Планы по стандартизации ИБ финансовых организаций

• обсуждение и голосование за ГОСТа 57580.2 по оценке соответствия защитных мер, описываемых ГОСТом 57580.1 (единогласно при одном воздержавшемся)
• обсуждение и голосование за СТО по безопасности аутсорсинга (единогласно)
• обсуждение планов подкомитета по разработке новых стандартов по ИБ.

Помимо этого я бы отметил несколько интересных тезисов, прозвучавших на мероприятии:

• Планируемый в свое время СТО по некредитным финансовым организациям (а точнее два СТО) плавно перетечет в ГОСТ 57580.1. Ну тут никаких сюрпризов — это было логично; зачем городить СТО, если новый ГОСТ и так покрывает НКФО. Ну и остальные ГОСТы, упомянутые выше, будут учитывать специфику НКФО. 
• Во исполнении пунктов ГОСТа и новой редакции 382-П, требующих оценки соответствия платежных и финансовых приложений (в виде сертификации или оценки уязвимостей), ЦБ подготовил профиль защиты, направленный в ФСТЭК России на согласование. Соответственно разработчикам банковского и финансового ПО стоит подготовиться к данной процедуре.
• Аккредитации поставщиков услуг аутсорсинга ИБ не планируется, а вот тема некой «аккредитации» (хотя скорее это некоторая форма оценки качества работ) аудиторов поднималась и в каком-то виде будет реализована. Либо это будет добровольная сертификация, либо саморегулируемая организация. Вопрос пока в стадии обсуждения.
• ЦБ активно копает тему страхования киберрисков, но каких-то конкретных действий и стандартов не озвучено. Какая-то ясность будет на Магнитогорском форуме, регистрация на который уже началась.
• Применительно к теме КИИ ЦБ никаких документов не планирует выпускать. Регулятором является ФСТЭК и именно она пишет требования к безопасности значимых объектов КИИ. ФСБ в свою очередь устанавливает требования по присоединению финансовых организаций к ГосСОПКЕ. По оценка ЦБ, и я с ними согласен, не очень много финансовых организаций будет иметь значимые объекты. А вот отправлять данные по инцидентам в ГосСОПКУ придется. Правда тут мы с ЦБ не сходимся во мнении. Они считают, что ФинЦЕРТ является ведомственным центром ГосСОПКИ и финансовые организации смогут без проблем направлять данные об инцидентах только в одну сторону, в ФинЦЕРТ, который уже сам все направит в ГосСОПКУ. Я по формальным признакам с этим не согласен, но буду рад ошибиться.
• Новая редакция 382-П (я о ней писал) находится на согласовании в ФСБ и скоро должна быть отправлена в Минюст на утверждение. Предположу, что это произойдет достаточно скоро и она вступит в действие (как и новая редакция 2831-У) с 1-го июля 2018-го года. Самое главное, что в ней не будет ссылок на новый ГОСТ 57580.1. Это произойдет в следующей версии 382-П, работа над которой начнется сразу после принятия текущего проекта. В принципе это было известно давно, но многие почему-то считали, что принятие в августе нового ГОСТа означает, что теперь на него ЦБ вставит ссылки во все свои нормативные акты. Это не так. Процесс небыстрый и требует, как минимум, разработки всей номенклатуры основных ГОСТов по защите информации и управлению киберрисками, что также займет определенное время.

Вот такой набор новостей по тому, что ЦБ готовит финансовым организациям с точки зрения нормативных требований. Обратите внимание, что на организации возрастет нагрузка по выполнению требований и, самое главное, оценке соответствия им. Запланирована разработка 5 стандартов по оценке соответствия и это помимо оценки, предусмотренной 382-П, а также иными требованиями, распространяющимися на финансовые организации (PCI DSS, SWIFT и т.д.). Вот такие дела…