четверг, 23 марта 2017 г.

Немного про проект ГОСТа по Информационной безопасности от Банка России

Ранее мы уже писали, что Банк России ведет разработку единого ГОСТ по информационный безопасности, который придет на замену текущему стеку документов СТО  БР ИББС и станет обязательным как для кредитных финансовых так и не кредитных организаций.

Не смотря на то, что ГОСТ еще находится в фазе активной разработки, и до его принятия, а тем более внедрения пройдет не один месяц, общий концепт понятен уже сейчас. В сегодняшнем обзоре мы краток пробежимся по основным рабочим моментам проекта ГОСТа от Банка России и проведем коннекторе параллели с действующими документами финансового регулятора


И так,  что самое явное и существенное с по информационной безопасности после его утверждения станет обязательным путем добавления ссылок на него из других ныне действующих нормативных актов ЦБ. Любопытно заметить, что новый стандарт будет распространяться как на кредитные  так и некредитные финансовые организации. 

По задумке разработчиков нового документа   объектам стандартизации  станут являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации. Не находите нечто схожее с защитой ПДн? Мм.. Это общая тенденция в отечественном нормотворчестве, так как эти уровни защиты, весьма схожи с теми, что прописаны в ПП-1119, а так же к тем, которые вполне могут ввести в новых редакциях приказов ФСТЭК №17 (о ктором мы узе писали чуть ранее) и №31, применительно к классам защищенности ГИС и АСУ ТП .

И так, новый стандарт ЦБ в целом определяет три уровня защиты информации:
  • уровень 3 – минимальный
  • уровень 2 – стандартный
  • уровень 1 – усиленный.
Уровень защиты информации четко устанавливается Банком России и зависит от многих факторов.

В целом структура документа (оглавление) выглядит следующим образом:
  • Требования к системе защиты информации
  • Требования к организации и управлению защитой информации
  • Требования по защите информации на этапах жизненного цикла автоматизированных систем
А так же три (пока что) приложения с с текстовыми и табличными данными
  • Приложение А – Модель угроз и нарушителей
  • Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
  • Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа

Сам ГОСТ ориентировочно должен быть разработан к концу 2017 года и после выдвинут на утверждение в РосСтандарт и МинЮст. Так что, приблизительно до начала или середины 2018 года будет действовать СТО БР ИББС-2014 и пакет необязательных документов под общим названием РС (рекомендации по стандартизации)

Смело можно сказать,что в планах у регулятора оставить действующие П-382 и недавно вышедшие П-552  в списке действующих. Скорее всего данные документы могут претерпеть новую редакцию и обзавестись перекрестными ссылками между собой и новым ГОСТ по информационной безопасности.

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...