Уже через месяц состоится юбилейный X Уральский форум. Самое время ознакомится с ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
Посмотрим хронологию событий (кстати, неплохой темп подготовки нормативки):
05.09.2016 На портале ТК122 появился проект (общедоступный). Ранее написал о нем заметку.
30.03.2017 На портале ТК122 появился доработанный проект (требуется авторизация).
17.04.2017 На портале ТК122 появилась окончательная редакция (требуется авторизация)
08.08.2017 Документ утвержден Росстандартом (пресс-релиз Банка России)
01.01.2018 Документ введен в действие
В данном случае введение в действие не означает немедленного обязательного выполнения. В других НПА пока нет ссылки на новый ГОСТ. Еще не утверждена Методика оценки соответствия (хотя на портале ТК122 уже есть и проект, и сводка замечаний), а также критерии классификации уровней защиты.
Отдельно стоит отметить, что уровень защиты присваивается не всей финансовой организации, а контуру безопасности - совокупности объектов информатизации, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности).
В окончательной редакции ГОСТ изменилось соотношение уровней защиты информации и уровней защищенности ПДн из ПП1119.
Также из-за изменения нормативной базы ФСТЭК России в части межсетевых экранов, изменился соответствующий раздел ГОСТ. В целом подход и требования схожи с Приказами ФСТЭК №17/21/31. Требования по применению СКЗИ не поменялись.
Ждем методику оценки соответствия ГОСТ и критерии классификации уровней защиты. Думаю, что на Уральском Форуме представители Банка России поделятся информацией о сроках выпуска этих документов.
Ссылки
ГОСТ Р 57580.1-2017 (постраничный pdf)
ГОСТ Р 57580.1-2017 (word после распознавания с небольшими неточностями)
Посмотрим хронологию событий (кстати, неплохой темп подготовки нормативки):
05.09.2016 На портале ТК122 появился проект (общедоступный). Ранее написал о нем заметку.
30.03.2017 На портале ТК122 появился доработанный проект (требуется авторизация).
17.04.2017 На портале ТК122 появилась окончательная редакция (требуется авторизация)
08.08.2017 Документ утвержден Росстандартом (пресс-релиз Банка России)
01.01.2018 Документ введен в действие
В данном случае введение в действие не означает немедленного обязательного выполнения. В других НПА пока нет ссылки на новый ГОСТ. Еще не утверждена Методика оценки соответствия (хотя на портале ТК122 уже есть и проект, и сводка замечаний), а также критерии классификации уровней защиты.
Отдельно стоит отметить, что уровень защиты присваивается не всей финансовой организации, а контуру безопасности - совокупности объектов информатизации, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности).
В окончательной редакции ГОСТ изменилось соотношение уровней защиты информации и уровней защищенности ПДн из ПП1119.
Уровень защиты информации
ГОСТ Р 57580.1-2017
|
Соответствующий уровень защищенности ПДн ПП1119
(было в проекте)
|
Соответствующий уровень защищенности ПДн ПП1119
(стало в итоговой редакции)
|
3 минимальный
|
-
|
УЗ4
|
2 стандартный
|
УЗ3, УЗ4
|
УЗ2, УЗ3
|
1 усиленный
|
УЗ1, УЗ2
|
УЗ1
|
Также из-за изменения нормативной базы ФСТЭК России в части межсетевых экранов, изменился соответствующий раздел ГОСТ. В целом подход и требования схожи с Приказами ФСТЭК №17/21/31. Требования по применению СКЗИ не поменялись.
Ждем методику оценки соответствия ГОСТ и критерии классификации уровней защиты. Думаю, что на Уральском Форуме представители Банка России поделятся информацией о сроках выпуска этих документов.
Ссылки
ГОСТ Р 57580.1-2017 (постраничный pdf)
ГОСТ Р 57580.1-2017 (word после распознавания с небольшими неточностями)
Комментариев нет:
Отправить комментарий