С 1 января 2018 года вступил в силу ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
Ссылки на требования Стандарта ЦБ включил в Положение 672-П (защита инфомации на участке ПС БР) и в Положение 683-П, 684-П (Меры по защите клиентов от хищений для банков и НФО)
Общие положения Стандарта
Деятельности финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Понизить его можно лишь до определенного остаточного уровня.
Для управления операционном риском необходимо обеспечить:
- идентификацию и учет объектов информатизации;
- применение мер защиты информации для снижения непосредственного операционного риска;
- применение мер для организации и управления защитой информации;
- организация ЗИ на этапах жизненного цикла АС и приложения;
- оценку остаточного операционного риска.
При идентификации и учете объектов информатизации рассматриваются уровни информационной инфраструктуры:
а) системные уровни:
- уровень аппаратного обеспечения;
- уровень сетевого оборудования;
- уровень сетевых приложений и сервисов;
- уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;
- уровень операционных систем, систем управления базами данных, серверов приложений;
б) уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.
Выбор и применение мер защиты информации включает:
- выбор мер защиты информации, установленных для определенного уровня защиты информации;
- адаптация (уточнение) набора мер защиты с учетом модели угроз и нарушителя и характеристик объектов информатизации;
- исключение из базового состава тех мер, которые не связаны с используемыми информационными технологиями;
- дополнение набор мер защиты информации мерами, установленными НПА с области ЗИ;
- применение дополнительных мер организации управления защитой информации, а также мер ЗИ на этапах жизненного цикла.
При невозможности реализации некоторых мер и с учетом экономической целесообразности на этапе адаптации (уточнения) могут разрабатываться компенсирующие меры защиты.
Требуется обоснование применения компенсирующих мер. Компенсирующие меры должны быть направлены нейтрализацию тех же угроз, что и неприменяемые меры из базового набора.
Оценка остаточного операционного риска осуществляется в соответствии с требованиями нормативных актов Банка России на основе оценки выполнения требований разделов 7-9 Стандарта.
В Стандарте установлены 3 возможных уровня защиты информации:
- уровень 3 – минимальный;
- уровень 2 – стандартный;
- уровень 1 – усиленный.
В финансовой организации могут быть сформированы один или несколько контуров безопасности.
Уровень защиты информации для конкретного контура устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках контура безопасности;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
По комментариям сотрудника ГУБиЗИ ЦБ РФ на прошедшем Уральском форуме, требования защиты информации по 1-му уровню скорее всего будут предъявляться к крупным банкам, по 2-му уровню – к остальным кредитным организациям. Видимо, требования по 3-му уровню могут применяться к микрофинансовым организациям, небольшим НПФ, страховым компаниям и т.п.
Меры из базового состава финансовым организациям рекомендуется применять и для защиты информационных систем персональных данных:
- 4-ый уровень защищенности ИСПДн соответствует 3-му уровню защиты информации;
- 2-ой и 3-ый уровни защищенности ИСПДн соответствуют 2-му уровню защиты информации;
- 1-ый уровень защищенности ИСПДн соответствует 1-му уровню защиты информации.
В Разделе 6 Стандарта также приведены:
- рекомендации по примерному содержанию политики обеспечения защиты информации финансовой организации;
- принципы, применяемые при предоставлении доступа к защищаемой информации («знать своего клиента», «знать своего работника», «необходимо знать», «двойное управление»);
- рекомендации по автоматизации процессов;
- требования при использовании СКЗИ.
Требования к системе защиты информации
В Разделе 7 описаны меры защиты информации для 8 процессов защиты информации:
1. «Обеспечение защиты информации при управлении доступом» с подпроцессами:
a. управление учетными записями и правами субъектов логического доступа;
b. идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа;
c. защита информации при осуществлении физического доступа;
d. идентификация, классификация и учет ресурсов и объектов доступа.
2. «Обеспечение защиты вычислительных сетей» с подпроцессами:
a. сегментация и межсетевое экранирование вычислительных сетей;
b. выявление сетевых вторжений и атак;
c. защита информации, передаваемой по вычислительным сетям;
d. защита беспроводных сетей.
3. «Контроль целостности и защищенности информационной инфраструктуры».
4. «Защита от вредоносного кода».
5. «Предотвращение утечек информации, защита машинных носителей информации (МНИ)».
6. «Управление инцидентами защиты информации» с подпроцессами:
a. мониторинг и анализ событий защиты информации;
b. обнаружение инцидентов защиты информации и реагирование на них;
7. «Защита среды виртуализации».
8. «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».
Общий вид требований Раздела 7 приведен ниже. В правом верхнем углу каждой фигуры указано общее количество мер защиты.
Способы реализации конкретной меры защиты:
- «О» – реализация путем применения организационной меры защиты информации (по решению финансовой организации способ реализации может быть заменен на техническую меру ЗИ);
- «Т» – реализация путем применения технической меры защиты информации;
- «Н» – реализация является необязательной.
Ниже приведена сводная таблица по количеству мер, установленных для процессов и подпроцессов раздела 7.
- «Т» – реализация путем применения технической меры защиты информации;
- «Н» – реализация является необязательной.
Ниже приведена сводная таблица по количеству мер, установленных для процессов и подпроцессов раздела 7.
№
|
Процесс защиты информации, подпроцесс или
группа мер ЗИ
|
Уровень защиты информации
|
||
3
|
2
|
1
|
||
7.2
|
Процесс
1 «Обеспечение защиты информации при управлении доступом»
|
Т – 30
О – 33
Н – 39
|
Т – 55
О – 33
Н – 14
|
Т – 73
О – 25
Н – 4
|
7.2.1.
|
Подпроцесс «Управление учетными записями и правами субъектов
логического доступа»
|
Т – 7
О – 15
Н – 7
|
Т – 18
О – 9
Н – 2
|
Т – 21
О – 7
Н – 1
|
7.2.2.
|
Подпроцесс «Идентификация, аутентификация, авторизация
(разграничение доступа) при осуществлении логического доступа»
|
Т – 23
О – 8
Н – 13
|
Т – 30
О – 9
Н – 5
|
Т – 33
О – 9
Н – 2
|
7.2.3.
|
Подпроцесс «Защита информации при осуществлении физического
доступа»
|
Т – 0
О – 6
Н – 15
|
Т – 3
О – 12
Н – 6
|
Т – 11
О – 9
Н – 1
|
7.2.4.
|
Подпроцесс «Идентификация и учет ресурсов и объектов доступа»
|
Т – 0
О – 4
Н – 4
|
Т – 4
О – 3
Н – 1
|
Т – 8
О – 0
Н – 0
|
7.3
|
Процесс 2
«Обеспечение защиты вычислительных сетей»
|
Т – 11
О – 0
Н – 36
|
Т – 32
О – 1
Н – 14
|
Т – 45
О – 0
Н – 2
|
7.3.1.
|
Подпроцесс
«Сегментация и межсетевое экранирование вычислительных сетей»
|
Т – 6
О – 0
Н – 15
|
Т – 14
О – 1
Н – 6
|
Т – 20
О – 0
Н – 1
|
7.3.2.
|
Подпроцесс
«Выявление вторжений и сетевых атак»
|
Т – 1
О – 0
Н – 13
|
Т – 9
О – 0
Н – 5
|
Т – 14
О – 0
Н – 0
|
7.3.3.
|
Подпроцесс
«Защита информации, передаваемой по вычислительным сетям»
|
Т – 2
О – 0
Н – 0
|
Т – 2
О – 0
Н – 0
|
Т – 2
О – 0
Н – 0
|
7.3.4.
|
Подпроцесс
«Защита беспроводных сетей»
|
Т – 2
О – 0
Н – 8
|
Т – 7
О – 0
Н – 3
|
Т – 9
О – 0
Н – 1
|
7.4.
|
Процесс
3 «Контроль целостности и защищенности информационной инфраструктуры»
|
Т – 0
О – 13
Н – 23
|
Т – 21
О – 8
Н – 7
|
Т – 33
О – 3
Н – 0
|
7.5.
|
Процесс
4 «Защита от вредоносного кода»
|
Т – 20
О – 1
Н – 7
|
Т – 26
О – 1
Н – 1
|
Т – 26
О – 1
Н – 1
|
7.6.
|
Процесс
5 «Предотвращение утечек информации»
|
Т – 2
О – 5
Н – 26
|
Т – 22
О – 6
Н – 5
|
Т – 24
О – 6
Н – 3
|
7.7.
|
Процесс
6 «Управление инцидентами защиты информации»
|
Т – 14
О – 11
Н – 17
|
Т – 29
О – 9
Н – 4
|
Т – 31
О – 8
Н – 3
|
7.7.1.
|
Подпроцесс «Мониторинг и анализ событий защиты информации»
|
Т – 11
О – 1
Н – 11
|
Т – 21
О – 0
Н – 2
|
Т – 22
О – 0
Н – 1
|
7.7.2.
|
Подпроцесс «Обнаружение инцидентов защиты информации и
реагирование на них»
|
Т – 3
О – 10
Н – 6
|
Т – 8
О – 9
Н – 2
|
Т – 9
О – 8
Н – 2
|
7.8.
|
Процесс
7 «Защита среды виртуализации»
|
Т – 12
О – 2
Н – 29
|
Т – 25
О – 6
Н – 12
|
Т – 33
О – 6
Н – 4
|
7.9.
|
Процесс
8 «Защита информации при осуществлении удаленного логического доступа с
использованием мобильных (переносных) устройств»
|
Т – 6
О – 1
Н – 5
|
Т – 11
О – 1
Н – 0
|
Т – 11
О – 1
Н – 0
|
Всего по разделу 7
|
Т – 95
О – 66
Н – 182
|
Т – 221
О – 65
Н – 57
|
Т – 276
О – 50
Н – 17
|
|
Требования к организации и управлению защитой информации
В Разделе 8 описаны требования к организации и управлению защитой информации на системных уровнях информационной инфраструктуры:
1. Направление 1 - «Планирование процесса системы защиты информации» («Планирование»).
2. Направление 2 - «Реализация процесса системы защиты информации» («Реализация»).
3. Направление 3 - «Контроль реализации процесса системы защиты информации» («Контроль»).
4. Направление 4 - «Совершенствование реализации процесса системы защиты информации» («Совершенствование»).
Итого получается цикл Деминга "Plan-Do-Check-Act" (PCDA)
Общий вид требований Разделов 8 и 9 приведен ниже.
Ниже приведена таблица по
количеству мер защиты, установленных для каждого из направлений управления защитой информации.
№
|
Направление защиты информации
|
Уровень защиты информации
|
||
3
|
2
|
1
|
||
8.2
|
Направление
1 «Планирование процесса системы защиты информации»
|
Т – 0
О – 5
Н – 0
|
Т – 0
О – 5
Н – 0
|
Т – 0
О – 5
Н – 0
|
8.3.
|
Направление 2
«Реализация процесса системы защиты информации»
|
Т – 1
О – 9
Н – 6
|
Т – 1
О – 10
Н – 5
|
Т – 6
О – 8
Н – 2
|
8.4.
|
Направление 3
«Контроль процесса системы защиты информации»
|
Т – 0
О – 8
Н – 4
|
Т – 6
О – 6
Н – 0
|
Т – 8
О – 4
Н – 0
|
8.4.2.
|
Базовый состав мер контроля процесса системы защиты
информации
|
Т – 0
О – 8
Н – 0
|
Т – 2
О – 6
Н – 0
|
Т – 4
О – 4
Н – 0
|
8.4.3.
|
Базовый состав мер контроля процесса системы защиты
информации, в части регистрации событий защиты информации
|
Т – 0
О – 0
Н – 4
|
Т – 4
О – 0
Н – 0
|
Т – 4
О – 0
Н – 0
|
8.5.
|
Направление 4
«Совершенствование процесса системы защиты информации»
|
Т – 0
О – 4
Н – 0
|
Т – 0
О – 4
Н – 0
|
Т – 0
О – 4
Н – 0
|
Всего по разделу 8
|
Т – 1
О – 26
Н – 10
|
Т – 7
О – 25
Н – 5
|
Т – 14
О – 21
Н – 2
|
|
Количество контролей раздела 8 умножается на 8, выполнение требований каждого направления (PCDA) контролируется для каждого из 8-ми процессов.
Итого по разделу 8 с учетом PCDA для всех подпроцессов
|
Т – 8
О – 208
Н – 80
|
Т – 56
О – 200
Н – 40
|
Т – 112
О – 168
Н –16
|
Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений
В Разделе 9 описаны требования к защите информации на этапах жизненного цикла АС и приложений.
Применяемые финансовой организацией меры на этапах жизненного цикла АС должны обеспечивать:
- определение состава мер защиты информации, реализуемых в АС (мер системы защиты информации АС);
- должное применение и контроль применения мер системы защиты информации АС;
- контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС;
- конфиденциальность защищаемой информации.
Этапы жизненного цикла АС и приложений:
1. Создание (модернизация) АС.
2. Ввод в эксплуатацию АС.
3. Эксплуатация (сопровождение) АС.
4. Эксплуатация (сопровождение) и снятие с эксплуатации АС.
Ниже приведена таблица по количеству мер, установленных для каждого этапа жизненного цикла.
№
|
Этап жизненного цикла АС и приложений
|
Уровень защиты информации
|
||
3
|
2
|
1
|
||
9.5
|
Создание
(модернизация) АС
|
Т – 0
О – 8
Н – 3
|
Т – 0
О – 11
Н – 0
|
Т – 0
О – 11
Н – 0
|
9.6.
|
Ввод в
эксплуатацию АС
|
Т – 0
О – 2
Н – 1
|
Т – 0
О – 3
Н – 0
|
Т – 0
О – 3
Н – 0
|
9.7.
|
Эксплуатация
(сопровождение) АС
|
Т – 0
О – 5
Н – 6
|
Т – 1
О – 9
Н – 1
|
Т – 2
О – 9
Н – 0
|
9.8.
|
Эксплуатация (сопровождение)
и снятие с эксплуатации АС
|
Т – 0
О – 1
Н – 2
|
Т – 0
О – 3
Н – 0
|
Т – 0
О – 3
Н – 0
|
Всего по разделу 9
|
Т – 0
О – 16
Н – 12
|
Т – 1
О – 26
Н – 1
|
Т – 2
О – 26
Н – 0
|
|
Всего же в разделах 7, 8 и 9 ГОСТ 57580.1-2017 содержится 667 требований:
Итого по разделам 7, 8 и 9 c учетом PCDA для всех процессов
|
Т – 103
О – 290
Н – 274
|
Т – 278
О – 291
Н – 98
|
Т – 390
О – 244
Н – 33
|
С учетом того, что некоторые пункты являются двумя частями одного и того же требования (например, УЗП.14 и УЗП.15 и т.п.), общее количество требований, подлежащих реализации в финансовой организации для 1 уровня защиты информации составляет 389.
Общее количество требований, подлежащих реализации, может быть снижено за счет адаптации набора мер с учетом модели угроз и нарушителя, а также за счет исключения мер, не связанных с используемыми информационными технологиями (см. раздел Общие положения Стандарта).
Кстати, при проведении аудита по требованиям 382-П в банках, мы уже приминаем во внимание и требования ГОСТ 57580.1-2017. Готовиться к новым требованиям нужно начинать заранее.
Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!
Виталий, чем Вы схемы такие рисуете?
ОтветитьУдалитьЕвгений, MS Visio Вам в помощь!
ОтветитьУдалитьЗдравствуйте, Виталий! А можно вас попросить прислать на электронную почту файлы со схемами 7 8 и 9-го этапа? Просто для курсовой работы нужно
Удалитьв формате visio
Удалить