Поймал себя на мысли, что уходящий декабрь был очень активен в части выпуска различных нормативных актов и их проектов и я просто упустил из ввиду, что я не написал про проект нового ГОСТа Банка России по информационной безопасности, который, в соответствии с ранее озвученными планами, должен стать обязательным. Решил исправить сие досадное недоразумение и пробежаться по проекту нового ГОСТа. В него возможно еще будут вноситься изменения, но ключевые положения останутся неизменными.
Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.
Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.
Стандарт определяет три уровня защиты информации:
Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:
Еще одной новацией для ЦБ, но привычной для читаталей документов ФСТЭК, стал алгоритм выбора защитных мер. Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает:
И вновь обращаю ваше внимание на 3-5 пункты. Если СТО БР ИББС состоял из множества документов, то новый ГОСТ один. Поэтому все требования по ИБ включены в один документ, но разбиты на 3 большие части - сами меры защиты, меры по управлению и требования к жизненному циклу.
Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):
Блок управления состоит из четырех компонентов:
Ну и блок требований к жизненному циклу защиты информации:
Вот такая картина получается. Достаточно гибкий подход, как мне кажется. И ни слова про оценку соответствия или отправку в ГУБЗИ ее результатов. Правда, пока неясной (для меня) остается судьба самого СТО БР ИББС. Там остаются документы, положения которых не вошли и врядли войдут в состав нового ГОСТа. Например, свежий СТО 1.3 по сбору доказательств для расследования инцидентов. Возможно из них сделают то, что называется "рекомендация по стандартизации" с соответствующей их регистрацией в Росстандарте (как это сделано в ТК26). Посмотрим...
ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.
Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.
Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.
Стандарт определяет три уровня защиты информации:
- уровень 3 – минимальный
- уровень 2 – стандартный
- уровень 1 – усиленный.
Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:
- вида деятельности финансовой организации,
- состава реализуемых бизнес-процессов и (или) технологических процессов
- объема финансовых операций
- размера организации
- отнесения финансовой организации к категории малых предприятий и микропредприятий
- значимости финансовой организации для финансового рынка и национальной платежной системы.
Как можно было заметить в 5-й редакции СТО БР ИББС, тему ПДн ЦБ перестал драйвить и попросту отсылает всех к 21-му приказу ФСТЭК. Так и в ГОСТе - никаких отдельных защитных мер для ПДн нет. ЦБ просто соотносит уровни защиты нового ГОСТа и уровни защищенности ПДн ЦБ:
Еще одной новацией для ЦБ, но привычной для читаталей документов ФСТЭК, стал алгоритм выбора защитных мер. Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает:
- выбор базового состава мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам ИС, реализуемым ИТ, особенностям функционирования ИС
- уточнение (включает дополнение или исключение)
- дополнение адаптированного базового набора мер по обеспечению безопасности дополнительными мерами, установленными иными нормативными актами.
Обратите внимание, теперь не будет закрытого и неизменного списка защитных мер, как это прописано в СТО БР ИББС или в 382-П или в иных документах Банка России. Теперь этот перечень будет зависеть от множества факторов - для каждого случая будут установлены уровни защиты, а их реализация будет базироваться на новом ГОСТе. Получится вполне дифференцированный подход.
Структура нового ГОСТа будет следующей:
- Область применения, нормативные ссылки, термины и определения, сокращения, назначение и структура стандарта
- Общие положения
- Требования к системе защиты информации
- Требования к организации и управлению защитой информации
- Требования по защите информации на этапах жизненного цикла автоматизированных систем
- Приложение А – Модель угроз и нарушителей
- Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
- Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа
Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):
- Обеспечение защиты информации при управлении доступом
- управление учетными записями и правами субъектов логического доступа
- идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа
- защита информации при осуществлении физического доступа
- идентификация, классификация и учет ресурсов и объектов доступа
- Обеспечение защиты вычислительных сетей
- сегментация и межсетевое экранирование вычислительных сетей
- выявление сетевых вторжений и атак
- защита информации, передаваемой по вычислительным сетям
- защита беспроводных сетей
- Контроль целостности и защищенности информационной инфраструктуры
- Антивирусная защита
- Предотвращение утечек информации, защита машинных носителей информации (МНИ)
- Управление инцидентами защиты информации
- мониторинг и анализ событий защиты информации
- обнаружение инцидентов защиты информации и реагирование на них
- Защита среды виртуализации
- Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
Фрагмент блока требований по управлению доступом |
- Планирование системы защиты информации
- Реализация системы защиты информации
- Контроль реализация системы защиты информации
- Совершенствование реализация системы защиты информации.
Фрагмент блока требований к планированию системы защиты информации |
Фрагмент блока требований к жизненному циклу |
ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.
Есть ли в проекте нового ГОСТа упоминание необходимости наличия службы ИБ в кредитной организации?
ОтветитьУдалитьА этот вопрос не для ГОСТа. Он останется на уровне положений ЦБ, того же 382-П
ОтветитьУдалитьА можно как-нибудь ознакомиться с проектом нового ГОСТа?
ОтветитьУдалитьОн доступен членам ПК1 ТК122
ОтветитьУдалить