| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Рассмотрев в предыдущей публикации стандарт ГОСТ Р 57580.1-2017, устанавливающий требования к организационным и техническим мерам защиты информации, полноте их реализации (по циклу Деминга) и к защите информации на различных этапах жизненного цикла IT-систем и приложений, следует перейти ко второй части данного стандарта - ГОСТ Р 57580.2-2018, который описывает методику оценки соответствия выполненных требований целевым.
Целевые требования сформулированы как в самом ГОСТ Р 57580.2-2018 (указан рекомендуемый Центробанком числовой уровень итоговой оценки соответствия защиты информации), так и в нижеприведенных Положениях Банка России.
Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» обязывает кредитные организации выполнять нормы 3-его уровня соответствия к 01.01.2021 и нормы 4-го уровня - к 01.01.2023.
Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» обязывает некредитные финансовые организации выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня - к 01.01.2023.
Положение №672-П «О требованиях к защите информации в платежной системе Банка России» обязывает участников обмена, т.е. участников платежной системы Банка России, операционные и платежные клиринговые центры, выполнять нормы не ниже 4-го уровня соответствия к 01.01.2023.
Положение ЦБ РФ №683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные - в соответствии со стандартным (2-ым) уровнем защиты.
Положение ЦБ РФ №684-П требует реализации разных уровней защиты информации для некредитных финансовых организаций в зависимости от выполняемых ими функций: центральные контрагенты и центральный депозитарий должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные некредитные финансовые организации, такие как специализированные депозитарии, клиринговые организации, организаторы торговли, страховые компании, пенсионные фонды, репозитарии - в соответствии со стандартным (2-ым) уровнем защиты.
Положение ЦБ РФ №672-П требует от операционных и платежных клиринговых центров выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а от участников обмена при осуществлении переводов денежных средств с использованием сервиса срочного, несрочного перевода и сервиса быстрых платежей - в соответствии со стандартным (2-ым) уровнем защиты.
Стандарт ГОСТ Р 57580.2-2018 требует осуществлять следующие виды оценок соответствия нормам стандарта ГОСТ Р 57580.1-2017:
1. Оценку выбора организационных и технических мер защиты информации проводить по каждому из восьми основных процессов информационной безопасности. Ниже приведен перечень данных процессов:
-
процесс 1 «Обеспечение защиты информации при управлении доступом» и подпроцессы:
- «Управление учетными записями и правами субъектов логического доступа»;
- «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;
- «Защита информации при осуществлении физического доступа»;
- «Идентификация, классификация и учет ресурсов и объектов доступа»;
-
процесс 2 «Обеспечение защиты вычислительных сетей» и подпроцессы:
- «Сегментация и межсетевое экранирование вычислительных сетей»;
- «Выявление сетевых вторжений и атак»;
- «Защита информации, передаваемой по вычислительным сетям»;
- «Защита беспроводных сетей»;
-
процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»;
-
процесс 4 «Защита от вредоносного кода»:
-
процесс 5 «Предотвращение утечек информации»;
- процесс 6 «Управление инцидентами защиты информации» и подпроцессы:
- «Мониторинг и анализ событий защиты информации»;
- «Обнаружение инцидентов защиты информации и реагирование на них»;
-
процесс 7 «Защита среды виртуализации»;
-
процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».
Для каждого из процессов и вложенных подпроцессов выполняется количественная оценка выбранности той или иной меры защиты информации (0 - если мера не выбрана и решение по выбору меры не принималось, 1 - если мера выбрана и решение по выбору меры принималось), затем подсчитывается среднее арифметическое значение для каждого из восьми процессов. Данные значения заносятся в итоговую таблицу оценки.
2. Оценку качества и полноты реализации применяемых мер защиты информации выполнять по каждому из четырех направлений цикла Деминга:
-
направление 1 «Планирование процесса системы защиты информации»;
-
направление 2 «Реализация процесса системы защиты информации»;
-
направление 3 «Контроль процесса системы защиты информации»;
-
направление 4 «Совершенствование процесса системы защиты информации».
Для каждого из направлений в разрезе каждого из восьми процессов выставляется оценка полноты реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется), далее рассчитываются средние арифметические значения для каждого направления. Данные значения заносятся в итоговую таблицу оценки.
3. Оценку выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений проводить для каждой из реализованных мер соответствующего этапа:
-
этап 1 «Создание (модернизация) систем»;
-
этап 2 «Ввод в эксплуатацию систем»;
-
этап 3 «Эксплуатация (сопровождение) систем»;
-
этап 4 «Эксплуатация (сопровождение) и снятие с эксплуатации систем».
Для каждого из этапов жизненного цикла осуществляется оценка реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется). Далее рассчитывается среднее арифметическое значение, которое заносится в итоговую таблицу оценки.
Затем следует рассчитать итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, при этом в расчете учитывают заданные стандартом весовые коэффициенты для каждого из четырех направлений цикла Деминга (так, направление «Реализация процесса» имеет максимальный вес, а «Совершенствование» - минимальный). В случае, если оцениваются несколько контуров безопасности, итоговое среднеарифметическое значение количественной оценки соответствия вычисляется для каждого из контуров отдельно, а затем, в зависимости от наличия контуров с разными уровнями защиты информации и с учетом соответствующих весовых коэффициентов, вычисляется итоговое значение для такой комплексной системы.
Наконец, полученное итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, которое может принимать значение от 0 (минимальное) до 1 (максимальное), сравнивается с целевыми значениями для определения качественной оценки уровня соответствия процессов системы защиты информации: от нулевого уровня соответствия (итоговое значение равно 0) до пятого (итоговое значение находится в пределах от 0.9 до 1). При этом в стандарте указан рекомендуемый Центральным Банком числовой уровень итоговой оценки соответствия защиты информации в значении больше 0.85, что соотносится с четвертым уровнем соответствия.
Итоговая оценка рассчитывается на основании средней оценки соответствия всех процессов защиты информации, оценки полноты выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений, а также количества нарушений защиты информации, которые будут выявлены членами проверяющей группы в процессе оценки соответствия организации стандарту ГОСТ Р 57580.1-2017.
Следует учесть, что при оценке организации может быть определен перечень неоцениваемых областей (out-of-scope), т.е. таких, которые связаны с не используемыми в проверяемой организации технологиями и которые не являются необходимыми для нейтрализации актуальных угроз ИБ, определенных в модели угроз и нарушителя.
Проверяющая организация должна обладать лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (как минимум на один из видов работ и услуг, указанных в пунктах б), д), е) «Положения о лицензировании деятельности по технической защите конфиденциальной информации»). Кроме этого, в стандарте описаны рекомендации по самому процессу оценки соответствия, среди которых как анализ документов проверяемой организации и опрос её ответственных сотрудников, так и анализ результатов самостоятельных наблюдений проверяющих, оценка параметров настройки технических систем и использование средств сбора свидетельств применения мер защиты. В процессе аудита проверяющие определяют области оценки и целевые уровни защиты (при этом нормативных актов ЦБ РФ по определению уровней защиты пока нет), осуществляют изучение и сбор информации по обеспечению мер защиты в проверяемой финансовой организации, расчет числовых показателей, заполнение таблиц оценок и отчетов, формы и требования к которым сформулированы в ГОСТ Р 57580.2-2018. Данный стандарт также рекомендует руководствоваться адаптированным международным стандартом ГОСТ Р ИСО 19011-2012 «Руководящие указания по аудиту систем менеджмента», который постулирует следующие принципы проведения аудита: целостность (ответственность), беспристрастность, профессиональная осмотрительность, конфиденциальность, независимость, воспроизводимость свидетельств и заключений аудита.
Финансовая организация, готовящаяся к прохождению аудита на соответствие стандарту ГОСТ Р 57580.1-2017, должна разработать модели угроз и нарушителя, осуществить выбор и реализацию мер защиты (в т.ч. обосновать выбранные и компенсирующие меры), провести GAP-анализ и самостоятельную предварительную оценку соответствия, разработать и утвердить недостающие внутренние нормативные документы, а также оценить текущие настройки средств и систем защиты информации.
Группа Компаний «Интеллектуальная Безопасность» обладает необходимой лицензией на деятельность по технической защите конфиденциальной информации, а также соответствующими компетенциями в области защиты информации, что позволяет проводить аудиты финансовых организаций на соответствие стандарту ГОСТ Р 57580.1-2017.
Продукты Security Vision помогают финансовым организациям выполнять требования стандарта ГОСТ Р 57580.1-2017 в части реализации процесса 6 «Управление инцидентами защиты информации» и подпроцессов «Мониторинг и анализ событий защиты информации» и «Обнаружение инцидентов защиты информации и реагирование на них»:
Условное обозначение и номер меры |
Содержание меры системы защиты информации |
Продукт Security Vision, реализующий данную меру |
РИ.1 |
Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации. |
|
РИ.З |
Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации. |
|
РИ.5 |
Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений. |
|
РИ.6 |
Установление и применение единых правил реагирования на инциденты защиты информации. |
|
РИ.7 |
Определение и назначение ролей, связанных с реагированием на инциденты защиты информации. |
|
РИ.8 |
Определение и назначение ролей, связанных с реагированием на инциденты защиты информации — ролей группы реагирования на инцидентызащиты информации (ГРИЗИ). |
|
РИ.9 |
Выделение в составе ГРИЗИ следующих основных ролей:
|
|
РИ.10 |
Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных инцидентах защиты информации. |
|
РИ.11 |
Предоставление членам ГРИЗИ прав логического и физического доступа и административных полномочий, необходимых для проведения реагирования на инциденты защиты информации. |
|
РИ.12 |
Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:
|
|
РИ.13 |
Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации. |
|
РИ.14 |
Установление и применение единых правил закрытия инцидентов защиты информации. |