Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Руслан Рахметов, Security Vision

Рассмотрев в предыдущей публикации стандарт ГОСТ Р 57580.1-2017, устанавливающий требования к организационным и техническим мерам защиты информации, полноте их реализации (по циклу Деминга) и к защите информации на различных этапах жизненного цикла IT-систем и приложений, следует перейти ко второй части данного стандарта - ГОСТ Р 57580.2-2018, который описывает методику оценки соответствия выполненных требований целевым.

Целевые требования сформулированы как в самом ГОСТ Р 57580.2-2018 (указан рекомендуемый Центробанком числовой уровень итоговой оценки соответствия защиты информации), так и в нижеприведенных Положениях Банка России.

Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» обязывает кредитные организации выполнять нормы 3-его уровня соответствия к 01.01.2021 и нормы 4-го уровня - к 01.01.2023.

Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» обязывает некредитные финансовые организации выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня - к 01.01.2023.

Положение №672-П «О требованиях к защите информации в платежной системе Банка России» обязывает участников обмена, т.е. участников платежной системы Банка России, операционные и платежные клиринговые центры, выполнять нормы не ниже 4-го уровня соответствия к 01.01.2023.

Положение ЦБ РФ №683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные - в соответствии со стандартным (2-ым) уровнем защиты.

Положение ЦБ РФ №684-П требует реализации разных уровней защиты информации для некредитных финансовых организаций в зависимости от выполняемых ими функций:  центральные контрагенты и центральный депозитарий должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные некредитные финансовые организации, такие как специализированные депозитарии, клиринговые организации, организаторы торговли, страховые компании, пенсионные фонды, репозитарии - в соответствии со стандартным (2-ым) уровнем защиты.

Положение ЦБ РФ №672-П требует от операционных и платежных клиринговых центров выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а от участников обмена при осуществлении переводов денежных средств с использованием сервиса срочного, несрочного перевода и сервиса быстрых платежей - в соответствии со стандартным (2-ым) уровнем защиты.

Стандарт ГОСТ Р 57580.2-2018 требует осуществлять следующие виды оценок соответствия нормам стандарта ГОСТ Р 57580.1-2017:

1. Оценку выбора организационных и технических мер защиты информации проводить по каждому из восьми основных процессов информационной безопасности. Ниже приведен перечень данных процессов:

• процесс 1 «Обеспечение защиты информации при управлении доступом» и подпроцессы:

- «Управление учетными записями и правами субъектов логического доступа»;
- «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;
- «Защита информации при осуществлении физического доступа»;
- «Идентификация, классификация и учет ресурсов и объектов доступа»;

• процесс 2 «Обеспечение защиты вычислительных сетей» и подпроцессы:

- «Сегментация и межсетевое экранирование вычислительных сетей»;
- «Выявление сетевых вторжений и атак»;
- «Защита информации, передаваемой по вычислительным сетям»;
- «Защита беспроводных сетей»;

• процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»;

• процесс 4 «Защита от вредоносного кода»:

• процесс 5 «Предотвращение утечек информации»;

• процесс 6 «Управление инцидентами защиты информации» и подпроцессы:

- «Мониторинг и анализ событий защиты информации»;
- «Обнаружение инцидентов защиты информации и реагирование на них»;

• процесс 7 «Защита среды виртуализации»;

• процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».

Для каждого из процессов и вложенных подпроцессов выполняется количественная оценка выбранности той или иной меры защиты информации (0 - если мера не выбрана и решение по выбору меры не принималось, 1 - если мера выбрана и решение по выбору меры принималось), затем подсчитывается среднее арифметическое значение для каждого из восьми процессов. Данные значения заносятся в итоговую таблицу оценки.

2. Оценку качества и полноты реализации применяемых мер защиты информации выполнять по каждому из четырех направлений цикла Деминга:

• направление 1 «Планирование процесса системы защиты информации»;

• направление 2 «Реализация процесса системы защиты информации»;

• направление 3 «Контроль процесса системы защиты информации»;

• направление 4 «Совершенствование процесса системы защиты информации».

Для каждого из направлений в разрезе каждого из восьми процессов выставляется оценка полноты реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется), далее рассчитываются средние арифметические значения для каждого направления. Данные значения заносятся в итоговую таблицу оценки.

3. Оценку выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений проводить для каждой из реализованных мер соответствующего этапа:

• этап 1 «Создание (модернизация) систем»;

• этап 2 «Ввод в эксплуатацию систем»;

• этап 3 «Эксплуатация (сопровождение) систем»;

• этап 4 «Эксплуатация (сопровождение) и снятие с эксплуатации систем».

Для каждого из этапов жизненного цикла осуществляется оценка реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется). Далее рассчитывается среднее арифметическое значение, которое заносится в итоговую таблицу оценки.

Затем следует рассчитать итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, при этом в расчете учитывают заданные стандартом весовые коэффициенты для каждого из четырех направлений цикла Деминга (так, направление «Реализация процесса» имеет максимальный вес, а «Совершенствование» - минимальный). В случае, если оцениваются несколько контуров безопасности, итоговое среднеарифметическое значение количественной оценки соответствия вычисляется для каждого из контуров отдельно, а затем, в зависимости от наличия контуров с разными уровнями защиты информации и с учетом соответствующих весовых коэффициентов, вычисляется итоговое значение для такой комплексной системы.

Наконец, полученное итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, которое может принимать значение от 0 (минимальное) до 1 (максимальное), сравнивается с целевыми значениями для определения качественной оценки уровня соответствия процессов системы защиты информации: от нулевого уровня соответствия (итоговое значение равно 0) до пятого (итоговое значение находится в пределах от 0.9 до 1). При этом в стандарте указан рекомендуемый Центральным Банком числовой уровень итоговой оценки соответствия защиты информации в значении больше 0.85, что соотносится с четвертым уровнем соответствия.

Итоговая оценка рассчитывается на основании средней оценки соответствия всех процессов защиты информации, оценки полноты выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений, а также количества нарушений защиты информации, которые будут выявлены членами проверяющей группы в процессе оценки соответствия организации стандарту ГОСТ Р 57580.1-2017.

Следует учесть, что при оценке организации может быть определен перечень неоцениваемых областей (out-of-scope), т.е. таких, которые связаны с не используемыми в проверяемой организации технологиями и которые не являются необходимыми для нейтрализации актуальных угроз ИБ, определенных в модели угроз и нарушителя.

Проверяющая организация должна обладать лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (как минимум на один из видов работ и услуг, указанных в пунктах б), д), е) «Положения о лицензировании деятельности по технической защите конфиденциальной информации»). Кроме этого, в стандарте описаны рекомендации по самому процессу оценки соответствия, среди которых как анализ документов проверяемой организации и опрос её ответственных сотрудников, так и анализ результатов самостоятельных наблюдений проверяющих, оценка параметров настройки технических систем и использование средств сбора свидетельств применения мер защиты. В процессе аудита проверяющие определяют области оценки и целевые уровни защиты (при этом нормативных актов ЦБ РФ по определению уровней защиты пока нет), осуществляют изучение и сбор информации по обеспечению мер защиты в проверяемой финансовой организации, расчет числовых показателей, заполнение таблиц оценок и отчетов, формы и требования к которым сформулированы в ГОСТ Р 57580.2-2018. Данный стандарт также рекомендует руководствоваться адаптированным международным стандартом ГОСТ Р ИСО 19011-2012 «Руководящие указания по аудиту систем менеджмента», который постулирует следующие принципы проведения аудита: целостность (ответственность), беспристрастность, профессиональная осмотрительность, конфиденциальность, независимость, воспроизводимость свидетельств и заключений аудита.

Финансовая организация, готовящаяся к прохождению аудита на соответствие стандарту ГОСТ Р 57580.1-2017, должна разработать модели угроз и нарушителя, осуществить выбор и реализацию мер защиты (в т.ч. обосновать выбранные и компенсирующие меры), провести GAP-анализ и самостоятельную предварительную оценку соответствия, разработать и утвердить недостающие внутренние нормативные документы, а также оценить текущие настройки средств и систем защиты информации.

Группа Компаний «Интеллектуальная Безопасность» обладает необходимой лицензией на деятельность по технической защите конфиденциальной информации, а также соответствующими компетенциями в области защиты информации, что позволяет проводить аудиты финансовых организаций на соответствие стандарту ГОСТ Р 57580.1-2017.

Продукты Security Vision помогают финансовым организациям выполнять требования стандарта ГОСТ Р 57580.1-2017 в части реализации процесса 6 «Управление инцидентами защиты информации» и подпроцессов «Мониторинг и анализ событий защиты информации» и «Обнаружение инцидентов защиты информации и реагирование на них»: