SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


Рассмотрев в предыдущей публикации стандарт ГОСТ Р 57580.1-2017, устанавливающий требования к организационным и техническим мерам защиты информации, полноте их реализации (по циклу Деминга) и к защите информации на различных этапах жизненного цикла IT-систем и приложений, следует перейти ко второй части данного стандарта - ГОСТ Р 57580.2-2018, который описывает методику оценки соответствия выполненных требований целевым.


Целевые требования сформулированы как в самом ГОСТ Р 57580.2-2018 (указан рекомендуемый Центробанком числовой уровень итоговой оценки соответствия защиты информации), так и в нижеприведенных Положениях Банка России.


Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» обязывает кредитные организации выполнять нормы 3-его уровня соответствия к 01.01.2021 и нормы 4-го уровня - к 01.01.2023.


Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» обязывает некредитные финансовые организации выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня - к 01.01.2023.


Положение №672-П «О требованиях к защите информации в платежной системе Банка России» обязывает участников обмена, т.е. участников платежной системы Банка России, операционные и платежные клиринговые центры, выполнять нормы не ниже 4-го уровня соответствия к 01.01.2023.


Положение ЦБ РФ №683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные - в соответствии со стандартным (2-ым) уровнем защиты.


Положение ЦБ РФ №684-П требует реализации разных уровней защиты информации для некредитных финансовых организаций в зависимости от выполняемых ими функций:  центральные контрагенты и центральный депозитарий должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные некредитные финансовые организации, такие как специализированные депозитарии, клиринговые организации, организаторы торговли, страховые компании, пенсионные фонды, репозитарии - в соответствии со стандартным (2-ым) уровнем защиты.


Положение ЦБ РФ №672-П требует от операционных и платежных клиринговых центров выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а от участников обмена при осуществлении переводов денежных средств с использованием сервиса срочного, несрочного перевода и сервиса быстрых платежей - в соответствии со стандартным (2-ым) уровнем защиты.


Стандарт ГОСТ Р 57580.2-2018 требует осуществлять следующие виды оценок соответствия нормам стандарта ГОСТ Р 57580.1-2017:


1. Оценку выбора организационных и технических мер защиты информации проводить по каждому из восьми основных процессов информационной безопасности. Ниже приведен перечень данных процессов:

  • процесс 1 «Обеспечение защиты информации при управлении доступом» и подпроцессы:

          - «Управление учетными записями и правами субъектов логического доступа»;

          - «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;

          - «Защита информации при осуществлении физического доступа»;

          - «Идентификация, классификация и учет ресурсов и объектов доступа»;

  • процесс 2 «Обеспечение защиты вычислительных сетей» и подпроцессы:

          - «Сегментация и межсетевое экранирование вычислительных сетей»;

- «Выявление сетевых вторжений и атак»;
- «Защита информации, передаваемой по вычислительным сетям»;
- «Защита беспроводных сетей»;

  • процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»;

  • процесс 4 «Защита от вредоносного кода»:

  • процесс 5 «Предотвращение утечек информации»;

  • процесс 6 «Управление инцидентами защиты информации» и подпроцессы:
         - «Мониторинг и анализ событий защиты информации»;

         - «Обнаружение инцидентов защиты информации и реагирование на них»;

  • процесс 7 «Защита среды виртуализации»;

  • процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».


Для каждого из процессов и вложенных подпроцессов выполняется количественная оценка выбранности той или иной меры защиты информации (0 - если мера не выбрана и решение по выбору меры не принималось, 1 - если мера выбрана и решение по выбору меры принималось), затем подсчитывается среднее арифметическое значение для каждого из восьми процессов. Данные значения заносятся в итоговую таблицу оценки.


2. Оценку качества и полноты реализации применяемых мер защиты информации выполнять по каждому из четырех направлений цикла Деминга:

  • направление 1 «Планирование процесса системы защиты информации»;

  • направление 2 «Реализация процесса системы защиты информации»;

  • направление 3 «Контроль процесса системы защиты информации»;

  • направление 4 «Совершенствование процесса системы защиты информации».


Для каждого из направлений в разрезе каждого из восьми процессов выставляется оценка полноты реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется), далее рассчитываются средние арифметические значения для каждого направления. Данные значения заносятся в итоговую таблицу оценки.


3. Оценку выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений проводить для каждой из реализованных мер соответствующего этапа:

  • этап 1 «Создание (модернизация) систем»;

  • этап 2 «Ввод в эксплуатацию систем»;

  • этап 3 «Эксплуатация (сопровождение) систем»;

  • этап 4 «Эксплуатация (сопровождение) и снятие с эксплуатации систем».


Для каждого из этапов жизненного цикла осуществляется оценка реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется). Далее рассчитывается среднее арифметическое значение, которое заносится в итоговую таблицу оценки.


Затем следует рассчитать итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, при этом в расчете учитывают заданные стандартом весовые коэффициенты для каждого из четырех направлений цикла Деминга (так, направление «Реализация процесса» имеет максимальный вес, а «Совершенствование» - минимальный). В случае, если оцениваются несколько контуров безопасности, итоговое среднеарифметическое значение количественной оценки соответствия вычисляется для каждого из контуров отдельно, а затем, в зависимости от наличия контуров с разными уровнями защиты информации и с учетом соответствующих весовых коэффициентов, вычисляется итоговое значение для такой комплексной системы.


Наконец, полученное итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, которое может принимать значение от 0 (минимальное) до 1 (максимальное), сравнивается с целевыми значениями для определения качественной оценки уровня соответствия процессов системы защиты информации: от нулевого уровня соответствия (итоговое значение равно 0) до пятого (итоговое значение находится в пределах от 0.9 до 1). При этом в стандарте указан рекомендуемый Центральным Банком числовой уровень итоговой оценки соответствия защиты информации в значении больше 0.85, что соотносится с четвертым уровнем соответствия.


Итоговая оценка рассчитывается на основании средней оценки соответствия всех процессов защиты информации, оценки полноты выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений, а также количества нарушений защиты информации, которые будут выявлены членами проверяющей группы в процессе оценки соответствия организации стандарту ГОСТ Р 57580.1-2017.


Следует учесть, что при оценке организации может быть определен перечень неоцениваемых областей (out-of-scope), т.е. таких, которые связаны с не используемыми в проверяемой организации технологиями и которые не являются необходимыми для нейтрализации актуальных угроз ИБ, определенных в модели угроз и нарушителя.


Проверяющая организация должна обладать лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (как минимум на один из видов работ и услуг, указанных в пунктах б), д), е) «Положения о лицензировании деятельности по технической защите конфиденциальной информации»). Кроме этого, в стандарте описаны рекомендации по самому процессу оценки соответствия, среди которых как анализ документов проверяемой организации и опрос её ответственных сотрудников, так и анализ результатов самостоятельных наблюдений проверяющих, оценка параметров настройки технических систем и использование средств сбора свидетельств применения мер защиты. В процессе аудита проверяющие определяют области оценки и целевые уровни защиты (при этом нормативных актов ЦБ РФ по определению уровней защиты пока нет), осуществляют изучение и сбор информации по обеспечению мер защиты в проверяемой финансовой организации, расчет числовых показателей, заполнение таблиц оценок и отчетов, формы и требования к которым сформулированы в ГОСТ Р 57580.2-2018. Данный стандарт также рекомендует руководствоваться адаптированным международным стандартом ГОСТ Р ИСО 19011-2012 «Руководящие указания по аудиту систем менеджмента», который постулирует следующие принципы проведения аудита: целостность (ответственность), беспристрастность, профессиональная осмотрительность, конфиденциальность, независимость, воспроизводимость свидетельств и заключений аудита.


Финансовая организация, готовящаяся к прохождению аудита на соответствие стандарту ГОСТ Р 57580.1-2017, должна разработать модели угроз и нарушителя, осуществить выбор и реализацию мер защиты (в т.ч. обосновать выбранные и компенсирующие меры), провести GAP-анализ и самостоятельную предварительную оценку соответствия, разработать и утвердить недостающие внутренние нормативные документы, а также оценить текущие настройки средств и систем защиты информации.


Группа Компаний «Интеллектуальная Безопасность» обладает необходимой лицензией на деятельность по технической защите конфиденциальной информации, а также соответствующими компетенциями в области защиты информации, что позволяет проводить аудиты финансовых организаций на соответствие стандарту ГОСТ Р 57580.1-2017.


Продукты Security Vision помогают финансовым организациям выполнять требования стандарта ГОСТ Р 57580.1-2017 в части реализации процесса 6 «Управление инцидентами защиты информации» и подпроцессов «Мониторинг и анализ событий защиты информации» и «Обнаружение инцидентов защиты информации и реагирование на них»:


Условное обозначение и номер меры

Содержание меры системы защиты информации

Продукт Security Vision, реализующий данную меру

РИ.1

Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации.

Security Operation Center;

Incident Response Platform

РИ.З

Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации.

Security Operation Center;

Incident Response Platform

РИ.5

Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений.

Security Operation Center;

Incident Response Platform

РИ.6

Установление и применение единых правил реагирования на инциденты защиты информации.

Incident Response Platform

РИ.7

Определение и назначение ролей, связанных с реагированием на инциденты защиты информации.

Incident Response Platform

РИ.8

Определение и назначение ролей, связанных с реагированием на инциденты защиты информации — ролей группы реагирования на инцидентызащиты информации (ГРИЗИ).

Incident Response Platform

РИ.9

Выделение в составе ГРИЗИ следующих основных ролей:

  • руководитель ГРИЗИ, в основные функциональные обязанности которого входит обеспечение оперативного руководства реагированием на инциденты защиты информации;

  • оператор-диспетчер ГРИЗИ, в основные функциональные обязанности которого входит обеспечение сбора и регистрации информации об инцидентах защиты информации;

  • аналитик ГРИЗИ, в основные функциональные обязанности которого входит выполнение непосредственных действий по реагированию на инциденты защиты информации;

  • секретарь ГРИЗИ, в основные функциональные обязанности которого входят документирование результатов реагирования на инциденты защиты информации, формирование аналитических отчетов, материалов.

Incident Response Platform

РИ.10

Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных

инцидентах защиты информации.

Incident Response Platform

РИ.11

Предоставление членам ГРИЗИ прав логического и физического доступа и

административных полномочий, необходимых для проведения реагирования на инциденты защиты информации.

Incident Response Platform

РИ.12

Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:

  • анализ инцидента;

  • определение источников и причин возникновения инцидента;

  • оценку последствий инцидента на предоставление финансовых услуг;

  • реализацию бизнес-процессов или технологических процессов финансовой организации;

  • принятие мер по устранению последствий инцидента;

  • планирование и принятие мер по предотвращению повторного возникновения инцидента.

Incident Response Platform

РИ.13

Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации.

Incident Response Platform

РИ.14

Установление и применение единых правил закрытия инцидентов защиты информации.

Incident Response Platform

      

Стандарты, ГОСТы и документы ИБ Аудит информационной безопасности СЗИ Подкасты ИБ ИБ в финансовых организациях

Похожие статьи

CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
Спам – что это такое, каким бывает и есть ли в нем польза
Спам – что это такое, каким бывает и есть ли в нем польза
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
Методы поиска уязвимостей и виды сканеров
Методы поиска уязвимостей и виды сканеров
Как устроены вредоносные программы
Как устроены вредоносные программы
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Управление мобильными устройствами
Управление мобильными устройствами
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)

Похожие статьи

CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
Спам – что это такое, каким бывает и есть ли в нем польза
Спам – что это такое, каким бывает и есть ли в нем польза
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
Методы поиска уязвимостей и виды сканеров
Методы поиска уязвимостей и виды сканеров
Как устроены вредоносные программы
Как устроены вредоносные программы
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Управление мобильными устройствами
Управление мобильными устройствами
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)