Технический комитет Банка России закончил работу над государственным стандартом защиты информации финансовых организаций. Новым ГОСТом вводится обязательная сертификация средств защиты информации для всех компаний финансового рынка, пишет «Коммерсант» со ссылкой на документ.
ГОСТом вводится дифференцированный подход при определении уровня защиты информации, который ЦБ будет присваивать каждой поднадзорной организации. Всего уровней будет три — минимальный, стандартный и усиленный. Присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов.
Однако главная новелла ГОСТа коснется всех финансовых компаний вне зависимости от присвоенного им уровня защиты информации. В приложении к документу, описывающему базовый состав мер по реализации процесса системы защиты информации, содержится требование, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Организациям, которым присвоен минимальный (третий) уровень защиты информации, необходимо будет обеспечить наличие IT-решений, сертифицированных не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), компаниям второго уровня — не ниже 5-го класса, первого уровня — не ниже 4-го класса.
Эксперты согласны, что сертификация необходима с точки зрения обеспечения доверия к инструментам защиты, однако их беспокоит, что данная норма может оказаться невыполнимой из-за ее дороговизны и особенностей российской IT-индустрии.
Один из собеседников издания сравнил финансовые затраты на выполнение требования об обязательной сертификации с затратами на выполнение «закона Яровой». Кроме того, для банковского сектора, возможно, будут введены новые нормативы резервирования, рассчитанные в зависимости от выполнения требований по информбезопасности.
Документ планируется обсудить и, возможно, утвердить на ближайшем заседании комитета, которое состоится 13 апреля. Если документ получит добро от всех профильных ведомств (ЦБ, Ростехрегулирование, Росстандарт и т. д.), на него в дальнейшем будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности.
С учетом всех официальных процедур новый ГОСТ может вступить в силу в 2019 году.
