Все мы знаем, что до этого документа из-под пера ЦБ РФ вышла серия документов стандарта СТО БР ИББС, Положение 382-П. Они на высоком уровне описывали то, как создавать и поддерживать систему менеджмента ИБ, однако на практике все сводилось к написанию большого количества документов. Стимула погружаться на технический уровень у офицеров ИБ банков не было. Проверяющие со стороны ЦБ смотрели только документы, а то, как механизмы безопасности работают на практике, никто особо не выяснял. 

Так было с проверками на соответствие СТО БР ИББС, так есть с Положением №382. В добавок ко всему, для банков и НКО сделаны серьезные поблажки в виде самооценок по этим стандартам раз в два года. Однако после крупных инцидентов, в результате которых злоумышленники смогли вывести солидные суммы, были сделаны выводы о существующих проблемах в банковской ИБ. Доверие со стороны ЦБ к результатам самооценок постепенно снижалось. И вот, отныне проверки на соответствие ГОСТ Р будут проходить только с привлечением внешних аудиторских компаний, чьим выводам ЦБ сможет доверять. 

Обсуждение ГОСТ Р велось в рамках Технической комиссии 122 при ЦБ РФ, в которую входят специалисты банков в области ИБ, а также представители профессионального сообщества. Любой из экспертов мог выдать свои замечания к тексту редакций ГОСТ в рамках проходивших обсуждений. Регулятор учитывал все замечания и свои комментарии. Стоит отметить открытость руководства ТК122 к предложениям от участников рынка. Кто хотел быть услышанным, тот был услышан. Подавляющее большинство участников ТК122 проголосовали за утверждение итоговой версии ГОСТ Р.

ГОСТ Р не привносит каких-либо ноу-хау, его положения пересекаются с международными лучшими практиками в области технической защиты систем

ГОСТ Р не привносит каких-либо ноу-хау, его положения пересекаются с международными лучшими практиками в области технической защиты систем. Так, финансовые организации должны защищать свои внутренние программы и автоматизированные системы, управлять доступом к учетным записям сотрудников, управлять инцидентами, связанными с киберхищениями средств. Однако если раньше требования ЦБ были больше направлены на документирование процедур и менеджмент ИБ, то с введением ГОСТ Р перед офицерами ИБ встанут задачи прикладного характера. Им придется разбираться в существующих технологиях, понимать особенности систем и акцентировать внимание на более тонких настройках средств защиты. 

Нередко в банках отделы ИБ спускают в отделы ИТ высокоуровневые требования по настройке систем. Предполагается, что ИТ-специалисты сами должны вникать в них и выполнять рекомендации. Теперь, с появлением технических требований и внедрением практики сторонних аудитов, ответственность за несоответствие ляжет на отдел ИБ, что логично. 

Одной из инноваций ГОСТ Р является требование к безопасности прикладного банковского ПО, то есть АБС

Одной из инноваций ГОСТ Р является требование к безопасности прикладного банковского ПО, то есть АБС. Становится необходимым проведение теста на проникновение именно на уровне приложения. До сих пор такого внимания АБС не уделялось. Были рекомендации по безопасности АБС на этапах жизненного цикла. Но то рекомендации, а ГОСТ Р – обязательные требования. В этом есть положительный сдвиг.

Уже давно назрела необходимость в обеспечении безопасной разработки банковского ПО. Деятельность внешних вендоров не регулируется ЦБ РФ, ФСТЭК или ФСБ. Для них нет обязательных требований. Банкам сложно влиять на разработчиков, чтобы те внедрили и применяли у себя методики безопасного создания продуктов, включающие в себя проведение тестов на проникновение, статический/динамический анализ и прочее. Требования банков к вендорам АБС «писать код безопасно» обычно сводится к жалобам создателей ПО на увеличение трудозатрат в связи с изменениями в процессах разработки и росту ценника за услуги. С введением обязательных пентестов АБС для всего банковского рынка разработчикам придется скрупулёзно работать над устранением уязвимостей в своем ПО. Возможно, тогда они зададутся вопросом: «Может, лучше писать код более безопасно, чем постоянно заниматься устранением уязвимостей по запросам от 500 банков России?»

С введением обязательных пентестов АБС для всего банковского рынка разработчикам придется скрупулёзно работать над устранением уязвимостей в своем ПО

Новый ГОСТ отличается от предыдущих стандартов и Положений Банка России своей практической значимостью. Требования ГОСТ носят конкретный, технический характер. Их нельзя будет выполнить, прикрывшись документом, потребуется применение реальных технических мер. Кроме того, аудит на соответствие ГОСТ будет проводится независимыми аудиторами, а не путем самооценки силами самих банков. Это значит, что для получения статуса соответствия ГОСТ Р банкам придется в полной мере выполнять его требования. Все эти факты говорят в пользу того, что ГОСТ действительно добавит безопасности банкам, а значит и клиентским данным.