Новости
Финансовая защита по ГОСТуВсе новости

Финансовая защита по ГОСТу

Как стало известно "Коммерсанту", ЦБ закончил работу над государственным стандартом защиты информации финансовых организаций. Новым ГОСТом вводится обязательная сертификация средств защиты информации для всех компаний финансового рынка. Участники рынка считают, что требование тотальной сертификации невыполнимо из-за его дороговизны и особенностей российской IT-индустрии.

Если новый ГОСТ получит добро от всех профильных ведомств (ЦБ, Ростехрегулирование, Росстандарт и т.д.), на него в дальнейшем будет ссылаться Банк России в своих нормативных актах, регулирующих требования к информационной безопасности. С учетом всех официальных процедур новый ГОСТ может вступить в силу в 2019 году.

ГОСТом вводится дифференцированный подход при определении уровня защиты информации, которые Банк России будет присваивать для каждой поднадзорной организации. Всего уровней будет три - минимальный, стандартный и усиленный. Присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов.

Однако главная новелла ГОСТа коснется всех финансовых компаний вне зависимости от присвоенного им уровня защиты информации. В приложении к документу, описывающему базовый состав мер по реализации процесса системы защиты информации, содержится требование, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Организациям, которым присвоен минимальный, третий уровень защиты информации, необходимо будет обеспечить наличие IT-решений, сертифицированных не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), компаниям второго уровня - не ниже 5-го класса, организациям первого уровня - не ниже 4-го класса.

Специалисты по IT-безопасности высказывают опасения, что данная норма может оказаться невыполнимой. "Чтобы сертифицировать программное обеспечение на 5-й и 4-й классы, необходимо предоставить исходный код средств защиты. Для многих иностранных разработчиков средств защиты, а их большинство на российском рынке, это будет непросто", - говорит бизнес-консультант Cisco по информационной безопасности Алексей Лукацкий. По словам представителя одного из крупных банков, тотальная сертификация не сможет быть проведена и из-за недостатка на рынке лабораторий, проводящих исследования программного обеспечения (ПО) на предмет соответствия требованиям безопасности. "В лаборатории встанут очереди. И, скорее всего, бесконечные", - сетует он. Другой собеседник "Коммерсанта" указывает на то, что сертифицируется только определенная сборка ПО и при каждом обновлении системы потребуется проводить сертификацию заново.

Источник:

www.kommersant.ru

Данный документ находится в системе «Техэксперт: Нормы, правила, стандарты».
Купить специализированную базу нормативно-технической документации «Техэксперт: Нормы, правила, стандарты» Вы сможете, заказав бесплатную демонстрацию в Вашем офисе.
Позвоните по телефону: +7(495)730-07-66.
Контактное лицо: Зорина Екатерина

Предыдущая новость:

ГОСТ ISO 11202-2016

Новый документ по стандартизации в системах "Техэксперт" для специалистов в области охраны труда и безопасности на предприятии

Следующая новость:

Распоряжение Минсоцразвития Московской области от 16.03.2017 N 19РВ-22

Порядок осуществления Минсоцразвития Московской области ведомственного контроля в сфере закупок товаров, работ, услуг для обеспечения государственных нужд