Уральский форум: СТОБР станет обязательным

Законодательство
Убедившись, что с июля 2016-го года национальные стандарты, определяющие требования по защите сведений ограниченного доступа, к которым может относиться и банковская тайна, и инсайдерская информация, могут быть обязательными, мы вновь возвращаемся к вопросу обязательности СТО БР ИББС Банка России. Если вспомнить предысторию, то в 2011-2012-м годах эта тема уже поднималась и Банк России хотел перевести СТО в ранг ГОСТа. Но тогда это не имело большого смысла, так как, что в статусе СТО, что в статусе ГОСТа документ ЦБ не мог перейти из разряда рекомендаций в обязательные к применению нормативные акты. Сейчас ситуация меняется, о чем и говорили на Уральском форуме.

Разумеется, не стоит ждать, что в июле СТОБР поменяет свой статус. Пройдет немало времени, прежде чем это радостное (а для кого-то и не очень) событие произойдет. Давайте прикинем, сколько времени на это понадобится. До июля точно никто никаких шагов предпринимать не будет; да и ЦБ сейчас занят новой редакцией 382-П, о которой я еще скажу дальше. Переводить текущую, пятую версию СТО в разряд ГОСТа тоже не имеет смысла, — потребуется переработка этого документа. Это займет не менее (по моим оценкам) года. Не менее еще одного года уйдет на внесение проекта нового стандарта в Ростехрегулирование, его рассмотрение и принятие. По опыту участия в ТК362 «Защита информации» могу сказать, что обычно на вступление в силу нового ГОСТа уходит около полутора-двух лет с момента его внесения в Ростехрегулирование. Получается, что у нас есть около 3-х лет на этот переходный период. Есть время подготовиться к этой «революции».

На самом деле, переводом СТОБР в ГОСТ дело не ограничивается. После того как ГУБЗИ получило контроль над 382-П (раньше за его развитие отвечал ДНПС) и вся основная нормативная база по ИБ кредитных (и некредитных, но об этом позже) организаций вновь сосредоточилась в одних руках (так было до 2012-го года), ГУБЗИ затеяло небыстрый проект по гармонизации и унификации своих требований по защите информации, которые будут разнесены на два уровня — требования технического характера уйдут на уровень ГОСТов, а требования организационно-правового и технологического характера будут определяться нормативными актами Банка России — положениями и указаниями. Из этого вытекает и логичный вывод о том, что 382-П также претерпит серьезные изменения, о которых я расскажу в следующей заметке.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).