Ранее мы уже и станет обязательным как для кредитных финансовых так и не кредитных организаций.
Не смотря на то, что ГОСТ еще находится в фазе активной разработки, и до его принятия, а тем более внедрения пройдет не один месяц, общий концепт понятен уже сейчас. В сегодняшнем обзоре мы краток пробежимся по основным рабочим моментам проекта ГОСТа от Банка России и проведем коннекторе параллели с действующими документами финансового регулятора
И так, что самое явное и существенное с по информационной безопасности после его утверждения станет обязательным путем добавления ссылок на него из других ныне действующих нормативных актов ЦБ. Любопытно заметить, что новый стандарт будет распространяться как на кредитные так и некредитные финансовые организации.
По задумке разработчиков нового документа объектам стандартизации станут являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации. Не находите нечто схожее с ? Мм.. Это общая тенденция в отечественном нормотворчестве, так как эти уровни защиты, весьма схожи с теми, что прописаны в , а так же к тем, которые вполне могут ввести в новых редакциях приказов (о ктором мы узе писали чуть ранее) и №31, применительно к классам защищенности ГИС и АСУ ТП .
И так, новый стандарт ЦБ в целом определяет три уровня защиты информации:
- уровень 3 – минимальный
- уровень 2 – стандартный
- уровень 1 – усиленный.
Уровень защиты информации четко устанавливается Банком России и зависит от многих факторов.
В целом структура документа (оглавление) выглядит следующим образом:
- Требования к системе защиты информации
- Требования к организации и управлению защитой информации
- Требования по защите информации на этапах жизненного цикла автоматизированных систем
А так же три (пока что) приложения с с текстовыми и табличными данными
- Приложение А – Модель угроз и нарушителей
- Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
- Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа
Сам ГОСТ ориентировочно должен быть разработан к концу 2017 года и после выдвинут на утверждение в РосСтандарт и МинЮст. Так что, приблизительно до начала или середины 2018 года будет действовать СТО БР ИББС-2014 и пакет необязательных документов под общим названием РС (рекомендации по стандартизации)
Смело можно сказать,что в планах у регулятора оставить действующие П-382 и недавно вышедшие в списке действующих. Скорее всего данные документы могут претерпеть новую редакцию и обзавестись перекрестными ссылками между собой и новым ГОСТ по информационной безопасности.
