Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.
Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.
Стандарт определяет три уровня защиты информации:
- уровень 3 – минимальный
- уровень 2 – стандартный
- уровень 1 – усиленный.
Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:
- вида деятельности финансовой организации,
- состава реализуемых бизнес-процессов и (или) технологических процессов
- объема финансовых операций
- размера организации
- отнесения финансовой организации к категории малых предприятий и микропредприятий
- значимости финансовой организации для финансового рынка и национальной платежной системы.
Еще одной новацией для ЦБ, но привычной для читаталей документов ФСТЭК, стал алгоритм выбора защитных мер. Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает:
- выбор базового состава мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам ИС, реализуемым ИТ, особенностям функционирования ИС
- уточнение (включает дополнение или исключение)
- дополнение адаптированного базового набора мер по обеспечению безопасности дополнительными мерами, установленными иными нормативными актами.
- Область применения, нормативные ссылки, термины и определения, сокращения, назначение и структура стандарта
- Общие положения
- Требования к системе защиты информации
- Требования к организации и управлению защитой информации
- Требования по защите информации на этапах жизненного цикла автоматизированных систем
- Приложение А – Модель угроз и нарушителей
- Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
- Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа
И вновь обращаю ваше внимание на 3-5 пункты. Если СТО БР ИББС состоял из множества документов, то новый ГОСТ один. Поэтому все требования по ИБ включены в один документ, но разбиты на 3 большие части — сами меры защиты, меры по управлению и требования к жизненному циклу.
Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):
- Обеспечение защиты информации при управлении доступом
- управление учетными записями и правами субъектов логического доступа
- идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа
- защита информации при осуществлении физического доступа
- идентификация, классификация и учет ресурсов и объектов доступа
- Обеспечение защиты вычислительных сетей
- сегментация и межсетевое экранирование вычислительных сетей
- выявление сетевых вторжений и атак
- защита информации, передаваемой по вычислительным сетям
- защита беспроводных сетей
- Контроль целостности и защищенности информационной инфраструктуры
- Антивирусная защита
- Предотвращение утечек информации, защита машинных носителей информации (МНИ)
- Управление инцидентами защиты информации
- мониторинг и анализ событий защиты информации
- обнаружение инцидентов защиты информации и реагирование на них
- Защита среды виртуализации
- Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
 |
| Фрагмент блока требований по управлению доступом |
Блок управления состоит из четырех компонентов:
- Планирование системы защиты информации
- Реализация системы защиты информации
- Контроль реализация системы защиты информации
- Совершенствование реализация системы защиты информации.
 |
| Фрагмент блока требований к планированию системы защиты информации |
Ну и блок требований к жизненному циклу защиты информации:
 |
| Фрагмент блока требований к жизненному циклу |
Вот такая картина получается. Достаточно гибкий подход, как мне кажется. И ни слова про оценку соответствия или отправку в ГУБЗИ ее результатов. Правда, пока неясной (для меня) остается судьба самого СТО БР ИББС. Там остаются документы, положения которых не вошли и врядли войдут в состав нового ГОСТа. Например, свежий СТО 1.3 по сбору доказательств для расследования инцидентов. Возможно из них сделают то, что называется «рекомендация по стандартизации» с соответствующей их регистрацией в Росстандарте (как это сделано в ТК26). Посмотрим…
ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.
Есть ли в проекте нового ГОСТа упоминание необходимости наличия службы ИБ в кредитной организации?
А этот вопрос не для ГОСТа. Он останется на уровне положений ЦБ, того же 382-П
А можно как-нибудь ознакомиться с проектом нового ГОСТа?
Он доступен членам ПК1 ТК122