НАУФОР направила в ЦБ РФ замечания к проекту положения «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков».

НАУФОР обращает внимание, что проект положения предусматривает идентичные требования к организациям, реализующим стандартный (профессиональные участники и управляющие компании», так и усиленный (системно значимые инфраструктурные организации) уровни защиты информации. НАУФОР предлагает снизить требования к организациям, реализующим стандартный уровень защиты, и провести аудит с участием финансовой индустрии используемых профессиональными участниками рынка ценных бумаг и управляющими компаниями средств обработки и хранения информации с целью выявления критически важных областей, нуждающихся в повышенной защите по национальному стандарту, и иных некритических процессов, уровень защиты которых может определяться самими организациями.

Замечания НАУФОР касаются отнесения всех категорий профучастников и управляющих компаний к единой группе организаций, реализующих стандартных уровень информации, так как это противоречит разработанной ЦБ РФ концепции пропорционального регулирования и риск-ориентированного надзора, предусматривающей дифференциацию требований к участникам финансового рынка в зависимости от принимаемой ими степени риска. В письме НАУФОР отмечается, что концепция получила одобрение финансовой индустрии и учитывается профильными департаментами при подготовке проектов нормативных актов, и предлагается доработать проект, дифференцировав требования по защите безопасности в зависимости от категории профучастников и управляющих компаний.

В письме НАУФОР отмечается, что из формулировки проекта следует, что защите подлежат все информационные системы финансовой организации, как предназначенные для использования ее клиентами, так и внутренние учетные системы и системы, используемые для осуществления финансовой операции. В письме подчеркивается, что исполнение требований проекта потребует от профессиональных участников рынка ценных бумаг и управляющих компаний изменения многих бизнес-процессов, пересмотра архитектуры и полной переработки большинства действующих информационных систем и сервисов с нуля.

«С учетом изложенного, считаем необходимым пересмотреть перечень реализуемых некредитными финансовыми организациями мер по защите информации, сохранив требования только в отношении критически важных областей, нуждающихся в повышенной защите, а в отношении менее важных процессов предоставить право финансовым организациям самим определять уровень защиты, предоставить финансовым организациям срок не менее пяти лет для приведения своей деятельности в соответствие с новыми требованиями», - заключается в письме НАУФОР.