Новые правила для микрофинансовых организаций в 2024 году: как оставаться на плаву

Автор: Екатерина Витенбург, Старший консультант по информационной безопасности, Б-152

В 2024 году микрофинансовые организации (МФО) и микрокредитные компании (МКК) столкнутся с серьезными изменениями в законодательстве. Регуляторы ужесточают требования к защите информации и персональных данных в сфере микрофинансирования. Несоблюдение новых правил может привести к крупным штрафам, оттоку клиентов и даже исключению из государственного реестра. Игнорировать грядущие перемены - опасно для бизнеса.

В этой публикации расскажем, как привести деятельность микрофинансовых институтов к требованиям Банка России, Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ). Вы узнаете о новых законах, рисках, сроках и конкретных шагах для подготовки к проверкам 2024 года. Цель - помочь МФО и МКК пережить это турбулентное время с минимальными потерями.

Что такое МФО и МКК, чем они отличаются

Микрофинансовые организации (МФО) и микрокредитные компании (МКК) относятся к категории некредитных финансовых институтов. Основное их отличие в том, что МФО могут привлекать средства индивидуальных предпринимателей и юридических лиц, не являющихся их учредителями. А МКК не имеют такой возможности - они не имеют права привлекать деньги физических и юридических лиц, кроме своих учредителей (участников, акционеров).

Но требования по защите информации и персональных данных клиентов распространяются в равной степени на МФО и на МКК. Поэтому дальнейшие законодательные новшества касаются обеих категорий микрофинансовых институтов.

Какие законы регулируют деятельность МФО и МКК в сфере информационной безопасности

Деятельность МФО и МКК относительно защиты данных регулируется сразу несколькими законами и подзаконными актами. Базовым является Федеральный закон № 151-ФЗ "О микрофинансовой деятельности и микрофинансовых организациях".

Также важен Федеральный закон No 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", который определяет МФО и МКК как некредитные финансовые организации (НКО). Соответственно, им предписано выполнять требования статьи 76:

• соблюдать нормы по защите критической информационной инфраструктуры (КИИ);

• проводить импортозамещение технических средств обработки данных и ПО;

• защищать свои системы хранения и обработки информации от несанкционированного доступа и утечек.

Кроме того, МФО и МКК должны следовать подзаконным актам, принятым Банком России:

• Положение № 757-П об обязательных для НФО требованиях к защите информации;

• Положение № 779-П об обязательных для НФО требованиях к операционной надежности.

Положение No 757-П ссылается на требования по защите персональных данных согласно ФЗ-152 и приказу ФСТЭК No21.

Грядущие изменения законодательства для МФО и МКК в 2024 году

Изменения в ФЗ-151 по обработке обращений

В феврале 2024 года вступили в силу поправки в Федеральный закон № 151-ФЗ, касающиеся обработки обращений граждан (новая статья 9.1). Это первые серьезные изменения законодательства для МФО и МКК в 2024 году.

Введение минимального уровня защиты информации

Самые масштабные новшества связаны с ужесточением требований по защите информации. С 1 октября 2024 года МФО и МКК должны будут обеспечить минимальный уровень защиты данных. Проект соответствующих изменений уже прошел рассмотрение и в ближайшее время вступит в силу.

Хотя ГОСТ 57580.1 определяет минимальный уровень защиты и содержит всего 114 требований, на практике его выполнение потребует соблюдения еще целого ряда сложных нормативов, в частности Положение Банка России № 779-П об обеспечении операционной надежности НФО.

Новые требования Положения Банка России № 757-П

Положение Банка России No 757-П претерпит значительные изменения, вступающие в силу с 1 октября 2024 года. Согласно им, МФО и МКК обязаны будут обеспечить соответствие стандарту ГОСТ Р 57580.1-2017, который устанавливает минимальные требования к защите информации. Также всем МФО и МКК придется ежегодно тестировать свои информационные системы на проникновение и проводить анализ уязвимостей.

Необходимость следовать ГОСТам

В дополнение к выполнению требований ГОСТ Р 57580.1, МФО и МКК предстоит разработать план реализации ГОСТ Р 57580.4 по обеспечению операционной надежности. Этот план должен быть внедрен до 31 декабря 2027 года в соответствии с методическими рекомендациями Банка России № 7-МР от 21.03.2024.

Контроль со стороны регуляторов

Невыполнение новых требований по защите информации чревато серьезными последствиями для МФО и МКК. Контроль за соблюдением законодательства будет ужесточен со стороны сразу нескольких регуляторов.

Банк России наделен полномочиями проводить плановые и внеплановые проверки микрофинансовых институтов. Инспекции могут осуществляться в том числе дистанционно с использованием информационно-коммуникационных технологий. Одним из поводов для внеплановой проверки МФО и МКК является поступление жалоб от клиентов.

Не стоит забывать и о Роскомнадзоре. Несмотря на мораторий на плановые проверки, ведомство продолжает проводить контрольные мероприятия без взаимодействия с организациями. Кроме того, Роскомнадзор осуществляет внеплановые проверки в случае утечек персональных данных или поступления жалоб от граждан. Сайты МФО и МКК также проверяются на соответствие требованиям ФЗ-152 о персональных данных.

Игнорировать требования регуляторов - рискованная стратегия в 2024 году.

Риски несоблюдения требований

Репутационные риски

Несоблюдение требований по защите информации может нанести серьезный удар по репутации МФО или МКК. В первую очередь, следует ожидать негативных отзывов клиентов, столкнувшихся с утечками персональных данных или перебоями в работе. Это вызовет недоверие к организации и отток существующих клиентов.

Любые инциденты в сфере информационной безопасности будут освещены в новостных сводках и социальных сетях. Такой негативный публичный резонанс серьезно ухудшит репутацию микрофинансового института.

Юридические риски

Юридические риски связаны с прямыми денежными издержками вследствие нарушения законодательных норм.

Во-первых, Банк России по итогам проверок будет выставлять предписания об устранении нарушений, неисполнение которых грозит крупными штрафами.

Во-вторых, клиенты, пострадавшие от утечек данных или некачественного оказания услуг из-за сбоев в инфосистемах, будут требовать компенсации через суд. МФО и МКК придется возмещать нанесенный гражданам ущерб.

В наихудшем случае, если выявленные нарушения окажутся серьезными, Банк России может исключить микрофинансовую организацию из государственного реестра.

Технические и операционные риски

Технические или операционные риски связаны с воздействием кибератак и угроз информационной безопасности на деятельность МФО и МКК. Самые распространенные сценарии - ограничение или блокировка доступа к данным и информационным системам, искажение или удаление информации.

Кибератака может привести к частичной или полной остановке бизнес-процессов, простою сотрудников. Также есть риски провалов со стороны подрядчиков и контрагентов, ставших жертвами хакеров. Все это приводит к невозможности оказания услуг клиентам и прямым финансовым потерям.

Стратегические риски

Технические сбои и отсутствие должного уровня защиты информации поставят под угрозу дальнейшее существование МФО или МКК как таковой. При выявлении серьезных нарушений Банк России может приостановить деятельность микрофинансового института. А при рецидивах - исключить организацию из государственного реестра.

Рекомендуемый план действий для МФО и МКК

Список первоочередных шагов, которые необходимо предпринять МФО и МКК для подготовки к новым требованиям:

1. Определить актуальные угрозы безопасности информации, с которыми сталкивается организация. Это поможет сфокусироваться на самых важных рисках.

2. Сформировать список мер защиты, которые нейтрализуют выявленные угрозы и обеспечат соответствие требованиям регуляторов.

3. Подготовить план внедрения мер защиты, учитывая:

• Величину рисков, которые несут различные угрозы;

• Стоимость реализации каждой меры защиты.

4. Составить план по импортозамещению оборудования и программного обеспечения согласно ст. 76.1 ФЗ-86.

5. Если планируется подключение к Единой биометрической системе, Единой системе идентификации и аутентификации или Системе межведомственного электронного взаимодействия - изучить дополнительные требования безопасности.

6. Согласовать бюджеты на реализацию плана. Финансовые затраты будут существенными.

7. Определить ресурсы для администрирования систем защиты после их внедрения.

8. Провести категорирование информационных систем в соответствии с ФЗ-187 "О безопасности КИИ". Возможно, придется выполнять его требования.

Дорожная карта приведения системы защиты к новым требованиям

1. Провести инвентаризацию всех информационно-технологических (IT) активов компании - оборудования, программного обеспечения и информационных систем. Сформировать полный перечень используемых ИС.

2. Провести аудит существующих мер защиты для каждой информационной системы. Оценить, соответствуют ли они требованиям в зависимости от назначения ИС и типа обрабатываемых в ней данных.

3. По результатам аудита сформировать план устранения любых несоответствий требованиям. Расставить приоритеты исходя из рисков, связанных с каждым несоответствием.

4. Провести моделирование актуальных угроз информационной безопасности согласно методике ФСТЭК от 2021 года. При этом учесть специфические требования Банка России к модели угроз.

5. Определить необходимые меры безопасности для:

• Нейтрализации выявленных угроз;

• Выполнения требований по уровню защиты информации;

• Обеспечения требуемого уровня защищенности персональных данных.

6. Определить дополнительные меры для обеспечения операционной надежности систем согласно Положению Банка России № 779-П.

7. Для каждой меры защиты определить, какие технические средства и организационные процессы необходимо внедрить. Использовать рекомендации ГОСТов 57580.1 и 57580.4.

8. Внедрить все предусмотренные технические средства защиты и организационные меры. Провести обучение персонала и проверку знаний по ИБ.

9. После внедрения провести оценку эффективности мер защиты персональных данных и защиты значимых объектов критической информационной инфраструктуры (если применимо).

10. Провести тестирование на проникновение (пентест). Это можно совместить с оценкой эффективности на предыдущем шаге.

11. Для МФО, предоставляющих онлайн-займы - провести оценку уровня доверия (ОУД 4) используемого прикладного ПО.

12. Сформировать и реализовать план внедрения ГОСТ 57580.4 по управлению операционной надежностью согласно методическим рекомендациям Банка России. Срок - до 31 декабря 2027 года.

13. Выстроить процессы реагирования на инциденты информационной безопасности и взаимодействия с ФинЦЕРТ Банка России.

Следуя этому поэтапному плану, МФО и МКК смогут комплексно подготовиться к новым требованиям регуляторов в области информационной безопасности.

Заключение

Новые требования Банка России, ФСТЭК, которые станут обязательными для исполнения в 2024 году, приведут к серьезным изменениям в области информационной безопасности для микрофинансовых организаций и компаний.

Подготовка к этим переменам - непростая, но важная задача, которая потребует значительных финансовых вложений и человеческих ресурсов. Этот переход необходим для обеспечения бесперебойной работы МФО и МКК, а также для защиты данных клиентов от утечек и компьютерных атак.

Следуя изложенному в статье плану действий, можно своевременно привести информационные системы организации в соответствие с обновленными нормативами. Не стоит откладывать подготовку "на потом". Компании-лицензиаты ФСТЭК обладают необходимыми компетенциями и опытом реализации подобных проектов и будут рады оказать содействие.

Своевременное выполнение требований регуляторов обезопасит МФО и МКК от рисков юридической, репутационной и финансовой ответственности. Более того, это повысит уровень кибербезопасности, сохранит конфиденциальность данных и обеспечит бесперебойную работу бизнеса. В новой реальности соблюдение правил информационной безопасности станет залогом стабильности и процветания микрофинансового сектора.