Как финансовый сектор должен подготовиться к переходу на отечественное ПО

Шевченко Мария Андреевна

Шевченко Мария Андреевна

Председатель Совета директоров КИВИ Банк (АО), г. Москва

Заместитель председателя комитета Ассоциации банков России по финтеху Мария Шевченко рассказала о предложениях по регулированию в сфере информационной безопасности инфраструктуры финансовых организаций.
В начале 2021 года Минцифры опубликовало новый проект указа о переходе объектов критической информационной инфраструктуры (КИИ) на преимущественное использование отечественного программного обеспечения и оборудования, а также обозначило даты его реализации. Так, внедрить российское ПО необходимо до 1 января 2023 года, оборудование — до 1 января 2024-го. Сжатые сроки подтолкнули финансовую отрасль, субъекты которой также входят в перечень КИИ, к определению ключевых недоработок законопроекта.

8 февраля комитет Госдумы по финрынку принял решение о создании рабочей группы с участием Банка России и профильных ведомств, которая подготовит предложения по регулированию в сфере информационной безопасности инфраструктуры финансовых организаций. Участники рынка так же единодушно приняли идею создания рабочей группы, сошлись они во мнениях и о недостатках инициативы. Главной проблемой видится отсутствие в текущем проекте профильного регулятора, под чьим руководством весь рынок смог бы осуществить планомерный и качественный переход.

Уже сейчас Банком России проводится активная политика по обеспечению безопасности и независимости финансового сектора — например, введены национальные стандарты по информбезопасности. Учитывая, что большая часть используемого ПО и оборудования является иностранной, импортозамещение в финансовом секторе будет представлять собой глобальный процесс отключения всех работающих сейчас систем и интеграции с новыми программными продуктами. При этом уровень клиентского сервиса, отказоустойчивости систем, бесперебойности и безопасности платежей по-прежнему должны соответствовать нынешним требованиям.

ЦБ понимает особенности используемого ПО и требования, предъявляемые к информационным системам участников финансового рынка, — например, к бесперебойности — и может надлежащим образом изучить аналоги. Отсутствие экспертизы профильного регулятора и сжатые сроки могут повлечь за собой использование ПО, в итоге не способного в полной мере поддерживать необходимые требования на текущем высоком уровне. Или же поддерживать должную интеграцию с иными системами, соответственно, не исключено возникновение технических ошибок. А это означает задержки зачисления на счета граждан зарплат и социальных выплат, невозможность рассчитаться за покупки банковской картой и, как следствие, потеря доверия людей к банковской системе в целом, возврат к наличным расчетам, рост теневой экономики и социальной напряженности.

Участие ЦБ в разработке и контроле процедуры импортозамещения для финансового сектора способно снять эти риски. Экспертиза регулятора поможет оценить соответствие российских аналогов ПО всем требованиям бесперебойности, безопасности и контроля над банковской тайной.

Другая проблема финансового сектора, которую предстоит решить в рамках рабочей группы, кроется в нюансах технических процессов.

Согласно проектам, у субъектов КИИ нет возможности использовать свое ПО и оборудование без включения их в реестры — российского ПО, ПО государств-членов ЕАЭС и российского оборудования. Для такого включения программное обеспечение должно свободно распространяться на всей территории РФ, что лишает смысла саму идею его разработки только под свои нужды. А ведь собственная разработка — ключ к поддержанию конкурентности российского рынка.

Сейчас люди выбирают не только бренд и тариф того или иного участника финансового рынка, но и удобный интерфейс — и это делает финтех России прогрессивным. И нельзя не согласиться, что использование собственного ПО полностью соотносится с целью и смыслом проектов по импортозамещению, поскольку снижает зависимость системы от иностранных разработок. Оптимальное решение — предусмотреть в проектах возможность безбарьерного использования собственного ПО, то есть без включения его в реестр.

Другой технический вариант, способный упростить процедуру без ущерба безопасности, — использование так называемого свободного ПО. Оно предусматривает возможность установки, запуска и изменения исходного кода, являющегося общедоступным. Даже если его поставщиком выступает зарубежный разработчик, российская компания — субъект КИИ, при внедрении данного ПО в свою инфраструктуру обязана распространять на него все те же требования, которые применимы к любому иному используемому ею программному обеспечению.

Например, для финансовых организаций при использовании ПО ГОСТом по безопасности уже предусматривается необходимость учитывать угрозу зависимости его от иностранных поставщиков. Чтобы обеспечить стабильность свободного программного обеспечения, может быть применен дифференцированный подход: возможность его использования без включения в реестр должна сохраниться только за теми субъектами КИИ, которые имеют необходимые ресурсы (людей, технику) для его самостоятельной модернизации, поддержания и обслуживания.

Естественно, также острым является вопрос о сроках реализации инициативы. В проектах предусмотрено составление субъектом КИИ своего индивидуального плана импортозамещения, срок финальной готовности которого установлен как 1 июля 2021 года, то есть примерно через шесть месяцев.

За это время субъект КИИ должен, во-первых, провести анализ всего собственного ПО, оборудования и найти подходящие аналоги. Говоря исключительно о финансовой отрасли, можно с уверенностью сказать, что на эту процедуру маленьким банкам нужно точно более одного месяца, а большим — уже несколько месяцев.

Во-вторых, нужно согласовать с федеральными органами исполнительной власти перечень ПО и оборудования, не имеющих аналогов. А именно: с Минпромторгом, ФСТЭК, ФСБ и Минцифры. При этом период рассмотрения перечня органами госвласти составляет 30 рабочих дней. Получить согласование с первой попытки — задача наверняка сложная. В случае, если выносится решение об отказе или о необходимости доработки перечня, субъекту КИИ на это дается 30 рабочих дней. После чего новое рассмотрение в 30-дневный срок. Складываем эти попытки и получаем: процедура может занять 4–5 месяцев.

Даже если предположить, что субъекты финансового рынка успеют провести оценку своего ПО и оборудования за оставшиеся две недели, то около 10 тыс. таких субъектов придут со своими перечнями на утверждение в Минцифры и Минпромторг и будут ожидать их оперативного индивидуального рассмотрения. А потом также синхронно направят дополнения при получении замечаний. И это только по финансовому рынку.

Так или иначе, все перечисленные проблемы взаимосвязаны с первой, самой главной. Лучший способ решить их все — выстроить равноправный и конструктивный диалог с профильным регулятором, который глубоко понимает специфику финансового рынка и может стать флагманом трансформационного процесса и помочь участникам рынка.



Нашли ошибку в тексте?

Сообщите нам! Выделите ошибочный фрагмент текста и нажмите Ctrl+Enter

Ctrl
Enter
Вернуться к списку