Банки противились новым мерам, но ЦБ РФ настаивает на требовании о подтверждении соответствия госстандарту любого обновления ПО в спецлабораториях – с отсрочкой на год. В течение этого год штрафы банкам не грозят.
Есть мнение, что банки почти наверняка попробуют использовать эту отсрочку, чтобы убедить регулятора в своей способности обеспечить защищённость без привлечения сторонних лабораторий.
Обсуждения методического документа с требованиями к оценке соответствия банковского ПО государственным стандартам прошли на прошлой неделе на заседании Технического комитета №122. В его разработке приняли участие представители крупных банков, МФБ и НРД, сотрудничавших в рамках рабочей группы.
Некоторые из положений не могут принять даже сами разработчики из крупных банков, среди которых Сбербанк, ВТБ и Газпромбанк. Оценка соответствия ПО госстандартам с привлечением спецлабораторий, скорость работы которых вызывает нарекания – одно из возможных новшеств в нормативных требованиях. Некоторые банки достаточно часто обновляют использующиеся программные продукты и приложения, ввиду чего сторонняя оценка обновлений в каждом случае только замедлит деятельность.
ВТБ отмечает устаревший характер ГОСТа, который был разработан до повсеместного внедрения сегодняшнего гибкого подхода к разработке мобильных приложений. Директор департамента Московской биржи Сергей Демидов по этому поводу добавил, что ГОСТ разрабатывался в первую очередь для стационарных компьютеров и к мобильным устройствам подходит плохо.
Документ всё же был принят после предложения замглавы департамента ИБ ЦБ Артёма Сычёва провести голосование. Методологию начнут внедрять, однако Артём Сычёв пообещал отсутствие штрафов для банков в первый год внедрения.
Сычёв также допускает, что за этот год будут внесены какие-то изменения, которые сделают необязательным подтверждение соответствия ПО госстандарту у сторонних организаций – для этого потребуется обеспечить надёжность оценки собственными силами банков.
.png)