ЦБ РФ разработал ГОСТ в сфере ИБ для финорганизаций

Новый стандарт вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка.

Технический комитет Центробанка России подготовил государственный стандарт в сфере защиты информации финансовых организаций. Об этом сообщает «КоммерсантЪ» со ссылкой на осведомленные источники.

Новый ГОСТ предусматривает дифференцированный подход при определении уровня защиты информации, который регулятор будет присваивать для каждой поднадзорной организации. Всего уровней защиты три - минимальный, стандартный и усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, ее бизнес- и технологических процессов, а также от ряда других факторов.

Стандарт вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка. Одно из ключевых требований заключается в том, чтобы технические меры защиты имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК), причем вне зависимости от присвоенного уровня защиты. Компаниям с минимальным уровнем защиты необходимо будет иметь IT-решения, сертифицированные не ниже 6-го класса, со стандартным - не ниже 5-го класса, усиленным - не ниже 4-го класса.

По мнению экспертов в области IT-безопасности, данная норма может оказаться невыполнимой, так как сертифицирование ПО на 4-й и 5-й классы требует предоставление исходного кода защитных решений, что для иностранных производителей подобных средств (а их на российском рынке большинство) будет непросто. К тому же, стоимость сертификации одного программного продукта обходится порядка в 3-5 млн рублей, а в банках таких ИБ-решений может насчитываться от 10 до 50. В итоге финансовые затраты на исполнение требования об обязательной сертификации могут достичь уровня затрат на реализацию положений «закона Яровой», считает один из собеседников издания.

Обсуждение нового ГОСТа и, возможно, его утверждение, состоится на заседании комитета №122, которое запланировано на 13 апреля. Если стандарт будет одобрен всеми профильными ведомствами (ЦБ, Ростехрегулирование, Росстандарт и пр.), в дальнейшем на него будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. Предположительно, новый ГОСТ может вступить в силу в 2019 году.

                                       

Оцените новость: 
Средняя: 2.6 (50 оценки)