В нашей статье «Развитие краудфандинга в России» (ссылка на статью) мы подсветили тему развития индустрии краудфандинга в России. Индустрии внебанковского инвестирования и заимствований. Очевидно, что изначально либеральная идея «а давайте исключим банки и просто станем давать деньги друг другу» действительно начала трансформироваться в отдельную отрасль. Со своими правилами и регулированием. Безусловно в этом есть положительный момент. Правила теперь четко регулируются федеральным законодательством, а надзор и контроль ведется Центральным Банком РФ. Это конечно же хорошо! Участники и операторы инвестиционных платформ (назовем их – ОИП) теперь имеют регламентацию и защиту собственных прав на государственном уровне.
Но осознавая собственную защищенность, следует также в полной мере осознавать собственную ответственность. Это касается ответственности ОИП по исполнению государственного регулирования в части информационной безопасности в том числе. Пользователи платформ (заемщики и инвесторы) в меньшей степени могут и должны беспокоиться, насколько оператором такое регулирование исполнено. Но… В этой статье мы и постараемся проанализировать, а насколько же все-таки ОИП должен советовать и исполнять требования по кибербезопасности в случае, если должен.
Давайте присмотримся, как регламентируется отнесение ОИП к вопросу информационной безопасности.
По состоянию «на сегодня», у регулятора деятельности ОИП, Центрального Банка РФ есть несколько регламентирующих документов. Основными пожалуй, стоило бы считать:
- Положение Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»;
- Национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"
Безусловно и эти документы динамично трансформируется, со временем учитывая новые требования и актуальность происходящего в киберпространстве. Давайте на этих, основных документах и построим свои рассуждения.
Итак, чего же требует Положение 757-П от ОИП?
Прежде всего, внимательно вчитавшись в Положение 757-П, становится очевидным требование к ИОП о соблюдении ими Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". И это объяснимо. Все пользователи инвестиционных платформ, для того, чтоб иметь возможность на таких платформах работать, просто обязаны опубликовать более чем чувствительную информацию о себе. Отсюда и требование Положения 757-П – ОИП, защитите информацию своих пользователей!
Не приводя полного состава п. 1.4. Положения 757-П, видится необходимым сделать следующие заключения - ОИП обязаны:
- осуществлять защиту информации в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017. То есть – нести самостоятельную ответственность за защиту информации и программно-аппаратную компоненту ОИП;
- определять уровень защиты информации ежегодно.
При этом рассматривается три уровня защиты информации: усиленный, стандартный и минимальный.
Усиленный уровень защиты информации применим к центральным контрагентам, центральным депозитариям и регистраторам финансовых транзакций. Таким образом ОИП, не относящиеся к перечисленным категориям, не обязаны исполнять положения ГОСТ Р 57580.1-2017 по усиленному уровню защиты информации.
К ОИП, обязанным реализовать стандартный уровень защиты информации относятся:
- ОИП, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем ста тысячам лиц, с которыми заключены договоры об оказании услуг по привлечению инвестиций и договоры об оказании услуг по содействию в инвестировании;
- ОИП, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем ста тысячам лиц, с которыми заключены договоры об оказании услуг оператора финансовой платформы.
Кто из нас может похвалиться более чем сто тысячами пользователей? Это же пока что мечта! Потому в данном случае реализация требований защиты по стандартному уровню желанное, но все таки будущее для ОИП РФ.
Требования ГОСТ Р 57580.1-2017, соответствующие минимальному уровню защиты информации, должны соблюдать следующие ОИП:
- ОИП, не указанные и не поименованные в п.п. 1.4.2. – 1.4.2. Положения 757-П.
Все очень просто – не являешься центральным депозитарием и не имеешь +100К пользователей в год – исполняй минимальные требования по защите информации.
Сейчас стало понятнее.
Далее, простым применением приведенных параметров в отношении себя, любой ОИП в состоянии определить, какой уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017 применим непосредственно к нему.
Есть все основания полагать, что в силу начального этапа развития индустрии инвестиционных платформ (краудфандинга), подавляющее большинство ОИП не достигают требований по усиленному и стандартному уровням защиты информации и, как следствие, должны реализовывать требования ГОСТ Р 57580.1-2017, предъявляемые к минимальному уровню защиты информации.
Можно сделать вывод: для исполнения требований Положения 757-П в части касающейся, ОИП обязан:
- Определить уровень защищаемой информации в соответствии с п.п. 1.4.2. – 1.4.4. Положения 757-П, применимый к операционной деятельности такого ОИП;
- Провести мероприятия, предусмотренные требованиями ГОСТ Р 57580.1-2017 в части защиты информации, применительно к уровню защиты информации в таком ОИП;
- Проводить ежегодную переоценку ОИП на предмет принадлежности такого ОИП к категориям, рассмотренным в п.п. 1.4.2. – 1.4.4. Положения 757-П.
В принципе, не сложно и вполне исполнимо силами самого ОИП.
Но далее начинается интересное. Пункт 4.3. Положения 757-П гласит:
«Действие настоящего Положения не распространяется на отношения, регулируемые Федеральным законом от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации».
И что это значит? А значит это то, что исполнение требований 187-ФЗ является самостоятельной ответственностью ОИП и Центральный Банк РФ не довлеет над «верхним» нормативным документом. То есть – над федеральным законодательством.
То есть, руководствуясь принципом «Федеральное законодательство является превалирующим над отраслевыми актами и стандартами», Положение 757-П обязует ОИП к самостоятельному исполнению требований и положений 187-ФЗ.
Не вдаваясь в детали 187-ФЗ, скажем только, что он регламентирует действия и обязанности владельцев критических информационных инфраструктур (назовем их – КИИ). А далее зададимся главным вопросом: а ОИП вообще КИИ, или не КИИ?
Приведу несколько выдержек из федерального законодательства:
- В соответствии со Статьей 2, п.8 187-ФЗ, к субъекту КИИ, то есть к организациям, к котором применим данный закон, относятся любые организации банковской сферы или финансового рынка.
- В соответствии со Статьей 76.1, п.17.1 86-ФЗ, операторы инвестиционной платформы выделены отдельной строкой. Цитата: «Статья 76.1. Не кредитными финансовыми организациями в соответствии с настоящим Федеральным законом признаются лица, осуществляющие следующие виды деятельности:
1)….
17.1.) деятельность операторов инвестиционных платформ.»
- В соответствии со Статьей 2, п.7. 187-ФЗ, ОКИИ ОИП является сайт либо информационная платформа, принадлежащая (либо используемая) ОИП, квалифицируемая как информационная система (ИС).
Вывод. Основываясь на требованиях Положения 757-П и приведённым выдержкам из нормативной документации, следует сделать однозначное заключение:
- ОИП являются ОКИИ и владельцами КИИ;
- ОИП обязаны исполнить требования нормативно-правовых актов, относящихся к государственному регулированию в части информационной безопасности и киберзащищенности КИИ.
Все… Привет… Приехали! ОИП однозначно являются КИИ. Двух мнений быть не может!
И далее наступает необходимость проведения целого комплекса работ, регламентированных более чем в шестидесяти двух нормативно правовых актах, изданных и Правительством РФ, и ФСТЭК РФ, и в виде Федеральных законов.
В нашем случае все необходимые работы для инвестиционной платформы ЭЛЕВАТОР нами, командой ОИП Элеватор, уже ведутся и близки к завершению.
Операторам инвестиционных платформ, еще не приступившим к таким работам однозначно следует начинать действовать, поскольку как следует из аргументов этой статьи, ОИП являются КИИ и двух мнений быть не может – законы нужно исполнять.
В случае если такая специфичная тема вызвала интерес, мы готовы в следующей статье развернуть порядок действий ОИП для полного исполнения 187-ФЗ, а также развернуть положения Уголовного кодекса РФ, в части правовой ответственности за неисполнение этого федерального закона.
Подписывайтесь на наш Телеграмм канал - https://t.me/elevator_market_oip
Будьте в курсе!
Команда
Инвестиционной платформы ЭЛЕВАТОР