ГОСТ Р 57580.1−2017 – это новый стандарт информационной безопасности для кредитно-финансового сектора, который вступил в силу с 1 января 2018 года. В соответствии с требованиями нового документа, в область оценки соответствия защиты информации входит совокупность фактически всех объектов информатизации финансовых организаций, включая автоматизированные средства и приложения, используемые для выполнения процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.
«Само по себе появление ГОСТ не вызвало ажиотажа, так как он носит рекомендательный характер и не содержит указаний кому и когда применять рекомендации. Обязанность по его выполнению появилась лишь в апреле текущего года с выходом Положений Центробанка 684-п (для не кредитных организаций) и 683-п (для кредитных организаций)», - комментирует Илья Тихонов.
Согласно Положению 684-п, под действие ГОСТа попадают страховые компании, негосударственные пенсионные фонды, инвестиционные фонды, участники рынка ценных бумаг и другие некредитные организации. Обязательства по внедрению стандартов пока отсутствуют для небольших организаций: страховых компаний с суммой активов до 20 млрд. рублей, НПФ с суммой пенсионных резервов до 10 млрд. и так далее.
Реализация проекта по приведению ИБ-инфраструктуры в соответствие с требованиями нового ГОСТа включает в себя несколько этапов: обследование и анализ существующей инфраструктуры и получение оценки уровня соответствия требованиям ГОСТ от 0,5 до 1, а также дальнейший подбор и внедрение необходимых средств защиты. К июлю 2023 года все некредитные финансовые организации должны иметь уровень оценки не ниже 0,85. В документах прописаны и сроки сдачи отчетов в ЦБ о внедрении нового стандарта – в большинстве случаев крайним сроком является 1 января 2021 года. Нарушителям могут грозить серьезные санкции со стороны Центробанка, вплоть до отзыва лицензии.
«Если банки, как представители одной из самых зарегулированных отраслей экономики, уже давно начали готовиться к появлению нового стандарта информационной безопасности, то для большинства некредитных организаций его появление оказалось неожиданным. Первыми озаботились приведением ИТ-инфраструктуры в соответствие с новыми требованиями регуляторов страховые организации – на данный момент в проработке у Softline порядка 10 таких проектов. Есть активность со стороны НПФ. Пока большая часть запросов поступает от компаний ЦФО – другие регионы не так активны», - добавляет Илья Тихонов.
По словам эксперта, усиление интереса к услугам аудита и консалтинга в области соответствия ГОСТ Р 57580.1−2017, ожидается в 2020 году – большинству компаний необходимо провести подготовительные работы для проведения аудита и консалтинга, а также запланировать бюджет. Эксперт Softline отметил, что не стоит откладывать работы на конец следующего года, так как ГОСТ содержит довольно много требований. Проведение аудита как правило занимает от двух месяцев до шести, еще несколько месяцев уйдет на подбор, поставку и внедрение средств защиты.
«Сэкономить время и средства, потраченные на реализацию проекта по внедрению стандартов нового ГОСТа можно, если привлечь опытного ИТ-провайдера уже на начальном этапе реализации проекта. Эксперты Softline внимательно следят за изменениями в финансовой сфере. Благодаря накопленной экспертизе мы помогаем заказчикам оптимально распределить бюджет и подобрать средства защиты, а также оформить всю необходимую документацию к началу проверок со стороны регуляторов», - уточнил Илья Тихонов.