Государственный стандарт защиты информации финансовых организаций разработан Центробанком РФ. Новым ГОСТом будет внедрена обязательная сертификация средств защиты информации для всех компаний финансового рынка.
Для каждой поднадзорной организации предусматривается один из трех уровней защиты информации: минимальный, стандартный либо усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, ее бизнес-процессов, технологических процессов, объема финансовых операций и некоторых других особенностей.
Ключевой новеллой ГОСТа будет обязательное требование о том, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю.
Ожидается, что новый ГОСТ обсудят, и, возможно, сразу утвердят на ближайшем заседании комитета № 122, который состоится 13 апреля.
Задача, поставленная ЦБ, действительно масштабная. Для небольших микрофинансовых компаний и ломбардов новый стандарт может оказаться непосильным. Соблюдение стандарта будет во многом зависеть от проводимой сертификации уже установленного технического оборудования. Было бы неплохо сориентировать рынок на новый стандарт для вновь вводимых ИТ-решений, которые постепенно, по мере выбытия сменят старые. Никакие инновации и безопасность не должны душить бизнес.
Здесь должны присутствовать мнения и комментарии IT-специалистов, которые будут внедрять этот "ГОСТ". По моему мнению, данная инициатива, с одной стороны, хороша с точки зрения информационной безопасности банковской системы. И еще слишком короткие сроки для ее реализации. Необходимо понимать, какие меры предпримет ЦБ в случае невыполнения приведения всех мер информационной безопасности кредитной организации к данному ГОСТу. Главное, чтобы не получилось так, что это будет всего лишь очередным инструментом для отзыва лицензии. Такую инициативу необходимо внедрять планомерно, раздвигать рамки сроков исполнения и объективно подходить к оценке ее выполнения различными банковскими структурами.
Головной болью грядущий стандарт может стать в первую очередь для иностранных вендоров. У отечественных разработчиков в подавляющем числе случаев уже есть сертификаты соответствия ФСТЭК, так как без их наличия давно нельзя рассчитывать на покупку продукта государственными структурами. Учитывая количество и разнообразие аффилированных с государством организаций и подчиняющихся тем или иным законодательным нормам, рассчитывать на эффективную работу без учета требований регуляторов как минимум странно. Иностранные вендоры, рассчитывающие на значительное присутствие на рынках Российской Федерации, также в большинстве случаев уже озаботились этим вопросом и прошли сертификацию.
Новый ГОСТ является естественным продолжением последовательной политики Банка России на наведение порядка в ИБ кредитно-финансовой сферы. Базируется на положениях и рекомендациях стандарта Банка России, Приказов ФСТЭК России № 17 и № 21. Проект ГОСТа активно обсуждается уже более полугода и скорее всего будет принят ТК-122 на заседании 13 апреля. Крупные системообразующие кредитно-финансовые организации практически готовы к применению нового ГОСТа, принимать необходимые организационные и технические меры он сподвигнет только мелкие и средние организации, подпадающие под сферу регулирования Банка России. На мой взгляд, появление данного стандарта своевременно и уместно. Каким же ещё способом можно навести порядок с защитой критичной информации в микрофинансовых организациях, страховых компаниях, ломбардах и мелких банках? К оценкам и заявлениям А. Лукацкого как представителя иностранного поставщика в данной конкретной ситуации надо относиться снисходительно: бизнес транснациональных корпораций и проблемы "невозможности предоставления исходных кодов" (как правило, по вполне определённым причинам) не должны мешать защите национальных интересов и граждан России. Хотите работать на российском рынке – предоставляйте исходные коды для сертификации, как это уже более 10 лет делает транснациональная корпорация Microsoft.
Об упомянутой в преамбуле тотальной сертификации. Избыточных требований в тексте стандарта я не обнаружил даже при внимательном чтении. Каждый читатель видит в тексте не только то, что написано, но иногда немного и того, что он хотел бы видеть? Положения стандарта не выходят за рамки известных и применяемых на практике требований приказов № 17 и № 21 ФСТЭК России.