понедельник, 2 апреля 2018 г.

Обзор мер защиты информации из ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций...»


С 1 января 2018 года вступил в силу ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
Ссылки на требования Стандарта ЦБ включил в Положение 672-П (защита инфомации на участке ПС БР) и в Положение 683-П, 684-П (Меры по защите клиентов от хищений для банков и НФО)

Общие положения Стандарта


Деятельности финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Понизить его можно лишь до определенного остаточного уровня.

Для управления операционном риском необходимо обеспечить:

- идентификацию и учет объектов информатизации;

- применение мер защиты информации для снижения непосредственного операционного риска;

- применение мер для организации и управления защитой информации;

- организация ЗИ на этапах жизненного цикла АС и приложения;

- оценку остаточного операционного риска.
При идентификации и учете объектов информатизации рассматриваются уровни информационной инфраструктуры:

а) системные уровни:

- уровень аппаратного обеспечения;

- уровень сетевого оборудования;

- уровень сетевых приложений и сервисов;

- уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;
- уровень операционных систем, систем управления базами данных, серверов приложений;
б) уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.

Выбор и применение мер защиты информации включает:
- выбор мер защиты информации, установленных для определенного уровня защиты информации;
- адаптация (уточнение) набора мер защиты с учетом модели угроз и нарушителя и характеристик объектов информатизации;
- исключение из базового состава тех мер, которые не связаны с используемыми информационными технологиями;
- дополнение набор мер защиты информации мерами, установленными НПА с области ЗИ;
- применение дополнительных мер организации управления защитой информации, а также мер ЗИ на этапах жизненного цикла.

При невозможности реализации некоторых мер и с учетом экономической целесообразности на этапе адаптации (уточнения) могут разрабатываться компенсирующие меры защиты.

Требуется обоснование применения компенсирующих мер. Компенсирующие меры должны быть направлены нейтрализацию тех же угроз, что и неприменяемые меры из базового набора.

Оценка остаточного операционного риска осуществляется в соответствии с требованиями нормативных актов Банка России на основе оценки выполнения требований разделов 7-9 Стандарта.

В Стандарте установлены 3 возможных уровня защиты информации:
- уровень 3 – минимальный;
- уровень 2 – стандартный;
- уровень 1 – усиленный.

В финансовой организации могут быть сформированы один или несколько контуров безопасности.

Уровень защиты информации для конкретного контура устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках контура безопасности;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;

- значимости финансовой организации для финансового рынка и национальной платежной системы.

По комментариям сотрудника ГУБиЗИ ЦБ РФ на прошедшем Уральском форуме, требования защиты информации по 1-му уровню скорее всего будут предъявляться к крупным банкам, по 2-му уровню – к остальным кредитным организациям. Видимо, требования по 3-му уровню могут применяться к микрофинансовым организациям, небольшим НПФ, страховым компаниям и т.п.


Меры из базового состава финансовым организациям рекомендуется применять и для защиты информационных систем персональных данных:

- 4-ый уровень защищенности ИСПДн соответствует 3-му уровню защиты информации;

- 2-ой и 3-ый уровни защищенности ИСПДн соответствуют 2-му уровню защиты информации;

- 1-ый уровень защищенности ИСПДн соответствует 1-му уровню защиты информации.


В Разделе 6 Стандарта также приведены:
- рекомендации по примерному содержанию политики обеспечения защиты информации финансовой организации;

- принципы, применяемые при предоставлении доступа к защищаемой информации («знать своего клиента», «знать своего работника», «необходимо знать», «двойное управление»);

- рекомендации по автоматизации процессов;

- требования при использовании СКЗИ.



Требования к системе защиты информации


В Разделе 7 описаны меры защиты информации для 8 процессов защиты информации:
1. «Обеспечение защиты информации при управлении доступом» с подпроцессами:

     a. управление учетными записями и правами субъектов логического доступа;

  b. идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа;

     c. защита информации при осуществлении физического доступа;

     d. идентификация, классификация и учет ресурсов и объектов доступа.

2. «Обеспечение защиты вычислительных сетей» с подпроцессами:
     a. сегментация и межсетевое экранирование вычислительных сетей;
     b. выявление сетевых вторжений и атак;
     c. защита информации, передаваемой по вычислительным сетям;
     d. защита беспроводных сетей.
3. «Контроль целостности и защищенности информационной инфраструктуры».
4. «Защита от вредоносного кода».
5. «Предотвращение утечек информации, защита машинных носителей информации (МНИ)».
6. «Управление инцидентами защиты информации» с подпроцессами:
     a. мониторинг и анализ событий защиты информации;
     b. обнаружение инцидентов защиты информации и реагирование на них;
7. «Защита среды виртуализации».
8. «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».

Общий вид требований Раздела 7 приведен ниже. В правом верхнем углу каждой фигуры указано общее количество мер защиты.

 

Способы реализации конкретной меры защиты:
- «О» – реализация путем применения организационной меры защиты информации (по решению финансовой организации способ реализации может быть заменен на техническую меру ЗИ);
- «Т» – реализация путем применения технической меры защиты информации;
- «Н» – реализация является необязательной.

Ниже приведена сводная таблица по количеству мер, установленных для процессов и подпроцессов раздела 7.


Процесс защиты информации, подпроцесс или группа мер ЗИ
Уровень защиты информации
3
2
1
7.2
Процесс 1 «Обеспечение защиты информации при управлении доступом»
Т – 30
О – 33
Н – 39
Т – 55
О – 33
Н – 14
Т – 73
О – 25
Н – 4
7.2.1.
Подпроцесс «Управление учетными записями и правами субъектов логического доступа»
Т – 7
О – 15
Н – 7
Т – 18
О – 9
Н – 2
Т – 21
О – 7
Н – 1
7.2.2.
Подпроцесс «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»
Т – 23
О – 8
Н – 13
Т – 30
О – 9
Н – 5
Т – 33
О – 9
Н – 2
7.2.3.
Подпроцесс «Защита информации при осуществлении физического доступа»
Т – 0
О – 6
Н – 15
Т – 3
О – 12
Н – 6
Т – 11
О – 9
Н – 1
7.2.4.
Подпроцесс «Идентификация и учет ресурсов и объектов доступа»
Т – 0
О – 4
Н – 4
Т – 4
О – 3
Н – 1
Т – 8
О – 0
Н – 0
7.3
Процесс 2 «Обеспечение защиты вычислительных сетей»
Т – 11
О – 0
Н – 36
Т – 32
О – 1
Н – 14
Т – 45
О – 0
Н – 2
7.3.1.
Подпроцесс «Сегментация и межсетевое экранирование вычислительных сетей»
Т – 6
О – 0
Н – 15
Т – 14
О – 1
Н – 6
Т – 20
О – 0
Н – 1
7.3.2.
Подпроцесс «Выявление вторжений и сетевых атак»
Т – 1
О – 0
Н – 13
Т – 9
О – 0
Н – 5
Т – 14
О – 0
Н – 0
7.3.3.
Подпроцесс «Защита информации, передаваемой по вычислительным сетям»
Т – 2
О – 0
Н – 0
Т – 2
О – 0
Н – 0
Т – 2
О – 0
Н – 0
7.3.4.
Подпроцесс «Защита беспроводных сетей»
Т – 2
О – 0
Н – 8
Т – 7
О – 0
Н – 3
Т – 9
О – 0
Н – 1
7.4.
Процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»
Т – 0
О – 13
Н – 23
Т – 21
О – 8
Н – 7
Т – 33
О – 3
Н – 0
7.5.
Процесс 4 «Защита от вредоносного кода»
Т – 20
О – 1
Н – 7
Т – 26
О – 1
Н – 1
Т – 26
О – 1
Н – 1
7.6.
Процесс 5 «Предотвращение утечек информации»
Т – 2
О – 5
Н – 26
Т – 22
О – 6
Н – 5
Т – 24
О – 6
Н – 3
7.7.
Процесс 6 «Управление инцидентами защиты информации»
Т – 14
О – 11
Н – 17
Т – 29
О – 9
Н – 4
Т – 31
О – 8
Н – 3
7.7.1.
Подпроцесс «Мониторинг и анализ событий защиты информации»
Т – 11
О – 1
Н – 11
Т – 21
О – 0
Н – 2
Т – 22
О – 0
Н – 1
7.7.2.
Подпроцесс «Обнаружение инцидентов защиты информации и реагирование на них»
Т – 3
О – 10
Н – 6
Т – 8
О – 9
Н – 2
Т – 9
О – 8
Н – 2
7.8.
Процесс 7 «Защита среды виртуализации»
Т – 12
О – 2
Н – 29
Т – 25
О – 6
Н – 12
Т – 33
О – 6
Н – 4
7.9.
Процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»
Т – 6
О – 1
Н – 5
Т – 11
О – 1
Н – 0
Т – 11
О – 1
Н – 0

Всего по разделу 7
Т – 95
О – 66
Н – 182
Т – 221
О – 65
Н – 57
Т – 276
О – 50
Н – 17

Требования к организации и управлению защитой информации

В Разделе 8 описаны требования к организации и управлению защитой информации на системных уровнях информационной инфраструктуры:

1. Направление 1 - «Планирование процесса системы защиты информации» («Планирование»).

2. Направление 2 - «Реализация процесса системы защиты информации» («Реализация»).

3. Направление 3 - «Контроль реализации процесса системы защиты информации» («Контроль»).

4. Направление 4 - «Совершенствование реализации процесса системы защиты информации» («Совершенствование»).


Итого получается цикл Деминга "Plan-Do-Check-Act" (PCDA)

Общий вид требований Разделов 8 и 9 приведен ниже.



Ниже приведена таблица по количеству мер защиты, установленных для каждого из направлений управления защитой информации.
Направление защиты информации
Уровень защиты информации
3
2
1
8.2
Направление 1 «Планирование процесса системы защиты информации»
Т – 0
О – 5
Н – 0
Т – 0
О – 5
Н – 0
Т – 0
О – 5
Н – 0
8.3.
Направление 2 «Реализация процесса системы защиты информации»
Т – 1
О – 9
Н – 6
Т – 1
О – 10
Н – 5
Т – 6
О – 8
Н – 2
8.4.
Направление 3 «Контроль процесса системы защиты информации»
Т – 0
О – 8
Н – 4
Т – 6
О – 6
Н – 0
Т – 8
О – 4
Н – 0
8.4.2.
Базовый состав мер контроля процесса системы защиты информации
Т – 0
О – 8
Н – 0
Т – 2
О – 6
Н – 0
Т – 4
О – 4
Н – 0
8.4.3.
Базовый состав мер контроля процесса системы защиты информации, в части регистрации событий защиты информации
Т – 0
О – 0
Н – 4
Т – 4
О – 0
Н – 0
Т – 4
О – 0
Н – 0
8.5.
Направление 4 «Совершенствование процесса системы защиты информации»
Т – 0
О – 4
Н – 0
Т – 0
О – 4
Н – 0
Т – 0
О – 4
Н – 0

Всего по разделу 8
Т – 1
О – 26
Н – 10
Т – 7
О – 25
Н – 5
Т – 14
О – 21
Н – 2

Количество контролей раздела 8 умножается на 8, выполнение требований каждого направления (PCDA) контролируется для каждого из 8-ми процессов.


Итого по разделу 8 с учетом PCDA для всех подпроцессов
Т – 8
О – 208
Н – 80
Т – 56
О – 200
Н – 40
Т – 112
О – 168
Н –16

Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений


В Разделе 9 описаны требования к защите информации на этапах жизненного цикла АС и приложений.

Применяемые финансовой организацией меры на этапах жизненного цикла АС должны обеспечивать:
- определение состава мер защиты информации, реализуемых в АС (мер системы защиты информации АС);

- должное применение и контроль применения мер системы защиты информации АС;

- контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС;

- конфиденциальность защищаемой информации.



Этапы жизненного цикла АС и приложений:
1. Создание (модернизация) АС.
2. Ввод в эксплуатацию АС.
3. Эксплуатация (сопровождение) АС.
4. Эксплуатация (сопровождение) и снятие с эксплуатации АС.

Ниже приведена таблица по количеству мер, установленных для каждого этапа жизненного цикла.


Этап жизненного цикла АС и приложений
Уровень защиты информации
3
2
1
9.5
Создание (модернизация) АС
Т – 0
О – 8
Н – 3
Т – 0
О – 11
Н – 0
Т – 0
О – 11
Н – 0
9.6.
Ввод в эксплуатацию АС
Т – 0
О – 2
Н – 1
Т – 0
О – 3
Н – 0
Т – 0
О – 3
Н – 0
9.7.
Эксплуатация (сопровождение) АС
Т – 0
О – 5
Н – 6
Т – 1
О – 9
Н – 1
Т – 2
О – 9
Н – 0
9.8.
Эксплуатация (сопровождение) и снятие с эксплуатации АС
Т – 0
О – 1
Н – 2
Т – 0
О – 3
Н – 0
Т – 0
О – 3
Н – 0

Всего по разделу 9
Т – 0
О – 16
Н – 12
Т – 1
О – 26
Н – 1
Т – 2
О – 26
Н – 0

Всего же в разделах 7, 8 и 9 ГОСТ 57580.1-2017 содержится 667 требований:

Итого по разделам 7, 8 и 9 c учетом PCDA для всех процессов
Т – 103
О – 290
Н – 274
Т – 278
О – 291
Н – 98
Т – 390
О – 244
Н – 33

С учетом того, что некоторые пункты являются двумя частями одного и того же требования (например, УЗП.14 и УЗП.15 и т.п.), общее количество требований, подлежащих реализации в финансовой организации для 1 уровня защиты информации составляет 389.

Общее количество требований, подлежащих реализации, может быть снижено за счет адаптации набора мер с учетом модели угроз и нарушителя, а также за счет исключения мер, не связанных с используемыми информационными технологиями (см. раздел Общие положения Стандарта).

Кстати, при проведении аудита по требованиям 382-П в банках, мы уже приминаем во внимание и требования ГОСТ 57580.1-2017. Готовиться к новым требованиям нужно начинать заранее.


Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях! 

2 комментария: