Новый ГОСТ по информационной безопасности: перспективы и возможные проблемы внедрения
Размещено на сайте 01.09.2017
В августе 2017 года Банк России утвердил новый ГОСТ по информационной безопасности для финансовых учреждений, вступающий в силу с января 2018 года. Требования стандарта не только стали обязательными, но и существенно отличаются от норм отраслевого стандарта предыдущего поколения. Успеют ли банки подготовиться, будет ли найден компромисс между требованиями регулятора и бизнесом? И с какими проблемами придется столкнуться при переходе на новый национальный стандарт?
Иван ПИСКУНОВ, ЗАО «Русские Башни», руководитель направления ИБ
Приводятся извлечения из статьи.
Полную версию материала читайте в журнале.
Подписаться
ГОСТ ИБ становится обязательным для всех учреждений банковской сферы, в то время как СТО БР ИББС носил только рекомендательный характер.
|
Банк России переходит в своих требованиях от прежней пятиуровневой шкалы соответствия к «уровням защищенности», которые схожи с теми, что прописаны в Постановлении № 1119 применительно к уровням защищенности персональных данных, а также в Приказах ФСТЭК России № 17 и № 31 применительно к классам защищенности ГИС и АСУ ТП соответственно.
|
Больше не будет закрытого и фиксированного списка защитных мер, как до этого было определено в прежних СТО БР ИББС или в Положении № 382-П. Специалисты по безопасности получают дифференцированный подход, позволяющий варьировать меры ИБ в зависимости от размера, IT-инфраструктуры и других особенностей банка.
|
Сертифицирование ПО на 4-й и 5-й классы требует предоставления исходного кода защитных решений, что для иностранных производителей средств защиты будет сложновыполнимым условием.
|
Александр Бычков, Геобанк: «Новый стандарт Банка России лишь затруднит и значительно повысит стоимость развития банковской инфраструктуры и инновационных банковских продуктов».
|
С введением обязательных пентестов АБС разработчикам банковского ПО придется скрупулезно работать над устранением уязвимостей в своих продуктах, выполнять анализ кода, своевременно закрывать найденные уязвимости.
|
Одна из ошибок, которые могут быть выявлены Налоговой службой США при валидации первого этапа, — использование неправильного формата XML-схемы, в частности версии 1.1. В разработанных IRS политиках регламентируется использование схемы версии 2.0 (по состоянию на июль 2017 г.).
|
Указание кода FATCA 106 для типа владельца счета (Account Holder Type) сразу же приведет к ошибке, так как данный код может быть использован только Правительством США.
|
Для того чтобы повысить эффективность процессов и выполнить требования FATCA и CRS, организации финансового рынка должны внедрять собственные процедуры валидации клиентских данных и отчетности.
|
