29.02.2016

Уральский форум: СТОБР станет обязательным

Убедившись, что с июля 2016-го года национальные стандарты, определяющие требования по защите сведений ограниченного доступа, к которым может относиться и банковская тайна, и инсайдерская информация, могут быть обязательными, мы вновь возвращаемся к вопросу обязательности СТО БР ИББС Банка России. Если вспомнить предысторию, то в 2011-2012-м годах эта тема уже поднималась и Банк России хотел перевести СТО в ранг ГОСТа. Но тогда это не имело большого смысла, так как, что в статусе СТО, что в статусе ГОСТа документ ЦБ не мог перейти из разряда рекомендаций в обязательные к применению нормативные акты. Сейчас ситуация меняется, о чем и говорили на Уральском форуме.

Разумеется, не стоит ждать, что в июле СТОБР поменяет свой статус. Пройдет немало времени, прежде чем это радостное (а для кого-то и не очень) событие произойдет. Давайте прикинем, сколько времени на это понадобится. До июля точно никто никаких шагов предпринимать не будет; да и ЦБ сейчас занят новой редакцией 382-П, о которой я еще скажу дальше. Переводить текущую, пятую версию СТО в разряд ГОСТа тоже не имеет смысла, - потребуется переработка этого документа. Это займет не менее (по моим оценкам) года. Не менее еще одного года уйдет на внесение проекта нового стандарта в Ростехрегулирование, его рассмотрение и принятие. По опыту участия в ТК362 "Защита информации" могу сказать, что обычно на вступление в силу нового ГОСТа уходит около полутора-двух лет с момента его внесения в Ростехрегулирование. Получается, что у нас есть около 3-х лет на этот переходный период. Есть время подготовиться к этой "революции".

На самом деле, переводом СТОБР в ГОСТ дело не ограничивается. После того как ГУБЗИ получило контроль над 382-П (раньше за его развитие отвечал ДНПС) и вся основная нормативная база по ИБ кредитных (и некредитных, но об этом позже) организаций вновь сосредоточилась в одних руках (так было до 2012-го года), ГУБЗИ затеяло небыстрый проект по гармонизации и унификации своих требований по защите информации, которые будут разнесены на два уровня - требования технического характера уйдут на уровень ГОСТов, а требования организационно-правового и технологического характера будут определяться нормативными актами Банка России - положениями и указаниями. Из этого вытекает и логичный вывод о том, что 382-П также претерпит серьезные изменения, о которых я расскажу в следующей заметке.