Немного про проект ГОСТа по Информационной безопасности от Банка России

Немного про проект ГОСТа по Информационной безопасности от Банка России
Ранее мы уже СТО  БР ИББС и станет обязательным как для кредитных финансовых так и не кредитных организаций.

Не смотря на то, что ГОСТ еще находится в фазе активной разработки, и до его принятия, а тем более внедрения пройдет не один месяц, общий концепт понятен уже сейчас. В сегодняшнем обзоре мы краток пробежимся по основным рабочим моментам проекта ГОСТа от Банка России и проведем коннекторе параллели с действующими документами финансового регулятора


И так,  что самое явное и существенное с по информационной безопасности после его утверждения станет обязательным путем добавления ссылок на него из других ныне действующих нормативных актов ЦБ. Любопытно заметить, что новый стандарт будет распространяться как на кредитные  так и некредитные финансовые организации.

По задумке разработчиков нового документа   объектам стандартизации  станут являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации. Не находите нечто схожее с защитой ПДн ? Мм.. Это общая тенденция в отечественном нормотворчестве, так как эти уровни защиты, весьма схожи с теми, что прописаны в ПП-1119 , а так же к тем, которые вполне могут ввести в новых редакциях приказов ФСТЭК №17 (о ктором мы узе писали чуть ранее) и №31, применительно к классам защищенности ГИС и АСУ ТП .

И так, новый стандарт ЦБ в целом определяет три уровня защиты информации:
  • уровень 3 – минимальный
  • уровень 2 – стандартный
  • уровень 1 – усиленный.
Уровень защиты информации четко устанавливается Банком России и зависит от многих факторов.

В целом структура документа (оглавление) выглядит следующим образом:
  • Требования к системе защиты информации
  • Требования к организации и управлению защитой информации
  • Требования по защите информации на этапах жизненного цикла автоматизированных систем
А так же три (пока что) приложения с с текстовыми и табличными данными
  • Приложение А – Модель угроз и нарушителей
  • Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
  • Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа

Сам ГОСТ ориентировочно должен быть разработан к концу 2017 года и после выдвинут на утверждение в РосСтандарт и МинЮст. Так что, приблизительно до начала или середины 2018 года будет действовать СТО БР ИББС-2014 и пакет необязательных документов под общим названием РС (рекомендации по стандартизации)

Смело можно сказать,что в планах у регулятора оставить действующие П-382 и недавно вышедшие П-552 в списке действующих. Скорее всего данные документы могут претерпеть новую редакцию и обзавестись перекрестными ссылками между собой и новым ГОСТ по информационной безопасности.
СТО БО ИББС ГОСТ Банк России проект П-382 п-552 РС регулятор обзор ПДн фстэк
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события