Финансовая защита по Госту

Как стало известно "Ъ", ЦБ закончил работу над государственным стандартом защиты информации финансовых организаций. На данный документ ЦБ будет ссылаться в своих нормативных актах, регулирующих требования к информационной безопасности. Новым ГОСТом вводится обязательная сертификация средств защиты информации для всех компаний финансового рынка. Участники рынка считают, что требование тотальной сертификации невыполнимо из-за его дороговизны и особенностей российской IT-индустрии. О том, что технический комитет ЦБ завершил работу над государственным стандартом в сфере информационной безопасности финансовых организаций (есть в распоряжении "Ъ"), сообщили источники "Ъ", знакомые с ситуацией. Новый ГОСТ, по словам одного из собеседников "Ъ", планируется обсудить и, возможно, утвердить на ближайшем заседании комитета (комитет N122, в который входят представители регулятора, органов власти, специалисты профильных компаний и т. д.), которое состоится 13 апреля. Если документ получит добро от всех профильных ведомств (ЦБ, Ростехрегулирование, Росстандарт и т. д.), на него в дальнейшем будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. С учетом всех официальных процедур новый ГОСТ может вступить в силу в 2019 году. ГОСТом вводится дифференцированный подход при определении уровня защиты информации, которые Банк России будет присваивать для каждой поднадзорной организации. Всего уровней будет три -- минимальный, стандартный и усиленный. Присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов. Однако главная новелла ГОСТа коснется всех финансовых компаний вне зависимости от присвоенного им уровня защиты информации. В приложении к документу, описывающему базовый состав мер по реализации процесса системы защиты информации, содержится требование, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Организациям, которым присвоен минимальный, третий уровень защиты информации, необходимо будет обеспечить наличие IT-решений, сертифицированных не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), компаниям второго уровня -- не ниже 5-го класса, организациям первого уровня -- не ниже 4-го класса. "Сертификация, безусловно, необходима с точки зрения обеспечения доверия к инструментам защиты",-- считает руководитель направления по работе с финансовым сектором компании "Актив" Никита Нецкин. С ним соглашаются и другие опрошенные "Ъ" специалисты по IT-безопасности, однако их беспокоит, что данная норма может оказаться невыполнимой. "Чтобы сертифицировать программное обеспечение на 5-й и 4-й классы, необходимо предоставить исходный код средств защиты. Для многих иностранных разработчиков средств защиты, а их большинство на российском рынке, это будет непросто",-- говорит бизнес-консультант Cisco по информационной безопасности Алексей Лукацкий. По словам представителя одного из крупных банков, тотальная сертификация не сможет быть проведена и из-за недостатка на рынке лабораторий, проводящих исследования программного обеспечения (ПО) на предмет соответствия требованиям безопасности. "В лаборатории встанут очереди. И, скорее всего, бесконечные",-- сетует он. Другой собеседник "Ъ" указывает на то, что сертифицируется только определенная сборка ПО и при каждом обновлении системы потребуется проводить сертификацию заново. По словам господина Нецкина, на данный момент нет возможности оперативно обновлять сертифицированные продукты, что критично для сетевых экранов и антивирусов. Впрочем, говорит он, сейчас ФСТЭК активно работает над созданием сертифицированных систем с возможностью оперативного устранения уязвимостей. По словам опрошенных специалистов, цена сертификации одного программного продукта обходится примерно в 3-5 млн руб. "В банках, к которым ранее были присоединены другие кредитные организации, может насчитываться от 10 до 50 таких ИБ-решений",-- говорит господин Лукацкий. Один из собеседников "Ъ" сравнил финансовые затраты на выполнение требования об обязательной сертификации с затратами на исполнение "закона Яровой". Кроме того, для банковского сектора, возможно, будут введены новые нормативы резервирования, рассчитанные в зависимости от исполнения требований по информбезопасности. Об этом в октябре 2016 года сообщал замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев. По его словам, банк "либо занимается безопасностью, либо он на величину риска, который у него существует, делает резервы или увеличивает уставный капитал". В ЦБ вчера комментариев не предоставили.