Расширенный поиск

Центробанк России представил новый госстандарт для организации защиты информации в финансовом секторе. Новый ГОСТ вводит обязательную сертификацию средств информационной безопасности (ИБ) для всех финансовых компаний.

Согласно новому ГОСТу, который разработал и планирует внедрить Центробанк России, все средства для защиты информации в финансовом секторе должны быть сертифицированы. Также для защиты данных будет применяться дифференцированный подход, исходя из необходимого уровня информационной безопасности (ИБ), который ЦБ будет определять для каждой финансовой структуры. Уровней защиты всего предусмотрено три – минимальный, стандартный и усиленный и присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов, сообщает kommersant.ru.

Основное требование ГОСТа – все технические меры защиты информации должны иметь сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Так, финансовым организациям, которым присвоен минимальный, третий уровень защиты информации, необходимо будет обеспечить наличие ПО, сертифицированного не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), у компаний второго уровня должны применяться решения не ниже 5-го класса, а организации первого уровня должны работать с системными разработками не ниже 4-го класса.

Специалисты банковской сферы отмечают, что в целом сертификация нужна даже в качестве «обеспечения доверия к инструментам защиты». Но при этом данное нововведение может оказаться невыполнимым по техническим причинам. Свое мнение высказывает бизнес-консультант Cisco по информационной безопасности Алексей Лукацкий: «Чтобы сертифицировать программное обеспечение на 5-й и 4-й классы, необходимо предоставить исходный код средств защиты. Для многих иностранных разработчиков средств защиты, а их большинство на российском рынке, это будет непросто». Кроме того, отмечается, что в России недостаточно лабораторий, которые проверяют ПО на соответствие требованиям безопасности. Как говорит представитель одного из российских банков, «в лаборатории встанут очереди. И, скорее всего, бесконечные».

Ожидается, что 13 апреля на заседании комитета, в который входят представители регулятора, органов власти, специалисты профильных компаний, будет представлен новый госстандарт. И если документ одобрят профильные ведомства (ЦБ, Ростехрегулирование, Росстандарт и т. д.), на него в дальнейшем будет ссылаться Банк России в своих нормативных актах, которые регулируют требования к ИБ. По сути новый ГОСТ может начать применяться в 2019 году.

Ранее DR писал о проблеме обновления, аудита и сертификации банковского ПО на примере Беларуси. Все перечисленные процедуры относятся к дорогостоящим во всех странах постсоветскиго пространства, в том числе и в России. Таким образом, требования нового ГОСТа в сфере информационной безопасности обязательно станут существенным финансовым бременем для банков, или не будут выполняться.

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend
Перейти к верхней панели