ЦБ настоял на жестких требованиях к кибербезопасности банков

Представители банковского сообщества противились новым мерам, однако регулятор все равно планирует ввести в действие требования о подтверждении соответствия госстандарту любого нового обновления ПО в специализированных лабораториях – с отсрочкой на год, в течение которого штрафовать банки не будут. Об этом пишет “КоммерсантЪ”, добавляя, что сами банкиры наверняка попробуют использовать эту отсрочку, чтобы все-таки убедить регулятора в своей способности обеспечить кибербезопасность без помощи сторонних лабораторий.

Обсуждения методического документа Центробанка с требованиями к оценке соответствия банковского ПО государственным стандартам прошли на прошлой неделе в ходе заседания Технического комитета №122 – уточняет газета. В его разработке приняли участие представители крупных банков, МФБ и НРД, сотрудничавших в рамках рабочей группы. К документу было предложено большое число поправок, однако самые спорные, по мнению банкиров, моменты остались без внимания.

Интересно, что некоторые положения не могут принять даже сами разработчики из крупных банков, среди которых Сбербанк, ВТБ и Газпромбанк. Оценка соответствия программного обеспечения государственным стандартам с привлечением крайне медленно работающих специализированных лабораторий – одно из таких вероятных новшеств в нормативных требованиях. Некоторые банки регулярно обновляют использующиеся программные продукты и приложения, поэтому сторонняя оценка обновлений в каждом случае серьезно замедлит деятельность.

В банке ВТБ также не могут принять эту идею, отмечая несколько устаревший характер ГОСТа, который разрабатывался еще до повсеместного внедрения сегодняшнего гибкого подхода к разработке мобильных приложений. А директор департамента Московской биржи Сергей Демидов добавил, что ГОСТ разрабатывался в первую очередь для стационарных компьютеров и к мобильным устройствам ввиду их специфики подходит плохо.

Несмотря на возражения, документ был принят после предложения проголосовать заместителя главы департамента информационной безопасности ЦБ Артема Сычева - пишет “КоммерсантЪ”. Таким образом, методология начнет внедряться, однако Артем Сычев пообещал отсутствие штрафов для банков в первый год внедрения. Он также допускает, что рабочая группа за это время внесет какие-то изменения, которые сделают необязательным подтверждение соответствия ПО госстандарту у сторонних организаций – для этого потребуется как-то обеспечить надежность оценки собственными силами банков.