Банки согласились на требования ЦБ по безопасности
На прошлой неделе на заседании Технического комитета 122 с участием финансовых организаций и ЦБ был рассмотрен документ, описывающий требования к разработке и оценке соответствия ГОСТу программного обеспечения (ПО) и мобильных приложений банков и некредитных финансовых организаций. Назначение документа - минимизация и устранение угроз и рисков информационной безопасности. После двух месяцев обсуждения внесено порядка 400 предложений по изменениям, но самые спорные нормы, против которых протестовали банкиры, сохранились.
В числе недостатков документа было названо требование оценивать соответствие ГОСТу с привлечением специализированных лабораторий, которые работают крайне медленно, а также то, что в его основе лежит стандарт, принятый ранее, чем начала применяться практика гибкой методологии разработки мобильных приложений. Кроме того, участников заседания не устроило то, что документ сохранил свое распространение на мобильные устройства, хотя специфика требований в первую очередь относится к стационарным ПК, поэтому часть требований организации не смогут соблюдать чисто технически.
Замглавы департамента информационной безопасности ЦБ Артем Сычев пообещал, что в первый год финансовые организации не будут привлекаться к ответственности за неисполнение требований. Также он согласился дать возможность рабочей группе доработать документ, чтобы подтверждать соответствие собственных разработок можно было без сторонних специалистов.
По материалам газеты Коммерсантъ