Мария Поспелова: "Опыт категорирования ПО ломбардов: категорирование и информационная безопасность - это не пакет документов, который можно купить и спать спокойно"

10 апреля СРО Ассоциация развития ломбардов провела вебинар по категорированию объектов критической информационной инфраструктуры ломбарда, рассказали о порядке проведения процедуры категорирования, рассмотрели обязательный пакет документов для начала процедуры (предоставлен членам СРО в раздатке) и порядок определения объектов и заполнения обязательных сведений, направляемых во ФСТЭК, а также рассмотрели порядок выбора контрагентов для помощи в проведении процедуры категорирования.

В целом видим ряд тенденций на рынке ломбардов. Например к категорированию быстрее всех приступили сети ломбардов от 5 до 60 точек выдачи (в среднем определяют у себя до 3 объектов КИИ), чем показали, что для них важна стабильность и отсутствие административных рисков, повышенное внимание.

Ряд ломбардов начал с началом категорирования столкнулись с рядом проблем:

a. Облачные недорогие решения, используемые ломбардами не предоставляют информацию о соответствии требованиям закона и перекладывают ответственность на ломбарды, которые не могут достоверно оценить такие программы. Дальнейший вывод очевиден - экономия без анализа безопасности своих данных, данных своих систем не может быть экономичной. На сегодня на рынке существует по меньшей мере одно защищенное облако, соответствующее всем требованиям, которое разработала структура Ростелекома - "Облако КИИ".

b. Количество программ, которые нужно анализировать при категорировании оказалось больше, чем ожидалось. Цифровизация отдельных процессов, связанных с основной деятельностью, желание не потерять своих клиентов привело к накоплению разных программ, которые не всегда имеют продуманную систему защиты.

c. Категорирование и информационная безопасность - это не пакет документов, который можно купить и спать спокойно. Кроме документов нужно настраивать бизнес процессы и перестраивать существующие. В ином случае пакет документов не защитит при проверках.

На рынке оказалось крайне мало специалистов в области информационной безопасности, в том числе в финансовой сфере, что приводит к крайне высокой стоимости их услуг - услуга категорирования 1 объекта по рынку стоит 1 млн рублей (прим. автора - и это не бесполезный пакет документов – по которому вы опять же принимаете на себя, не глядя, повышенные соцобязательства в области информационной безопасности) и к очередям.

Не зря на категорирование объектов КИИ давали год полноценной работы, потому что в текущих условиях, когда все нужно было сделать еще вчера, сейчас ломбард либо рискует физически (информационными данными) и административно либо ищет способ провести категорирование. При этом второй вариант, возможно, сложнее потому что-либо как ЕПС и ОСБУ осваивать информационную безопасность придется самостоятельно либо стоять в очереди к тем, кто может помочь с индивидуальным процессом категорирования.

Читайте также: О категорировании программ ломбардов по новым требованиям 💍 читайте «Ювелир и закон» в Telegram иВК