ЦБ разрабатывает ГОСТ в сфере ИБ для банков — СМИ
Технический комитет ЦБ завершил работу над государственным стандартом в сфере информационной безопасности финансовых организаций, пишет «Коммерсант» со ссылкой на источники, знакомые с ситуацией. С учетом всех официальных процедур, новый ГОСТ может вступить в силу в 2019 году.
Новый ГОСТ, по словам одного из собеседников издания, планируется обсудить и, возможно, утвердить на ближайшем заседании комитета, в который входят представители регулятора, органов власти, специалисты профильных компаний и т.д., 13 апреля. Если документ получит добро от всех профильных ведомств (ЦБ, Ростехрегулирование, Росстандарт и т.д.), на него в дальнейшем будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности.
ГОСТом вводится дифференцированный подход при определении уровня защиты информации, которые Банк России будет присваивать для каждой поднадзорной организации. Всего уровней будет три — минимальный, стандартный и усиленный. Присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов.В приложении к документу, описывающему базовый состав мер по реализации процесса системы защиты информации, содержится требование, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК).
По словам представителя одного из крупных банков, тотальная сертификация не сможет быть проведена и из-за недостатка на рынке лабораторий, проводящих исследования программного обеспечения (ПО) на предмет соответствия требованиям безопасности. Другой собеседник указывает на то, что сертифицируется только определенная сборка ПО и при каждом обновлении системы потребуется проводить сертификацию заново.
По словам опрошенных специалистов, цена сертификации одного программного продукта обходится примерно в 3-5 миллионов рублей. В банках, к которым ранее были присоединены другие кредитные организации, может насчитываться от 10 до 50 таких ИБ-решений.
Один из собеседников издания сравнил финансовые затраты на выполнение требования об обязательной сертификации с затратами на исполнение «закона Яровой».
Кроме того, для банковского сектора, возможно, будут введены новые нормативы резервирования, рассчитанные в зависимости от исполнения требований по информбезопасности. Об этом в октябре 2016 года сообщал замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев. По его словам, банк «либо занимается безопасностью, либо он на величину риска, который у него существует, делает резервы или увеличивает уставный капитал».
В ЦБ комментариев изданию не предоставили.