Обусловлено это следующим:
1. Банк России с 27.09.2018 получает право устанавливать обязательные требования к обеспечению защиты информации, т.к. вступают в силу изменения, введенные Федеральным законом от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств»:
«Статья 57.4. Банк России … устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности …»
«Статья 76.4- 1. Банк России … устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков …».
2. На днях уже вышли проекты соответствующих положений от Банка России:
3. В Порядке обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, утв. приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25.06. 2018 № 321, уже есть указание об использовании стандарта:
«5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 …».
4. В Базовом стандарте совершения страховыми организациями операций на финансовом рынке, утв. Банком России протокол N КФНП-24 от 09.08.2018, уже есть указание об использовании стандарта:
«3.1. При обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ... страховщик обязан соблюдать требования, определенные ... национальными стандартами, в том числе: … ГОСТ Р 57580.1-2017 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. ГОСТ Р 57580.2 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
5. ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» c 01.09.2018 перешел из статуса «принят» в «действующий».
Таким образом, теперь уже нормативные акты соответствующих ведомств будут нести новую и новую информацию по данному вопросу.
В завершении я хотел бы поделиться наглядными статистическим данными на базе содержательной части ГОСТ Р 57580.1-2017, чтобы каждый желающий мог получить «визуальное предоставление» о стандарте ещё до его прочтения.
1. Распределение содержательных разделов стандарта в объеме страниц:
2. Распределение требований к реализации по каждому из 8-и процессов, а также для блока организации и управления, и жизненного цикла АС и приложений по 3-м уровням защиты информации:
Можно видеть, как в каждом случае «волна мер» набегает на техническую реализацию «Т» с увеличением уровня защиты информации.
PS
В предыдущих заметках было рассмотрено:
- статус и область действия стандарта ();
- терминология стандарта ();
- корреляция требований стандарта с 382-П и СТО БР ИББС ();
- корреляции процедуры оценки соответствия по ГОСТ Р 57580.2-2018 и 382-П ();
- форма отчетности по итогам оценки соответствия по ГОСТ Р 57580.2-2018 ();
- взаимосвязь стандарта и нормативно-методических документов ФСТЭК России ().
Успехов в реализации положений данного стандарта в ваших финансовых организациях!
