Банк России завершил работу над государственным стандартом защиты информации финансовых организаций. Новым ГОСТом будет внедрена обязательная сертификация средств защиты информации для всех компаний финансового рынка. Кроме того, на новый ГОСТ ЦБ, предположительно, будет ссылаться в своих нормативных документах.
Участники рынка считают, что требование об обязательной сертификации IT-защиты всех банков окажется невыполнимым из-за дороговизны и особенностей IT-индустрии в России.
Для каждой поднадзорной организации Банк России введет один из трех уровней защиты информации: минимальный, стандартный либо усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, ее бизнес-процессов, технологических процессов, объема финансовых операций и некоторых других особенностей.
Ключевой новеллой ГОСТа будет обязательное требование о том, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК), причем вне зависимости от присваиваемого уровня защиты. Организациям с минимальным уровнем защиты необходимо будет иметь IT-решения, сертифицированные не ниже 6-го класса, со стандартным — не ниже 5-го класса, усиленным — не ниже 4-го.
Специалисты считают, что эта норма может оказаться невыполнимой. «Чтобы сертифицировать программное обеспечение на 5-й и 4-й классы, необходимо предоставить исходный код средств защиты. Для многих иностранных разработчиков средств защиты, а их большинство на российском рынке, это будет непросто», — полагает бизнес-консультант Cisco по информационной безопасности Алексей Лукацкий. «В банках, к которым ранее были присоединены другие кредитные организации, может насчитываться от 10 до 50 таких ИТ-решений», — полагает он. Сертификация одного из решений может обойтись от 3 до 5 млн рублей, полагает один из участников рынка; представитель другого назвал затраты на сертификацию сравнимыми с затратами на «закон Яровой».
Еще один представитель одного из крупных банков считает, что тотальную сертификацию окажется невозможным провести из-за недостатка лабораторий, которые будут проводить исследования на соответствие требованиям. «В лаборатории встанут очереди. И, скорее всего, бесконечные», — полагает он.
Предполагается, что новый ГОСТ обсудят, и, возможно, сразу утвердят на ближайшем заседании комитета № 122, который состоится 13 апреля. Для того, чтобы ссылаться на документ в своих нормативно-правовых актах, ему необходимо получить одобрение от всех профильных ведомств, в частности, ЦБ, Ростехрегулирование, Росстандарт и других.
Участники рынка считают, что требование об обязательной сертификации IT-защиты всех банков окажется невыполнимым из-за дороговизны и особенностей IT-индустрии в России.
Для каждой поднадзорной организации Банк России введет один из трех уровней защиты информации: минимальный, стандартный либо усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, ее бизнес-процессов, технологических процессов, объема финансовых операций и некоторых других особенностей.
Ключевой новеллой ГОСТа будет обязательное требование о том, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК), причем вне зависимости от присваиваемого уровня защиты. Организациям с минимальным уровнем защиты необходимо будет иметь IT-решения, сертифицированные не ниже 6-го класса, со стандартным — не ниже 5-го класса, усиленным — не ниже 4-го.
Специалисты считают, что эта норма может оказаться невыполнимой. «Чтобы сертифицировать программное обеспечение на 5-й и 4-й классы, необходимо предоставить исходный код средств защиты. Для многих иностранных разработчиков средств защиты, а их большинство на российском рынке, это будет непросто», — полагает бизнес-консультант Cisco по информационной безопасности Алексей Лукацкий. «В банках, к которым ранее были присоединены другие кредитные организации, может насчитываться от 10 до 50 таких ИТ-решений», — полагает он. Сертификация одного из решений может обойтись от 3 до 5 млн рублей, полагает один из участников рынка; представитель другого назвал затраты на сертификацию сравнимыми с затратами на «закон Яровой».
Еще один представитель одного из крупных банков считает, что тотальную сертификацию окажется невозможным провести из-за недостатка лабораторий, которые будут проводить исследования на соответствие требованиям. «В лаборатории встанут очереди. И, скорее всего, бесконечные», — полагает он.
Предполагается, что новый ГОСТ обсудят, и, возможно, сразу утвердят на ближайшем заседании комитета № 122, который состоится 13 апреля. Для того, чтобы ссылаться на документ в своих нормативно-правовых актах, ему необходимо получить одобрение от всех профильных ведомств, в частности, ЦБ, Ростехрегулирование, Росстандарт и других.
