Банки, а также иные финансовые организации будут обязаны позаботиться о безопасности информации. Регулятор представил новый ГОСТ для финансового рынка, который направлен на повышение защиты данных. Стандарт вводит обязательную сертификацию инструментов защиты и внедряет дифференцированный подход к определению уровня безопасности для каждой поднадзорной компании.
ГОСТ определяет три уровня безопасности: усиленный (ИТ-решения с сертификатом не менее 4-го класса), стандартный (ИТ-решения с сертификатом не ниже 5-го класса) и минимальный (ИТ-решения с сертификатом не ниже 6-го класса), пишет «Ъ». Уровень будет присваиваться с учетом ряда факторов, включая вид деятельности компании, объем финансовых операций и пр.
Кроме всего, стандарт обязывает всех участников финансового рынка получить сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Как Вы оцениваете перспективу внедрения новых стандартов информационной безопасности для финучреждений?
Основные риски несут банки, но и НФО сталкиваются со случаями незаконных транзакций, кражи персональных данных. Причем, если еще недавно финансовые компании противостояли одиночным хакерам, то сегодня часто речь идет об организованных преступных группировках в сети. Поэтому понятна озабоченность регулятора и участников рынка, желание избежать угроз, определив стандарты информационной безопасности.
Конечно, для МФО, КПК, ломбардов новые требования будут означать дополнительные затраты. Но от этого не уйти. К тому же в стандарте учли объем возможных рисков в зависимости от размера компании. А от масштаба риска зависит масштаб тех обязательных требований, которые должны исполняться.
На мой взгляд, кроме выполнения требований об обязательной сертификации технических мер защиты информации, стоит создать канал обмена данными финкомпаний по предотвращению кибер-атак. Причем, важен и положительный, и отрицательный опыт. Противостоять киберпреступности «единым фронтом» будет гораздо легче.
Как Вы оцениваете перспективу внедрения новых стандартов информационной безопасности для финучреждений?
Если Банк России за что-то берется, то как правило доводит это до конца. Другое дело, что в процессе получения одобрения в профильных ведомствах (Ростехрегулирование, Росстандарт и других) итоговый документ может сильно измениться. Я бы дождался финального варианта, а потом уже давал оценку. На данный момент опасения относительно дороговизны сертификации имеющихся решений, безусловно, оправданы. Но в некоторых случаях легче и дешевле заменить используемый продукт на ИТ-решение, уже имеющее указанные сертификаты, и это тоже будет выход из ситуации. Не стоит так же забывать, что многие организации уже используют сертифицированные решения. Они были вынуждены их внедрить в рамках работ по построению СОИБ Банка с учетом требований законодательства по защите персональных данных и обеспечению безопасности переводов денежных средств. В любом случае финансовые организации ждут дополнительные затраты. Более того, внедрение новых решений зачастую связано с возникновением сбоев в работе действующих систем. Этих проблем, к сожалению, не избежать и их придется решать.