Финансовая защита по ГОСТу. ЦБ разработал стандарт в сфере информационной безопасности

Как стало известно Ъ», ЦБ закончил работу над государственным стандартом защиты информации финансовых организаций. На данный документ ЦБ будет ссылаться в своих нормативных актах, регулирующих требования к информационной безопасности. Новым ГОСТом вводится обязательная сертификация средств защиты информации для всех компаний финансового рынка. Участники рынка считают, что требование тотальной сертификации невыполнимо из-за его дороговизны и особенностей российской IT-индустрии.

О том, что технический комитет ЦБ завершил работу над государственным стандартом в сфере информационной безопасности финансовых организаций (есть в распоряжении «Ъ»), сообщили источники «Ъ», знакомые с ситуацией. Новый ГОСТ, по словам одного из собеседников «Ъ», планируется обсудить и, возможно, утвердить на ближайшем заседании комитета (комитет N122, в который входят представители регулятора, органов власти, специалисты профильных компаний и т. д.), которое состоится 13 апреля. Если документ получит добро от всех профильных ведомств (ЦБ, Ростехрегулирование, Росстандарт и т. д.), на него в дальнейшем будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. С учетом всех официальных процедур новый ГОСТ может вступить в силу в 2019 году.

ГОСТом вводится дифференцированный подход при определении уровня защиты информации, которые Банк России будет присваивать для каждой поднадзорной организации. Всего уровней будет три — минимальный, стандартный и усиленный. Присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов.

Однако главная новелла ГОСТа коснется всех финансовых компаний вне зависимости от присвоенного им уровня защиты информации. В приложении к документу, описывающему базовый состав мер по реализации процесса системы защиты информации, содержится требование, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Организациям, которым присвоен минимальный, третий уровень защиты информации, необходимо будет обеспечить наличие IT-решений, сертифицированных не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), компаниям второго уровня — не ниже 5-го класса, организациям первого уровня — не ниже 4-го класса. «Сертификация, безусловно, необходима с точки зрения обеспечения доверия к инструментам защиты»,— считает руководитель направления по работе с финансовым сектором компании «Актив» Никита Нецкин.

С ним соглашаются и другие опрошенные «Ъ» специалисты по IT-безопасности, однако их беспокоит, что данная норма может оказаться невыполнимой. «Чтобы сертифицировать программное обеспечение на 5-й и 4-й классы, необходимо предоставить исходный код средств защиты. Для многих иностранных разработчиков средств защиты, а их большинство на российском рынке, это будет непросто»,— говорит бизнес-консультант Cisco по информационной безопасности Алексей Лукацкий. По словам представителя одного из крупных банков, тотальная сертификация не сможет быть проведена и из-за недостатка на рынке лабораторий, проводящих исследования программного обеспечения (ПО) на предмет соответствия требованиям безопасности. «В лаборатории встанут очереди. И, скорее всего, бесконечные»,— сетует он. Другой собеседник «Ъ» указывает на то, что сертифицируется только определенная сборка ПО и при каждом обновлении системы потребуется проводить сертификацию заново. По словам господина Нецкина, на данный момент нет возможности оперативно обновлять сертифицированные продукты, что критично для сетевых экранов и антивирусов. Впрочем, говорит он, сейчас ФСТЭК активно работает над созданием сертифицированных систем с возможностью оперативного устранения уязвимостей.

По словам опрошенных специалистов, цена сертификации одного программного продукта обходится примерно в 3-5 млн руб. «В банках, к которым ранее были присоединены другие кредитные организации, может насчитываться от 10 до 50 таких ИБ-решений»,— говорит господин Лукацкий. Один из собеседников «Ъ» сравнил финансовые затраты на выполнение требования об обязательной сертификации с затратами на исполнение «закона Яровой».

Артем Сычев, заменачальника главного управления безопасности и защиты информации ЦБ, октябрь 2016 года

Если банк не считает важным для себя заниматься регулированием операционного риска, частью которого является риск ухудшения информационной безопасности, тогда банк должен за это платить

Кроме того, для банковского сектора, возможно, будут введены новые нормативы резервирования, рассчитанные в зависимости от исполнения требований по информбезопасности. Об этом в октябре 2016 года сообщал замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев. По его словам, банк «либо занимается безопасностью, либо он на величину риска, который у него существует, делает резервы или увеличивает уставный капитал». В ЦБ вчера комментариев не предоставили.

Обзор нового ГОСТа ЦБ по защите информации

Поймал себя на мысли, что уходящий декабрь был очень активен в части выпуска различных нормативных актов и их проектов и я просто упустил из ввиду, что я не написал про проект нового ГОСТа Банка России по информационной безопасности, который, в соответствии с ранее озвученными планами, должен стать обязательным. Решил исправить сие досадное недоразумение и пробежаться по проекту нового ГОСТа. В него возможно еще будут вноситься изменения, но ключевые положения останутся неизменными.

Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.

Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.

Стандарт определяет три уровня защиты информации:

  • уровень 3 – минимальный
  • уровень 2 – стандартный
  • уровень 1 – усиленный.

Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:

  • вида деятельности финансовой организации,
  • состава реализуемых бизнес-процессов и (или) технологических процессов
  • объема финансовых операций
  • размера организации
  • отнесения финансовой организации к категории малых предприятий и микропредприятий
  • значимости финансовой организации для финансового рынка и национальной платежной системы.

  • Область применения, нормативные ссылки, термины и определения, сокращения, назначение и структура стандарта
  • Общие положения
  • Требования к системе защиты информации
  • Требования к организации и управлению защитой информации
  • Требования по защите информации на этапах жизненного цикла автоматизированных систем
  • Приложение А – Модель угроз и нарушителей
  • Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
  • Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа

И вновь обращаю ваше внимание на 3-5 пункты. Если СТО БР ИББС состоял из множества документов, то новый ГОСТ один. Поэтому все требования по ИБ включены в один документ, но разбиты на 3 большие части — сами меры защиты, меры по управлению и требования к жизненному циклу.

Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):

  • Обеспечение защиты информации при управлении доступом
    • управление учетными записями и правами субъектов логического доступа
    • идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа
    • защита информации при осуществлении физического доступа
    • идентификация, классификация и учет ресурсов и объектов доступа
  • Обеспечение защиты вычислительных сетей
    • сегментация и межсетевое экранирование вычислительных сетей
    • выявление сетевых вторжений и атак
    • защита информации, передаваемой по вычислительным сетям
    • защита беспроводных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Антивирусная защита
  • Предотвращение утечек информации, защита машинных носителей информации (МНИ)
  • Управление инцидентами защиты информации
    • мониторинг и анализ событий защиты информации
    • обнаружение инцидентов защиты информации и реагирование на них
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
Это интересно:  Ст. 393 ГПК РФ новая редакция. Комментарий и судебная практика

Фрагмент блока требований по управлению доступом

Блок управления состоит из четырех компонентов:

  • Планирование системы защиты информации
  • Реализация системы защиты информации
  • Контроль реализация системы защиты информации
  • Совершенствование реализация системы защиты информации.

Фрагмент блока требований к планированию системы защиты информации

Ну и блок требований к жизненному циклу защиты информации:

Фрагмент блока требований к жизненному циклу

Вот такая картина получается. Достаточно гибкий подход, как мне кажется. И ни слова про оценку соответствия или отправку в ГУБЗИ ее результатов. Правда, пока неясной (для меня) остается судьба самого СТО БР ИББС. Там остаются документы, положения которых не вошли и врядли войдут в состав нового ГОСТа. Например, свежий СТО 1.3 по сбору доказательств для расследования инцидентов. Возможно из них сделают то, что называется «рекомендация по стандартизации» с соответствующей их регистрацией в Росстандарте (как это сделано в ТК26). Посмотрим.

ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.

ЦБ РФ разработал ГОСТ в сфере ИБ для финорганизаций

Новый стандарт вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка.

Технический комитет Центробанка России подготовил государственный стандарт в сфере защиты информации финансовых организаций. Об этом сообщает «КоммерсантЪ» со ссылкой на осведомленные источники.

Новый ГОСТ предусматривает дифференцированный подход при определении уровня защиты информации, который регулятор будет присваивать для каждой поднадзорной организации. Всего уровней защиты три — минимальный, стандартный и усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, ее бизнес- и технологических процессов, а также от ряда других факторов.

Стандарт вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка. Одно из ключевых требований заключается в том, чтобы технические меры защиты имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК), причем вне зависимости от присвоенного уровня защиты. Компаниям с минимальным уровнем защиты необходимо будет иметь IT-решения, сертифицированные не ниже 6-го класса, со стандартным — не ниже 5-го класса, усиленным — не ниже 4-го класса.

По мнению экспертов в области IT-безопасности, данная норма может оказаться невыполнимой, так как сертифицирование ПО на 4-й и 5-й классы требует предоставление исходного кода защитных решений, что для иностранных производителей подобных средств (а их на российском рынке большинство) будет непросто. К тому же, стоимость сертификации одного программного продукта обходится порядка в 3-5 млн рублей, а в банках таких ИБ-решений может насчитываться от 10 до 50. В итоге финансовые затраты на исполнение требования об обязательной сертификации могут достичь уровня затрат на реализацию положений «закона Яровой», считает один из собеседников издания.

Обсуждение нового ГОСТа и, возможно, его утверждение, состоится на заседании комитета №122, которое запланировано на 13 апреля. Если стандарт будет одобрен всеми профильными ведомствами (ЦБ, Ростехрегулирование, Росстандарт и пр.), в дальнейшем на него будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. Предположительно, новый ГОСТ может вступить в силу в 2019 году.

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»

Создание такого стандарта всегда было на повестке дня, поскольку СТО БР ИББС, хоть и был принят в большинстве банков, но все же носил характер рекомендуемого. От внедрения стандарта в текущей редакции выиграют российские производители средств защиты информации и системные интеграторы. Уверен, что будет дан срок не меньше года, чтобы банки могли подготовиться к смене имеющихся средств защиты информации на сертифицированные, а также западным вендорам на процедуру сертификации.

Стоит также обратить внимание на то, что имевшиеся различия в подходе к обеспечению ИБ со стороны регулятора и реальных потребностей в ИБ стираются, появляются требования к проведению пентестов, даются определения современным угрозам в области ИБ на уровне стандарта. Наконец, применяется риск-ориентированный подход, основанный на международном опыте и предполагающий баланс между стоимостью средств защиты и потенциальными потерями от реализации угроз.

Дмитрий Попович, директор по маркетингу Cezurity*

Эта инициатива не имеет прямого отношения к реальной защите: контролировать нужно результат, а не формальное соблюдение требований, тем самым снимая ответственность с банков. Ответственность нужно нести за инциденты, а не за отсутствие нужной справки. Для этого, очевидно, инциденты должны становиться достоянием общественности и ЦБ должен обязать все банки сообщать об атаках.

Сегодня многим компаниям просто нецелесообразно заниматься сертификацией своих решений: она не окупается. Решений много, сертифицировать нужно каждое, причем каждую версию, а объем продаж каждого отдельного решения у большинства вендоров невелик. Для того, чтобы окупить сертификацию конкретного продукта, объем продаж данного конкретного продукта должен составлять несколько миллионов $.

Допустим, что банки действительно обяжут покупать только сертифицированное ПО. Но как именно ЦБ будет контролировать закупку не сертифицированного? В случае с государственными организациями такой инструмент есть — нецелевое расходование средств. А в случае с банками его, скорее всего, нет.

Никита Нецкин, руководитель направления по работе с финансовым сектором компании «Актив»

ГОСТ базируется на стандартах Банка России, первый из которых вышел в свет более 10 лет назад.

ЦБ постоянно актуализирует и совершенствует свои нормативные документы в тесном сотрудничестве с банковским сообществом. Благодаря открытому диалогу, выстроенному ЦБ, я не ожидаю сюрпризов в новом ГОСТ, учитывая вышесказанное, и то, что действующие стандарты ЦБ приняло к исполнению 511 финансовых организаций.

Регулятор не предпринимает неожиданных и непредсказуемых шагов. О желании перевести стандарт ЦБ в ГОСТ говорили еще 5 лет назад, но после диалога с банками решено было отложить. В 2015 году регулятор вернулся к этой идеи и весьма своевременно. Денежные потоки все стремительней уходят в онлайн, за три года число счетов с дистанционным доступом выросло более чем на 70%. Что в свою очередь, привлекает внимание преступного сообщества.

Издержки банковского сектора должны быть минимальны, в случае добросовестного исполнения стандартов ЦБ. Важно не забывать, что согласно российскому законодательству соблюдение ГОСТ является добровольным, за исключением принятых для оборонной продукции и защиты сведений, составляющих государственную тайну. Ожидаю, что у банков будет достаточно времени на оценку всех рисков и затрат, связанных с исполнением ГОСТ.

Александр Бычков, директор департамента информационных технологий сети «Многофункциональных банковских офисов» и «Геобанка»

Обязательная сертификация информационных систем банков лишь серьёзно увеличит расходы банков, что, в свою очередь, отразится на тарифах и ставках для клиентов. При этом с технической точки зрения банки не получат каких-либо преимуществ в сфере ИБ. Особенно пострадают розничные банки, которые обладают большим количеством информационных систем, которые придётся сертифицировать. Отсутствие достаточного количества органов сертификации и прозрачных правил, а также большие сроки прохождения данной процедуры делают абсолютно невозможным сертификацию всех информационных систем в разумное время. Также остаётся открытым вопрос про сертификацию изменений в информационных системах банков, особенно в том случае, если у банка существует собственная разработка ПО. Новый стандарт Банка России лишь затруднит и значительно повысит стоимость развития банковской инфраструктуры и инновационных банковских продуктов. Любой банк крайне тщательно заботится об информационной безопасности, и обязанность использовать сертифицированные средства лишь создаёт ещё один бюррократический барьер для развития банковского сектора.

Это интересно:  Что такое ситуационный план земельного участка для электросетей

От внедрения нового стандарта выиграют органы сертификации и аффилированные с ними разработчики программно-аппаратных средств, у которых не будет существенных проблем и задержек в получении сертификатов. Данное обстоятельство ограничит конкуренцию на рынке IT-продуктов для банковского сектора.

Председатель правления Риабанка Борис Липкин

Регулятор уже не один год говорит о необходимости введения такого стандарта. Безусловно, для этого есть объективная причина – лавинообразный рост мошеннических операций в банковской сфере, который фиксируется в последние годы и в России и в мире.

Прекрасно, что стандарт планируется обсудить со всеми профильными ведомствами (Ростехрегулирование, Росстандарт и пр.), но хотелось бы, чтобы не было забыто и банковское сообщество, в том числе некрупные банки.

В отношении сроков вступления в силу стандартов (предположительно это 2019 год) у меня есть сомнения в том, что к этому времени будут готовы соответствовать ГОСТу не только банки, но и инфраструктура — органы сертификации, разработчики программно-аппаратных средств и т. п.
Что касается дополнительных расходов, то, конечно, они будет немалыми, причем у розничных банков на порядок выше, чем у корпоративных, ведь стоимость сертификации одного программного решения составляет несколько миллионов рублей, а в розничных банках количество таких решений может доходить до полусотни.

Алексей Сабанов, заместитель генерального директора, «Аладдин Р.Д.»

Новый ГОСТ является естественным продолжением последовательной политики Банка России на наведение порядка в ИБ кредитно-финансовой сферы. Базируется на положениях и рекомендациях стандарта Банка России, Приказов ФСТЭК России № 17 и № 21. Проект ГОСТа активно обсуждается уже более полугода и скорее всего будет принят ТК-122 на заседании 13 апреля. Крупные системообразующие кредитно-финансовые организации практически готовы к применению нового ГОСТа, принимать необходимые организационные и технические меры он сподвигнет только мелкие и средние организации, подпадающие под сферу регулирования Банка России. На мой взгляд, появление данного стандарта своевременно и уместно. Каким же ещё способом можно навести порядок с защитой критичной информации в микрофинансовых организациях, страховых компаниях, ломбардах и мелких банках? К оценкам и заявлениям А. Лукацкого как представителя иностранного поставщика в данной конкретной ситуации надо относиться снисходительно: бизнес транснациональных корпораций и проблемы «невозможности предоставления исходных кодов» (как правило, по вполне определённым причинам) не должны мешать защите национальных интересов и граждан России. Хотите работать на российском рынке – предоставляйте исходные коды для сертификации, как это уже более 10 лет делает транснациональная корпорация Microsoft.

Об упомянутой в преамбуле тотальной сертификации. Избыточных требований в тексте стандарта я не обнаружил даже при внимательном чтении. Каждый читатель видит в тексте не только то, что написано, но иногда немного и того, что он хотел бы видеть? Положения стандарта не выходят за рамки известных и применяемых на практике требований приказов № 17 и № 21 ФСТЭК России.

Илья Шаленков, старший менеджер группы по оказанию услуг в области управления информационными рисками КПМГ в России и СНГ

Центральный банк — один из передовых регуляторов, поднимающий вопросы информационной безопасности для подведомственных организаций на уровень, отвечающий современным вызовам. Перевод требований на уровень национального стандарта — еще один шаг в этом направлении. Как и любое требование регулятора, исполнение нового стандарта потребует от организаций финансового сектора дополнительных усилий и затрат. Документ, который должен стать ГОСТом, еще не прошел процедуру одобрения во всех требуемых инстанциях, поэтому давать оценки еще рано. Однако вектор требований по информационной безопасности мегарегулятора достаточно адекватно отражает положения международных стандартов в этой области. Нужно понимать, что цель всех подобных инициатив — повысить общий уровень информационной безопасности финансовой сферы, что, в свою очередь, способствует защищенности пользователей услуг финансовых организаций.

Центробанк вводит обязательную сертификацию средств защиты информации

Новый ГОСТ, разработанный Центробаноком предусматривает дифференцированный подход при определении уровня защиты информации, который регулятор будет присваивать для каждой поднадзорной организации, а также вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка.

Технический комитет Центробанка России подготовил государственный стандарт в сфере защиты информации финансовых организаций. Об этом сообщает «КоммерсантЪ» со ссылкой на осведомленные источники.

Новый ГОСТ предусматривает дифференцированный подход при определении уровня защиты информации, который регулятор будет присваивать для каждой поднадзорной организации.

Всего уровней защиты три — минимальный, стандартный и усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, ее бизнес- и технологических процессов, а также от ряда других факторов.

Стандарт вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка.

Одно из ключевых требований заключается в том, чтобы технические меры защиты имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК), причем вне зависимости от присвоенного уровня защиты. Компаниям с минимальным уровнем защиты необходимо будет иметь IT-решения, сертифицированные не ниже 6-го класса, со стандартным — не ниже 5-го класса, усиленным — не ниже 4-го класса.

По мнению экспертов в области IT-безопасности, данная норма может оказаться невыполнимой, так как сертифицирование ПО на 4-й и 5-й классы требует предоставление исходного кода защитных решений, что для иностранных производителей подобных средств (а их на российском рынке большинство) будет непросто. К тому же, стоимость сертификации одного программного продукта обходится порядка в 3-5 млн рублей, а в банках таких ИБ-решений может насчитываться от 10 до 50. В итоге финансовые затраты на исполнение требования об обязательной сертификации могут достичь уровня затрат на реализацию положений «закона Яровой», считает один из собеседников издания.

Обсуждение нового ГОСТа и, возможно, его утверждение, состоится на заседании комитета №122, которое запланировано на 13 апреля. Если стандарт будет одобрен всеми профильными ведомствами (ЦБ, Ростехрегулирование, Росстандарт и пр.), в дальнейшем на него будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. Предположительно, новый ГОСТ может вступить в силу в 2019 году.

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»
Создание такого стандарта всегда было на повестке дня, поскольку СТО БР ИББС, хоть и был принят в большинстве банков, но все же носил характер рекомендуемого. От внедрения стандарта в текущей редакции выиграют российские производители средств защиты информации и системные интеграторы. Уверен, что будет дан срок не меньше года, чтобы банки могли подготовиться к смене имеющихся средств защиты информации на сертифицированные, а также западным вендорам на процедуру сертификации.
Стоит также обратить внимание на то, что имевшиеся различия в подходе к обеспечению ИБ со стороны регулятора и реальных потребностей в ИБ стираются, появляются требования к проведению пентестов, даются определения современным угрозам в области ИБ на уровне стандарта. Наконец, применяется риск-ориентированный подход, основанный на международном опыте и предполагающий баланс между стоимостью средств защиты и потенциальными потерями от реализации угроз.

Дмитрий Попович, директор по маркетингу Cezurity*
Эта инициатива не имеет прямого отношения к реальной защите: контролировать нужно результат, а не формальное соблюдение требований, тем самым снимая ответственность с банков. Ответственность нужно нести за инциденты, а не за отсутствие нужной справки. Для этого, очевидно, инциденты должны становиться достоянием общественности и ЦБ должен обязать все банки сообщать об атаках.
Сегодня многим компаниям просто нецелесообразно заниматься сертификацией своих решений: она не окупается. Решений много, сертифицировать нужно каждое, причем каждую версию, а объем продаж каждого отдельного решения у большинства вендоров невелик. Для того, чтобы окупить сертификацию конкретного продукта, объем продаж данного конкретного продукта должен составлять несколько миллионов $.
Допустим, что банки действительно обяжут покупать только сертифицированное ПО. Но как именно ЦБ будет контролировать закупку не сертифицированного? В случае с государственными организациями такой инструмент есть — нецелевое расходование средств. А в случае с банками его, скорее всего, нет.

Никита Нецкин, руководитель направления по работе с финансовым сектором компании «Актив»
ГОСТ базируется на стандартах Банка России, первый из которых вышел в свет более 10 лет назад.
ЦБ постоянно актуализирует и совершенствует свои нормативные документы в тесном сотрудничестве с банковским сообществом. Благодаря открытому диалогу, выстроенному ЦБ, я не ожидаю сюрпризов в новом ГОСТ, учитывая вышесказанное, и то, что действующие стандарты ЦБ приняло к исполнению 511 финансовых организаций.

Регулятор не предпринимает неожиданных и непредсказуемых шагов. О желании перевести стандарт ЦБ в ГОСТ говорили еще 5 лет назад, но после диалога с банками решено было отложить. В 2015 году регулятор вернулся к этой идеи и весьма своевременно. Денежные потоки все стремительней уходят в онлайн, за три года число счетов с дистанционным доступом выросло более чем на 70%. Что в свою очередь, привлекает внимание преступного сообщества.

Издержки банковского сектора должны быть минимальны, в случае добросовестного исполнения стандартов ЦБ. Важно не забывать, что согласно российскому законодательству соблюдение ГОСТ является добровольным, за исключением принятых для оборонной продукции и защиты сведений, составляющих государственную тайну. Ожидаю, что у банков будет достаточно времени на оценку всех рисков и затрат, связанных с исполнением ГОСТ.

Александр Бычков, директор департамента информационных технологий сети «Многофункциональных банковских офисов» и «Геобанка»
Обязательная сертификация информационных систем банков лишь серьёзно увеличит расходы банков, что, в свою очередь, отразится на тарифах и ставках для клиентов. При этом с технической точки зрения банки не получат каких-либо преимуществ в сфере ИБ. Особенно пострадают розничные банки, которые обладают большим количеством информационных систем, которые придётся сертифицировать. Отсутствие достаточного количества органов сертификации и прозрачных правил, а также большие сроки прохождения данной процедуры делают абсолютно невозможным сертификацию всех информационных систем в разумное время. Также остаётся открытым вопрос про сертификацию изменений в информационных системах банков, особенно в том случае, если у банка существует собственная разработка ПО. Новый стандарт Банка России лишь затруднит и значительно повысит стоимость развития банковской инфраструктуры и инновационных банковских продуктов. Любой банк крайне тщательно заботится об информационной безопасности, и обязанность использовать сертифицированные средства лишь создаёт ещё один бюррократический барьер для развития банковского сектора.
От внедрения нового стандарта выиграют органы сертификации и аффилированные с ними разработчики программно-аппаратных средств, у которых не будет существенных проблем и задержек в получении сертификатов. Данное обстоятельство ограничит конкуренцию на рынке IT-продуктов для банковского сектора.

Председатель правления Риабанка Борис Липкин
Регулятор уже не один год говорит о необходимости введения такого стандарта. Безусловно, для этого есть объективная причина – лавинообразный рост мошеннических операций в банковской сфере, который фиксируется в последние годы и в России и в мире.
Прекрасно, что стандарт планируется обсудить со всеми профильными ведомствами (Ростехрегулирование, Росстандарт и пр.), но хотелось бы, чтобы не было забыто и банковское сообщество, в том числе некрупные банки.
В отношении сроков вступления в силу стандартов (предположительно это 2019 год) у меня есть сомнения в том, что к этому времени будут готовы соответствовать ГОСТу не только банки, но и инфраструктура — органы сертификации, разработчики программно-аппаратных средств и т. п.
Что касается дополнительных расходов, то, конечно, они будет немалыми, причем у розничных банков на порядок выше, чем у корпоративных, ведь стоимость сертификации одного программного решения составляет несколько миллионов рублей, а в розничных банках количество таких решений может доходить до полусотни.

Алексей Сабанов, заместитель генерального директора, «Аладдин Р.Д.»
Новый ГОСТ является естественным продолжением последовательной политики Банка России на наведение порядка в ИБ кредитно-финансовой сферы. Базируется на положениях и рекомендациях стандарта Банка России, Приказов ФСТЭК России № 17 и № 21. Проект ГОСТа активно обсуждается уже более полугода и скорее всего будет принят ТК-122 на заседании 13 апреля. Крупные системообразующие кредитно-финансовые организации практически готовы к применению нового ГОСТа, принимать необходимые организационные и технические меры он сподвигнет только мелкие и средние организации, подпадающие под сферу регулирования Банка России. На мой взгляд, появление данного стандарта своевременно и уместно. Каким же ещё способом можно навести порядок с защитой критичной информации в микрофинансовых организациях, страховых компаниях, ломбардах и мелких банках? К оценкам и заявлениям А. Лукацкого как представителя иностранного поставщика в данной конкретной ситуации надо относиться снисходительно: бизнес транснациональных корпораций и проблемы «невозможности предоставления исходных кодов» (как правило, по вполне определённым причинам) не должны мешать защите национальных интересов и граждан России. Хотите работать на российском рынке – предоставляйте исходные коды для сертификации, как это уже более 10 лет делает транснациональная корпорация Microsoft.
Об упомянутой в преамбуле тотальной сертификации. Избыточных требований в тексте стандарта я не обнаружил даже при внимательном чтении. Каждый читатель видит в тексте не только то, что написано, но иногда немного и того, что он хотел бы видеть? Положения стандарта не выходят за рамки известных и применяемых на практике требований приказов № 17 и № 21 ФСТЭК России.

Илья Шаленков, старший менеджер группы по оказанию услуг в области управления информационными рисками КПМГ в России и СНГ
Центральный банк — один из передовых регуляторов, поднимающий вопросы информационной безопасности для подведомственных организаций на уровень, отвечающий современным вызовам. Перевод требований на уровень национального стандарта — еще один шаг в этом направлении. Как и любое требование регулятора, исполнение нового стандарта потребует от организаций финансового сектора дополнительных усилий и затрат. Документ, который должен стать ГОСТом, еще не прошел процедуру одобрения во всех требуемых инстанциях, поэтому давать оценки еще рано. Однако вектор требований по информационной безопасности мегарегулятора достаточно адекватно отражает положения международных стандартов в этой области. Нужно понимать, что цель всех подобных инициатив — повысить общий уровень информационной безопасности финансовой сферы, что, в свою очередь, способствует защищенности пользователей услуг финансовых организаций.

Это интересно:  СТАТЬЯ 105. Разделение рабочего дня на части - Пенсиолог

Статья написана по материалам сайтов: bis-expert.ru, www.securitylab.ru, www.securitymedia.ru.

»

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий

Adblock
detector