Технический комитет Центробанка России подготовил государственный стандарт в сфере защиты информации финансовых организаций. Об этом сообщает «КоммерсантЪ» со ссылкой на осведомленные источники.
Новый ГОСТ предусматривает дифференцированный подход при определении уровня защиты информации, который регулятор будет присваивать для каждой поднадзорной организации. Всего уровней защиты три — минимальный, стандартный и усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, ее бизнес- и технологических процессов, а также от ряда других факторов.
Стандарт вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка. Одно из ключевых требований заключается в том, чтобы технические меры защиты имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК), причем вне зависимости от присвоенного уровня защиты. Компаниям с минимальным уровнем защиты необходимо будет иметь IT-решения, сертифицированные не ниже 6-го класса, со стандартным — не ниже 5-го класса, усиленным — не ниже 4-го класса.
По мнению экспертов в области IT-безопасности, данная норма может оказаться невыполнимой, так как сертифицирование ПО на 4-й и 5-й классы требует предоставление исходного кода защитных решений, что для иностранных производителей подобных средств (а их на российском рынке большинство) будет непросто. К тому же, стоимость сертификации одного программного продукта обходится порядка в 3-5 млн рублей, а в банках таких ИБ-решений может насчитываться от 10 до 50. В итоге финансовые затраты на исполнение требования об обязательной сертификации могут достичь уровня затрат на реализацию положений «закона Яровой», считает один из собеседников издания.
Обсуждение нового ГОСТа и, возможно, его утверждение, состоится на заседании комитета №122, которое запланировано на 13 апреля. Если стандарт будет одобрен всеми профильными ведомствами (ЦБ, Ростехрегулирование, Росстандарт и пр.), в дальнейшем на него будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. Предположительно, новый ГОСТ может вступить в силу в 2019 году.
-
Никита Нецкин
Руководитель направления по работе с финансовым сектором, Актив
ГОСТ базируется на стандартах Банка России, первый из которых вышел в свет более 10 лет назад.
ЦБ постоянно актуализирует и совершенствует свои нормативные документы в тесном сотрудничестве с банковским сообществом. Благодаря открытому диалогу, выстроенному ЦБ, я не ожидаю сюрпризов в новом ГОСТ, учитывая вышесказанное, и то, что действующие стандарты ЦБ приняло к исполнению 511 финансовых организаций.
Регулятор не предпринимает неожиданных и непредсказуемых шагов. О желании перевести стандарт ЦБ в ГОСТ говорили еще 5 лет назад, но после диалога с банками решено было отложить. В 2015 году регулятор вернулся к этой идеи и весьма своевременно. Денежные потоки все стремительней уходят в онлайн, за три года число счетов с дистанционным доступом выросло более чем на 70%. Что в свою очередь, привлекает внимание преступного сообщества.
Издержки банковского сектора должны быть минимальны, в случае добросовестного исполнения стандартов ЦБ. Важно не забывать, что согласно российскому законодательству соблюдение ГОСТ является добровольным, за исключением принятых для оборонной продукции и защиты сведений, составляющих государственную тайну. Ожидаю, что у банков будет достаточно времени на оценку всех рисков и затрат, связанных с исполнением ГОСТ.
Комментарии остальных экспертов доступны в полной версии статьи на сайте SecurityLab.