SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
09.06.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


Рассмотрев в предыдущей публикации стандарт ГОСТ Р 57580.1-2017, устанавливающий требования к организационным и техническим мерам защиты информации, полноте их реализации (по циклу Деминга) и к защите информации на различных этапах жизненного цикла IT-систем и приложений, следует перейти ко второй части данного стандарта - ГОСТ Р 57580.2-2018, который описывает методику оценки соответствия выполненных требований целевым.


Целевые требования сформулированы как в самом ГОСТ Р 57580.2-2018 (указан рекомендуемый Центробанком числовой уровень итоговой оценки соответствия защиты информации), так и в нижеприведенных Положениях Банка России.


Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» обязывает кредитные организации выполнять нормы 3-его уровня соответствия к 01.01.2021 и нормы 4-го уровня - к 01.01.2023.


Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» обязывает некредитные финансовые организации выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня - к 01.01.2023.


Положение №672-П «О требованиях к защите информации в платежной системе Банка России» обязывает участников обмена, т.е. участников платежной системы Банка России, операционные и платежные клиринговые центры, выполнять нормы не ниже 4-го уровня соответствия к 01.01.2023.


Положение ЦБ РФ №683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные - в соответствии со стандартным (2-ым) уровнем защиты.


Положение ЦБ РФ №684-П требует реализации разных уровней защиты информации для некредитных финансовых организаций в зависимости от выполняемых ими функций:  центральные контрагенты и центральный депозитарий должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные некредитные финансовые организации, такие как специализированные депозитарии, клиринговые организации, организаторы торговли, страховые компании, пенсионные фонды, репозитарии - в соответствии со стандартным (2-ым) уровнем защиты.


Положение ЦБ РФ №672-П требует от операционных и платежных клиринговых центров выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а от участников обмена при осуществлении переводов денежных средств с использованием сервиса срочного, несрочного перевода и сервиса быстрых платежей - в соответствии со стандартным (2-ым) уровнем защиты.


Стандарт ГОСТ Р 57580.2-2018 требует осуществлять следующие виды оценок соответствия нормам стандарта ГОСТ Р 57580.1-2017:


1. Оценку выбора организационных и технических мер защиты информации проводить по каждому из восьми основных процессов информационной безопасности. Ниже приведен перечень данных процессов:

  • процесс 1 «Обеспечение защиты информации при управлении доступом» и подпроцессы:

          - «Управление учетными записями и правами субъектов логического доступа»;

          - «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;

          - «Защита информации при осуществлении физического доступа»;

          - «Идентификация, классификация и учет ресурсов и объектов доступа»;

  • процесс 2 «Обеспечение защиты вычислительных сетей» и подпроцессы:

          - «Сегментация и межсетевое экранирование вычислительных сетей»;

- «Выявление сетевых вторжений и атак»;
- «Защита информации, передаваемой по вычислительным сетям»;
- «Защита беспроводных сетей»;

  • процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»;

  • процесс 4 «Защита от вредоносного кода»:

  • процесс 5 «Предотвращение утечек информации»;

  • процесс 6 «Управление инцидентами защиты информации» и подпроцессы:
         - «Мониторинг и анализ событий защиты информации»;

         - «Обнаружение инцидентов защиты информации и реагирование на них»;

  • процесс 7 «Защита среды виртуализации»;

  • процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».


Для каждого из процессов и вложенных подпроцессов выполняется количественная оценка выбранности той или иной меры защиты информации (0 - если мера не выбрана и решение по выбору меры не принималось, 1 - если мера выбрана и решение по выбору меры принималось), затем подсчитывается среднее арифметическое значение для каждого из восьми процессов. Данные значения заносятся в итоговую таблицу оценки.


2. Оценку качества и полноты реализации применяемых мер защиты информации выполнять по каждому из четырех направлений цикла Деминга:

  • направление 1 «Планирование процесса системы защиты информации»;

  • направление 2 «Реализация процесса системы защиты информации»;

  • направление 3 «Контроль процесса системы защиты информации»;

  • направление 4 «Совершенствование процесса системы защиты информации».


Для каждого из направлений в разрезе каждого из восьми процессов выставляется оценка полноты реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется), далее рассчитываются средние арифметические значения для каждого направления. Данные значения заносятся в итоговую таблицу оценки.


3. Оценку выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений проводить для каждой из реализованных мер соответствующего этапа:

  • этап 1 «Создание (модернизация) систем»;

  • этап 2 «Ввод в эксплуатацию систем»;

  • этап 3 «Эксплуатация (сопровождение) систем»;

  • этап 4 «Эксплуатация (сопровождение) и снятие с эксплуатации систем».


Для каждого из этапов жизненного цикла осуществляется оценка реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется). Далее рассчитывается среднее арифметическое значение, которое заносится в итоговую таблицу оценки.


Затем следует рассчитать итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, при этом в расчете учитывают заданные стандартом весовые коэффициенты для каждого из четырех направлений цикла Деминга (так, направление «Реализация процесса» имеет максимальный вес, а «Совершенствование» - минимальный). В случае, если оцениваются несколько контуров безопасности, итоговое среднеарифметическое значение количественной оценки соответствия вычисляется для каждого из контуров отдельно, а затем, в зависимости от наличия контуров с разными уровнями защиты информации и с учетом соответствующих весовых коэффициентов, вычисляется итоговое значение для такой комплексной системы.


Наконец, полученное итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, которое может принимать значение от 0 (минимальное) до 1 (максимальное), сравнивается с целевыми значениями для определения качественной оценки уровня соответствия процессов системы защиты информации: от нулевого уровня соответствия (итоговое значение равно 0) до пятого (итоговое значение находится в пределах от 0.9 до 1). При этом в стандарте указан рекомендуемый Центральным Банком числовой уровень итоговой оценки соответствия защиты информации в значении больше 0.85, что соотносится с четвертым уровнем соответствия.


Итоговая оценка рассчитывается на основании средней оценки соответствия всех процессов защиты информации, оценки полноты выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений, а также количества нарушений защиты информации, которые будут выявлены членами проверяющей группы в процессе оценки соответствия организации стандарту ГОСТ Р 57580.1-2017.


Следует учесть, что при оценке организации может быть определен перечень неоцениваемых областей (out-of-scope), т.е. таких, которые связаны с не используемыми в проверяемой организации технологиями и которые не являются необходимыми для нейтрализации актуальных угроз ИБ, определенных в модели угроз и нарушителя.


Проверяющая организация должна обладать лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (как минимум на один из видов работ и услуг, указанных в пунктах б), д), е) «Положения о лицензировании деятельности по технической защите конфиденциальной информации»). Кроме этого, в стандарте описаны рекомендации по самому процессу оценки соответствия, среди которых как анализ документов проверяемой организации и опрос её ответственных сотрудников, так и анализ результатов самостоятельных наблюдений проверяющих, оценка параметров настройки технических систем и использование средств сбора свидетельств применения мер защиты. В процессе аудита проверяющие определяют области оценки и целевые уровни защиты (при этом нормативных актов ЦБ РФ по определению уровней защиты пока нет), осуществляют изучение и сбор информации по обеспечению мер защиты в проверяемой финансовой организации, расчет числовых показателей, заполнение таблиц оценок и отчетов, формы и требования к которым сформулированы в ГОСТ Р 57580.2-2018. Данный стандарт также рекомендует руководствоваться адаптированным международным стандартом ГОСТ Р ИСО 19011-2012 «Руководящие указания по аудиту систем менеджмента», который постулирует следующие принципы проведения аудита: целостность (ответственность), беспристрастность, профессиональная осмотрительность, конфиденциальность, независимость, воспроизводимость свидетельств и заключений аудита.


Финансовая организация, готовящаяся к прохождению аудита на соответствие стандарту ГОСТ Р 57580.1-2017, должна разработать модели угроз и нарушителя, осуществить выбор и реализацию мер защиты (в т.ч. обосновать выбранные и компенсирующие меры), провести GAP-анализ и самостоятельную предварительную оценку соответствия, разработать и утвердить недостающие внутренние нормативные документы, а также оценить текущие настройки средств и систем защиты информации.


Группа Компаний «Интеллектуальная Безопасность» обладает необходимой лицензией на деятельность по технической защите конфиденциальной информации, а также соответствующими компетенциями в области защиты информации, что позволяет проводить аудиты финансовых организаций на соответствие стандарту ГОСТ Р 57580.1-2017.


Продукты Security Vision помогают финансовым организациям выполнять требования стандарта ГОСТ Р 57580.1-2017 в части реализации процесса 6 «Управление инцидентами защиты информации» и подпроцессов «Мониторинг и анализ событий защиты информации» и «Обнаружение инцидентов защиты информации и реагирование на них»:


Условное обозначение и номер меры

Содержание меры системы защиты информации

Продукт Security Vision, реализующий данную меру

РИ.1

Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации.

Security Operation Center;

Incident Response Platform

РИ.З

Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации.

Security Operation Center;

Incident Response Platform

РИ.5

Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений.

Security Operation Center;

Incident Response Platform

РИ.6

Установление и применение единых правил реагирования на инциденты защиты информации.

Incident Response Platform

РИ.7

Определение и назначение ролей, связанных с реагированием на инциденты защиты информации.

Incident Response Platform

РИ.8

Определение и назначение ролей, связанных с реагированием на инциденты защиты информации — ролей группы реагирования на инцидентызащиты информации (ГРИЗИ).

Incident Response Platform

РИ.9

Выделение в составе ГРИЗИ следующих основных ролей:

  • руководитель ГРИЗИ, в основные функциональные обязанности которого входит обеспечение оперативного руководства реагированием на инциденты защиты информации;

  • оператор-диспетчер ГРИЗИ, в основные функциональные обязанности которого входит обеспечение сбора и регистрации информации об инцидентах защиты информации;

  • аналитик ГРИЗИ, в основные функциональные обязанности которого входит выполнение непосредственных действий по реагированию на инциденты защиты информации;

  • секретарь ГРИЗИ, в основные функциональные обязанности которого входят документирование результатов реагирования на инциденты защиты информации, формирование аналитических отчетов, материалов.

Incident Response Platform

РИ.10

Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных

инцидентах защиты информации.

Incident Response Platform

РИ.11

Предоставление членам ГРИЗИ прав логического и физического доступа и

административных полномочий, необходимых для проведения реагирования на инциденты защиты информации.

Incident Response Platform

РИ.12

Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:

  • анализ инцидента;

  • определение источников и причин возникновения инцидента;

  • оценку последствий инцидента на предоставление финансовых услуг;

  • реализацию бизнес-процессов или технологических процессов финансовой организации;

  • принятие мер по устранению последствий инцидента;

  • планирование и принятие мер по предотвращению повторного возникновения инцидента.

Incident Response Platform

РИ.13

Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации.

Incident Response Platform

РИ.14

Установление и применение единых правил закрытия инцидентов защиты информации.

Incident Response Platform

      

ГОСТы и документы ИБ Стандарты ИБ Аудит информационной безопасности СЗИ Подкасты ИБ Финансы в ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют