05.04.2017

ЦБ РФ разработал ГОСТ в сфере ИБ для финорганизаций

Интернет-портал securitylab.ru, апрель, 2017<br>
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

Новый стандарт вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка.

Технический комитет Центробанка России подготовил государственный стандарт в сфере защиты информации финансовых организаций. Об этом сообщает "КоммерсантЪ" со ссылкой на осведомлённые источники.

Новый ГОСТ предусматривает дифференцированный подход при определении уровня защиты информации, который регулятор будет присваивать для каждой поднадзорной организации. Всего уровней защиты три - минимальный, стандартный и усиленный. Присваиваемый уровень будет зависеть от вида деятельности организации, её бизнес- и технологических процессов, а также от ряда других факторов.

Стандарт вводит обязательную сертификацию средств защиты информации для всех компаний финансового рынка. Одно из ключевых требований заключается в том, чтобы технические меры защиты имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК), причём вне зависимости от присвоенного уровня защиты. Компаниям с минимальным уровнем защиты необходимо будет иметь IT-решения, сертифицированные не ниже 6-го класса, со стандартным - не ниже 5-го класса, усиленным - не ниже 4-го класса.

По мнению экспертов в области IT-безопасности, данная норма может оказаться невыполнимой, так как сертифицирование ПО на 4-й и 5-й классы требует предоставление исходного кода защитных решений, что для иностранных производителей подобных средств (а их на российском рынке большинство) будет непросто. К тому же, стоимость сертификации одного программного продукта обходится порядка в 3-5 млн рублей, а в банках таких ИБ-решений может насчитываться от 10 до 50. В итоге финансовые затраты на исполнение требования об обязательной сертификации могут достичь уровня затрат на реализацию положений "закона Яровой", считает один из собеседников издания.

Обсуждение нового ГОСТа и, возможно, его утверждение, состоится на заседании комитета №122, которое запланировано на 13 апреля. Если стандарт будет одобрен всеми профильными ведомствами (ЦБ, Ростехрегулирование, Росстандарт и пр.), в дальнейшем на него будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. Предположительно, новый ГОСТ может вступить в силу в 2019 году.

Яков Гродзенский, руководитель направления информационной безопасности компании "Системный софт"

Создание такого стандарта всегда было на повестке дня, поскольку СТО БР ИББС, хоть и был принят в большинстве банков, но все же носил характер рекомендуемого. От внедрения стандарта в текущей редакции выиграют российские производители средств защиты информации и системные интеграторы. Уверен, что будет дан срок не меньше года, чтобы банки могли подготовиться к смене имеющихся средств защиты информации на сертифицированные, а также западным вендорам на процедуру сертификации.

Стоит также обратить внимание на то, что имевшиеся различия в подходе к обеспечению ИБ со стороны регулятора и реальных потребностей в ИБ стираются, появляются требования к проведению пентестов, даются определения современным угрозам в области ИБ на уровне стандарта. Наконец, применяется риск-ориентированный подход, основанный на международном опыте и предполагающий баланс между стоимостью средств защиты и потенциальными потерями от реализации угроз.

Дмитрий Попович, директор по маркетингу Cezurity*

Эта инициатива не имеет прямого отношения к реальной защите: контролировать нужно результат, а не формальное соблюдение требований, тем самым снимая ответственность с банков. Ответственность нужно нести за инциденты, а не за отсутствие нужной справки. Для этого, очевидно, инциденты должны становиться достоянием общественности и ЦБ должен обязать все банки сообщать об атаках.

Сегодня многим компаниям просто нецелесообразно заниматься сертификацией своих решений: она не окупается. Решений много, сертифицировать нужно каждое, причём каждую версию, а объем продаж каждого отдельного решения у большинства вендоров невелик. Для того, чтобы окупить сертификацию конкретного продукта, объем продаж данного конкретного продукта должен составлять несколько миллионов $.

Допустим, что банки действительно обяжут покупать только сертифицированное ПО. Но как именно ЦБ будет контролировать закупку не сертифицированного? В случае с государственными организациями такой инструмент есть - нецелевое расходование средств. А в случае с банками его, скорее всего, нет.

Никита Нецкин, руководитель направления по работе с финансовым сектором компании "Актив"

ГОСТ базируется на стандартах Банка России, первый из которых вышел в свет более 10 лет назад.

ЦБ постоянно актуализирует и совершенствует свои нормативные документы в тесном сотрудничестве с банковским сообществом. Благодаря открытому диалогу, выстроенному ЦБ, я не ожидаю сюрпризов в новом ГОСТ, учитывая вышесказанное, и то, что действующие стандарты ЦБ приняло к исполнению 511 финансовых организаций.

Регулятор не предпринимает неожиданных и непредсказуемых шагов. О желании перевести стандарт ЦБ в ГОСТ говорили ещё 5 лет назад, но после диалога с банками решено было отложить. В 2015 году регулятор вернулся к этой идеи и весьма своевременно. Денежные потоки все стремительней уходят в онлайн, за три года число счетов с дистанционным доступом выросло более чем на 70%. Что в свою очередь, привлекает внимание преступного сообщества.

Издержки банковского сектора должны быть минимальны, в случае добросовестного исполнения стандартов ЦБ. Важно не забывать, что согласно российскому законодательству соблюдение ГОСТ является добровольным, за исключением принятых для оборонной продукции и защиты сведений, составляющих государственную тайну. Ожидаю, что у банков будет достаточно времени на оценку всех рисков и затрат, связанных с исполнением ГОСТ.

Александр Бычков, директор департамента информационных технологий сети "Многофункциональных банковских офисов" и "Геобанка"

Обязательная сертификация информационных систем банков лишь серьёзно увеличит расходы банков, что, в свою очередь, отразится на тарифах и ставках для клиентов. При этом с технической точки зрения банки не получат каких-либо преимуществ в сфере ИБ. Особенно пострадают розничные банки, которые обладают большим количеством информационных систем, которые придётся сертифицировать. Отсутствие достаточного количества органов сертификации и прозрачных правил, а также большие сроки прохождения данной процедуры делают абсолютно невозможным сертификацию всех информационных систем в разумное время. Также остаётся открытым вопрос про сертификацию изменений в информационных системах банков, особенно в том случае, если у банка существует собственная разработка ПО. Новый стандарт Банка России лишь затруднит и значительно повысит стоимость развития банковской инфраструктуры и инновационных банковских продуктов. Любой банк крайне тщательно заботится об информационной безопасности, и обязанность использовать сертифицированные средства лишь создаёт ещё один бюррократический барьер для развития банковского сектора.

От внедрения нового стандарта выиграют органы сертификации и аффилированные с ними разработчики программно-аппаратных средств, у которых не будет существенных проблем и задержек в получении сертификатов. Данное обстоятельство ограничит конкуренцию на рынке IT-продуктов для банковского сектора.

Председатель правления Риабанка Борис Липкин

Регулятор уже не один год говорит о необходимости введения такого стандарта. Безусловно, для этого есть объективная причина – лавинообразный рост мошеннических операций в банковской сфере, который фиксируется в последние годы и в России и в мире.

Прекрасно, что стандарт планируется обсудить со всеми профильными ведомствами (Ростехрегулирование, Росстандарт и пр.), но хотелось бы, чтобы не было забыто и банковское сообщество, в том числе некрупные банки.

В отношении сроков вступления в силу стандартов (предположительно это 2019 год) у меня есть сомнения в том, что к этому времени будут готовы соответствовать ГОСТу не только банки, но и инфраструктура - органы сертификации, разработчики программно-аппаратных средств и т. п.

Что касается дополнительных расходов, то, конечно, они будет немалыми, причём у розничных банков на порядок выше, чем у корпоративных, ведь стоимость сертификации одного программного решения составляет несколько миллионов рублей, а в розничных банках количество таких решений может доходить до полусотни.

Алексей Сабанов, заместитель генерального директора, "Аладдин Р.Д."

Новый ГОСТ является естественным продолжением последовательной политики Банка России на наведение порядка в ИБ кредитно-финансовой сферы. Базируется на положениях и рекомендациях стандарта Банка России, Приказов ФСТЭК России № 17 и № 21. Проект ГОСТа активно обсуждается уже более полугода и скорее всего будет принят ТК-122 на заседании 13 апреля. Крупные системообразующие кредитно-финансовые организации практически готовы к применению нового ГОСТа, принимать необходимые организационные и технические меры он сподвигнет только мелкие и средние организации, подпадающие под сферу регулирования Банка России. На мой взгляд, появление данного стандарта своевременно и уместно. Каким же ещё способом можно навести порядок с защитой критичной информации в микрофинансовых организациях, страховых компаниях, ломбардах и мелких банках? К оценкам и заявлениям А. Лукацкого как представителя иностранного поставщика в данной конкретной ситуации надо относиться снисходительно: бизнес транснациональных корпораций и проблемы "невозможности предоставления исходных кодов" (как правило, по вполне определённым причинам) не должны мешать защите национальных интересов и граждан России. Хотите работать на российском рынке – предоставляйте исходные коды для сертификации, как это уже более 10 лет делает транснациональная корпорация Microsoft.

Об упомянутой в преамбуле тотальной сертификации. Избыточных требований в тексте стандарта я не обнаружил даже при внимательном чтении. Каждый читатель видит в тексте не только то, что написано, но иногда немного и того, что он хотел бы видеть? Положения стандарта не выходят за рамки известных и применяемых на практике требований приказов № 17 и № 21 ФСТЭК России.

Илья Шаленков, старший менеджер группы по оказанию услуг в области управления информационными рисками КПМГ в России и СНГ

Центральный банк - один из передовых регуляторов, поднимающий вопросы информационной безопасности для подведомственных организаций на уровень, отвечающий современным вызовам. Перевод требований на уровень национального стандарта - ещё один шаг в этом направлении. Как и любое требование регулятора, исполнение нового стандарта потребует от организаций финансового сектора дополнительных усилий и затрат. Документ, который должен стать ГОСТом, ещё не прошёл процедуру одобрения во всех требуемых инстанциях, поэтому давать оценки ещё рано. Однако вектор требований по информационной безопасности мегарегулятора достаточно адекватно отражает положения международных стандартов в этой области. Нужно понимать, что цель всех подобных инициатив - повысить общий уровень информационной безопасности финансовой сферы, что, в свою очередь, способствует защищённости пользователей услуг финансовых организаций.