Как стало известно "Ъ", ЦБ закончил работу над государственным стандартом защиты информации финансовых организаций. На данный документ ЦБ будет ссылаться в своих нормативных актах, регулирующих требования к информационной безопасности. Новым ГОСТом вводится обязательная сертификация средств защиты информации для всех компаний финансового рынка. Участники рынка считают, что требование тотальной сертификации невыполнимо из-за его дороговизны и особенностей российской IT-индустрии.
О том, что технический комитет ЦБ завершил работу над государственным стандартом в сфере информационной безопасности финансовых организаций (есть в распоряжении "Ъ"), сообщили источники "Ъ", знакомые с ситуацией. Новый ГОСТ, по словам одного из собеседников "Ъ", планируется обсудить и, возможно, утвердить на ближайшем заседании комитета (комитет N122, в который входят представители регулятора, органов власти, специалисты профильных компаний и т. д.), которое состоится 13 апреля. Если документ получит добро от всех профильных ведомств (ЦБ, Ростехрегулирование, Росстандарт и т. д.), на него в дальнейшем будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. С учетом всех официальных процедур новый ГОСТ может вступить в силу в 2019 году.
Однако главная новелла ГОСТа коснется всех финансовых компаний вне зависимости от присвоенного им уровня защиты информации. В приложении к документу, описывающему базовый состав мер по реализации процесса системы защиты информации, содержится требование, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Организациям, которым присвоен минимальный, третий уровень защиты информации, необходимо будет обеспечить наличие IT-решений, сертифицированных не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), компаниям второго уровня — не ниже 5-го класса, организациям первого уровня — не ниже 4-го класса. "Сертификация, безусловно, необходима с точки зрения обеспечения доверия к инструментам защиты",— считает руководитель направления по работе с финансовым сектором компании "Актив" Никита Нецкин.
С ним соглашаются и другие опрошенные "Ъ" специалисты по IT-безопасности, однако их беспокоит, что данная норма может оказаться невыполнимой. "Чтобы сертифицировать программное обеспечение на 5-й и 4-й классы, необходимо предоставить исходный код средств защиты. Для многих иностранных разработчиков средств защиты, а их большинство на российском рынке, это будет непросто",— говорит бизнес-консультант Cisco по информационной безопасности Алексей Лукацкий. По словам представителя одного из крупных банков, тотальная сертификация не сможет быть проведена и из-за недостатка на рынке лабораторий, проводящих исследования программного обеспечения (ПО) на предмет соответствия требованиям безопасности. "В лаборатории встанут очереди. И, скорее всего, бесконечные",— сетует он. Другой собеседник "Ъ" указывает на то, что сертифицируется только определенная сборка ПО и при каждом обновлении системы потребуется проводить сертификацию заново. По словам господина Нецкина, на данный момент нет возможности оперативно обновлять сертифицированные продукты, что критично для сетевых экранов и антивирусов. Впрочем, говорит он, сейчас ФСТЭК активно работает над созданием сертифицированных систем с возможностью оперативного устранения уязвимостей.
По словам опрошенных специалистов, цена сертификации одного программного продукта обходится примерно в 3-5 млн руб. "В банках, к которым ранее были присоединены другие кредитные организации, может насчитываться от 10 до 50 таких ИБ-решений",— говорит господин Лукацкий. Один из собеседников "Ъ" сравнил финансовые затраты на выполнение требования об обязательной сертификации с затратами на исполнение "закона Яровой".
Артем Сычев, заменачальника главного управления безопасности и защиты информации ЦБ, октябрь 2016 года
Если банк не считает важным для себя заниматься регулированием операционного риска, частью которого является риск ухудшения информационной безопасности, тогда банк должен за это платить
Кроме того, для банковского сектора, возможно, будут введены новые нормативы резервирования, рассчитанные в зависимости от исполнения требований по информбезопасности. Об этом в октябре 2016 года сообщал замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев. По его словам, банк "либо занимается безопасностью, либо он на величину риска, который у него существует, делает резервы или увеличивает уставный капитал". В ЦБ вчера комментариев не предоставили.