Более того, под статью попадут и случаи, когда реальный ущерб не был нанесен, но была создана угроза его нанесения.

Источник: Коммерсант