Программы обновятся в лабораториях
Банки согласились на требования ЦБ по безопасности
Несмотря на активные протесты банкиров, ЦБ настоял на принятии методики, требующей каждое обновление программного обеспечения или приложений подтверждать в специализированной лаборатории. Новый документ по информационной безопасности может лишить банки и другие финансовые организации возможности оперативно вводить новые услуги и сервисы для клиентов. Однако участники рынка получили год на введение норм, в течение которого ЦБ не будет наказывать за их неисполнение. За это время игроки рассчитывают убедить регулятора в своей способности поддерживать нужный уровень информбезопасности без привлечения сторонних специалистов.
В конце прошлой недели прошло заседание Технического комитета 122 с участием финансовых организаций и ЦБ, на котором рассматривался основной методический документ («Профиль защиты…»), описывающий требования к разработке и оценке соответствия ГОСТу программного обеспечения (ПО) и мобильных приложений банков и некредитных финансовых организаций — прежде всего для минимизации и устранения угроз и рисков информационной безопасности. Документ подготовлен в рамках рабочей группы, куда вошли представители нескольких крупных банков, Московской биржи и Национального расчетного депозитария. По словам присутствовавшего на заседании заместителя главы ГК «Программный продукт» Тимура Аитова, за два месяца обсуждения документа внесено около 400 предложений по изменениям, но самые спорные нормы, против которых протестовали банкиры, сохранились.
По словам нескольких источников “Ъ”, присутствовавших на заседании, против документа выступали крупнейшие из тех, кто сами разрабатывают приложения: Сбербанк, ВТБ, Дойче-банк, Газпромбанк, Московская биржа и ряд других.
В частности, по словам участников встречи, бизнес-партнер по информационной безопасности Сбербанка Иван Янсон утверждал, что «Профиль защиты…» требует оценивать соответствие ГОСТу с привлечением специализированных лабораторий, которые работают крайне медленно. Между тем Сбербанк ежеквартально проводит серьезные обновления приложений, раз в две недели — технические, и каждый раз проверять соответствие с привлечением сторонних специалистов — это серьезная проблема из-за сроков внедрения новаций.
В ВТБ пояснили “Ъ”, что «подобные документы нельзя рассматривать отдельно от практики их использования, "Профиль защиты…" основан на ГОСТе, который появился до применяемой сейчас практики гибкой методологии разработки мобильных приложений». Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергей Демидов добавил, что «документ сохранил свое распространение на мобильные устройства, хотя специфика требований в первую очередь относится к стационарным ПК, поэтому часть требований организации не смогут соблюдать чисто технически».
В Банке России от комментариев по поводу «Профиля защиты…» и его дальнейшей судьбы отказались. В Сбербанке, Газпромбанке, Дойче-банке не ответили на запрос “Ъ”.
По словам директора практики по кибербезопасности и непрерывности бизнеса EY Романа Чаплыгина, «перед введением столь сложных и жестких технических требований правильнее было бы сначала провести технические испытания в качестве пилота и уже после этого раскатывать проект на всю финансовую систему». Однако, как рассказывают участники встречи, после предложения первого замглавы департамента информационной безопасности ЦБ Артема Сычева поименно проголосовать против документа большинством голосов он был утвержден.
В то же время господин Сычев пообещал, что в первый год финансовые организации не будут привлекаться к ответственности за его неисполнение. Также он согласился дать возможность рабочей группе доработать документ, чтобы подтверждать соответствие собственных разработок можно было без сторонних специалистов. В ВТБ считают, что если ЦБ инициирует «активную и открытую работу организаций финансовой сферы с этим документом, "Профиль защиты.." будет иметь все шансы стать рабочим и позволит облегчить, а не утяжелить процессы обеспечения безопасности при разработке банковского ПО».