Центробанк разработал государственный норматив по информационной защите в сфере финансов, сообщается на портале АРБ.
Обновленный ГОСТ будет рассмотрен на следующем заседании руководства ЦБ, запланированном на 13 апреля. В состав комиссии, которая будет рассматривать документ, входят эксперты профильных предприятиях, представители заинтересованных ведомств (ЦБ, Кабмин, Минфин и т.д.), сотрудники надзорных и силовых ведомств, а также специалисты контролирующих организаций (Росстандарт,Ростехрегулирование и т. д.). При условии одобрения проекта большей частью членов комиссии, документ будет внесен в общий комплекс законных актов и регулирующих нормативов, которые будут использоваться для регулирования отрасли информационной безопасности на рынке финансов.
Учитывая масштабы работы, необходимой для внедрения стандартов в рыночный оборот, а также время для соблюдения формальных процедур, официальное действие нового ГОСТа возможно не ранее 2019 года.
Новыми стандартами предусматривается дифференцированный подход при оценке степени информационной защиты — соответствующие данные будут присвоены регулятором всем поднадзорным предприятиям в соответствии с уровнем защищенности — минимальная степень, стандартный уровень защиты и усиленная, надежная защита. Любой из статусов будет предусматривать оценку реализуемых технологий, совокупный финансовый оборот, общее и профильное направление деятельности компании, а также ряд прочих факторов, влияющих на качество защиты.
Главным нововведением ГОСТа эксперты считают приложение к проекту для всех представителей сферы, независимо от присвоенной категории, одним из положений которого является сертификация защитного ПО в ФСТЭК.
IT-эксперты соглашаются с эффективностью подхода, но их волнует, что для реального исполнения к ПО с высоким классом безопасности потребуется предоставить исходный код, что значительно затруднит и работу компаний по разработке программ, и надзорных экспертов, которые просто не справятся с объемами рынка.