ГОСТ Р 57580.1-2017 (ч.7)

ГОСТ Р 57580.1-2017 (ч.7)
Вот и пришло время для финальной заметки из цикла про ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

Обусловлено это следующим:

1. Банк России с 27.09.2018 получает право устанавливать обязательные требования к обеспечению защиты информации, т.к. вступают в силу изменения, введенные Федеральным законом от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств»:

    «Статья 57.4. Банк России … устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности …»

    «Статья 76.4- 1. Банк России … устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков …».

2. На днях уже вышли проекты соответствующих положений от Банка России:
cb43be6dce6db564b749a2f686c1406a.png


3. В Порядке обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, утв. приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25.06. 2018 № 321, уже есть указание об использовании стандарта:

    «5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 …».

4. В Базовом стандарте совершения страховыми организациями операций на финансовом рынке, утв. Банком России протокол N КФНП-24 от 09.08.2018, уже есть указание об использовании стандарта:

    «3.1. При обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ... страховщик обязан соблюдать требования, определенные ... национальными стандартами, в том числе: … ГОСТ Р 57580.1-2017 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. ГОСТ Р 57580.2 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

5. ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» c 01.09.2018 перешел из статуса «принят» в «действующий».

Таким образом, теперь уже нормативные акты соответствующих ведомств будут нести новую и новую информацию по данному вопросу.

В завершении я хотел бы поделиться наглядными статистическим данными на базе содержательной части ГОСТ Р 57580.1-2017, чтобы каждый желающий мог получить «визуальное предоставление» о стандарте ещё до его прочтения.

1. Распределение содержательных разделов стандарта в объеме страниц:
011f83c71bf9d3852270fddaacf75494.png

2. Распределение требований к реализации по каждому из 8-и процессов, а также для блока организации и управления, и жизненного цикла АС и приложений по 3-м уровням защиты информации:
682391a5e6113bcaf5d5d190ea350a3d.png

Можно видеть, как в каждом случае «волна мер» набегает на техническую реализацию «Т» с увеличением уровня защиты информации.


PS

В предыдущих заметках было рассмотрено:
- статус и область действия стандарта ( ссылка );
- терминология стандарта ( ссылка );
- корреляция требований стандарта с 382-П и СТО БР ИББС ( ссылка );
- корреляции процедуры оценки соответствия по ГОСТ Р 57580.2-2018 и 382-П ( ссылка );
- форма отчетности по итогам оценки соответствия по ГОСТ Р 57580.2-2018 ( ссылка );

- взаимосвязь стандарта и нормативно-методических документов ФСТЭК России ( ссылка ).
 
Успехов в реализации положений данного стандарта в ваших финансовых организациях!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?