ЦБ разработал ГОСТ в сфере информационной безопасности для финорганизаций

Центральный банк завершил работу над государственным стандартом защиты информации финансовых организаций. Об этом сообщает "Коммерсант" со ссылкой на источники, знакомые с ситуацией. Новым ГОСТом будет внедрена обязательная сертификация средств защиты информации для всех компаний финансового рынка. Кроме того, на новый ГОСТ ЦБ, предположительно, будет ссылаться в своих нормативных документах. Участники рынка считают, что требование об обязательной сертификации IT-защиты всех банков окажется невыполнимым из-за дороговизны и особенностей IT-индустрии в России.

Для каждой поднадзорной организации Банк России введёт один из трёх уровней защиты информации: минимальный, стандартный либо усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, её бизнес-процессов, технологических процессов, объёма финансовых операций и некоторых других особенностей.

Ключевой новеллой ГОСТа будет обязательное требование о том, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК), причём вне зависимости от присваиваемого уровня защиты. Организациям с минимальным уровнем защиты необходимо будет иметь IT-решения, сертифицированные не ниже 6-го класса, со стандартным — не ниже 5-го класса, усиленным — не ниже 4-го.

Специалисты считают, что эта норма может оказаться невыполнимой. "Чтобы сертифицировать программное обеспечение на 5-й и 4-й классы, необходимо предоставить исходный код средств защиты. Для многих иностранных разработчиков средств защиты, а их большинство на российском рынке, это будет непросто", — полагает бизнес-консультант Cisco по информационной безопасности Алексей Лукацкий. "В банках, к которым ранее были присоединены другие кредитные организации, может насчитываться от 10 до 50 таких ИТ-решений", — полагает он. Сертификация одного из решений может обойтись от 3 до 5 млн рублей, полагает один из участников рынка; представитель другого назвал затраты на сертификацию сравнимыми с затратами на "закон Яровой".

Еще один представитель одного из крупных банков считает, что тотальную сертификацию окажется невозможным провести из-за недостатка лабораторий, которые будут проводить исследования на соответствие требованиям. "В лаборатории встанут очереди. И, скорее всего, бесконечные", — полагает он.

Предполагается, что новый ГОСТ обсудят, и, возможно, сразу утвердят на ближайшем заседании комитета № 122, который состоится 13 апреля. Для того, чтобы ссылаться на документ в своих нормативно-правовых актах, ему необходимо получить одобрение от всех профильных ведомств, в частности, ЦБ, Ростехрегулирование, Росстандарт и других.

Как вы прокомментируете данное нововведение?

Алексей Сабанов, заместитель генерального директора "Аладдин Р.Д.":

Новый ГОСТ является естественным продолжением последовательной политики Банка России на наведение порядка в ИБ кредитно-финансовой сферы. Базируется на положениях и рекомендациях стандарта Банка России, Приказов ФСТЭК России № 17 и № 21. Проект ГОСТа активно обсуждается уже более полугода и скорее всего будет принят ТК-122 на заседании 13 апреля. Крупные системообразующие кредитно-финансовые организации практически готовы к применению нового ГОСТа, принимать необходимые организационные и технические меры он сподвигнет только мелкие и средние организации, подпадающие под сферу регулирования Банка России. На мой взгляд, появление данного стандарта своевременно и уместно. Каким же ещё способом можно навести порядок с защитой критичной информации в микрофинансовых организациях, страховых компаниях, ломбардах и мелких банках? К оценкам и заявлениям А. Лукацкого как представителя иностранного поставщика в данной конкретной ситуации надо относиться снисходительно: бизнес транснациональных корпораций и проблемы "невозможности предоставления исходных кодов" (как правило, по вполне определённым причинам) не должны мешать защите национальных интересов и граждан России. Хотите работать на российском рынке – предоставляйте исходные коды для сертификации, как это уже более 10 лет делает транснациональная корпорация Microsoft.

Об упомянутой в преамбуле тотальной сертификации. Избыточных требований в тексте стандарта я не обнаружил даже при внимательном чтении. Каждый читатель видит в тексте не только то, что написано, но иногда немного и того, что он хотел бы видеть? Положения стандарта не выходят за рамки известных и применяемых на практике требований приказов № 17 и № 21 ФСТЭК России.