SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  | 



Руслан Рахметов, Security Vision


Рассказав в предыдущих публикациях об основах информационной безопасности, следует перейти к конкретике в виде анализа нормативной базы - как отечественной, так и зарубежной.


Начать хотелось бы с достаточно новых и актуальных российских документов, разработанных в 2017-2018 годах в тесном сотрудничестве с главным регулятором российской финансовой сферы - Центральным банком Российской Федерации (Банком России). Речь идет о стандартах ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Данные документы вобрали в себя лучшее из российской нормативно-методической базы, они хорошо структурированы, содержат конкретные практические требования и рекомендации, применимые к современным IT-системам, а также характеризуются своей бизнес- и риск-ориентированностью с применением процессного подхода к обеспечению информационной безопасности. Кроме того, в ГОСТ Р 57580.1-2017 проводятся параллели с нормативно-правовыми актами (НПА), регламентирующими защиту персональных данных (ПДн) в соответствии с 152-ФЗ «О персональных данных», что избавляет финансовую организацию от выполнения дублирующихся требований и позволяет выполнением норм одного указанного стандарта привести свои информационные системы персональных данных (ИСПДн) в соответствие с требованиями законодательства РФ.


Областью действия стандарта ГОСТ Р 57580.1-2017 являются кредитные и некредитные финансовые организации и объекты национальной платежной системы, а стандарта ГОСТ Р 57580.2-2018 - те юридические лица, которые осуществляют оценку соответствия примененных вышеуказанными организациями мер по защите информации. Меры защиты, описанные в стандарте ГОСТ Р 57580.1-2017, применимы к информационным системам, которые используются для предоставления финансовых услуг, т.е. финансовых и банковских услуг и услуг по переводу денежных средств. Примененные меры защиты затем оцениваются в соответствии с методикой, описанной в стандарте ГОСТ Р 57580.2-2018.


Итак, сначала рассмотрим стандарт ГОСТ Р 57580.1-2017.Данный документ вводит несколько новых терминов:

  • контур безопасности - совокупность IT-систем, использующихся для реализации бизнес-процессов единой степени важности, для которых применяется единый набор требований информационной безопасности;

  • уровень защиты информации - совокупность мер защиты информации, применяемых в определенном контуре безопасности. Стандарт устанавливает три таких уровня: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).


При этом в финансовой организации могут существовать один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации в зависимости от вида деятельности и размера организации, объема финансовых операций, значимости организации для отечественного финансового рынка и национальной платежной системы.


Под объектом доступа в стандарте понимается аппаратное средство, а под ресурсом доступа - программное.


В стандарте широко используется риск-ориентированный подход. Так, финансовой организации предлагается применять описанные в стандарте меры в целях снижения операционного риска, связанного с нарушением безопасности информации. Описаны основные шаги для управления данным риском, которые предполагают инвентаризацию и учет активов, разработку моделей угроз и нарушителей, применение и адаптацию базового набора технических и организационных мер защиты информации, применение экономически целесообразных компенсирующих мер, мер управления системой информационной безопасности для обеспечения полноты и качества защиты информации, а также выполнение требований защиты информации на различных этапах жизненного цикла IT-систем и приложений. Указывается, что применение набора мер следует реализовывать с учётом технических возможностей конкретной финансовой организации и её риск-аппетита.


Стандарт предлагает применять количественную методику оценки остаточного риска после прохождения всех указанных выше шагов, а именно оценивать показатели соответствия реализованных мер целевым значениям в соответствии с ГОСТ Р 57580.2-2018.


В документе организациям предлагается руководствоваться циклом Деминга (PDCA - Plan, Do, Check, Act) для повышения полноты и качества применяемых мер защиты информации: планировать, реализовывать, проверять и совершенствовать систему защиты информации в финансовой организации.


Кроме того, документ отсылает сотрудников финансовых организаций к рекомендательному стандарту РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности» для более глубокой проработки вопросов управления рисками.


Для возможности применения описанных в данном стандарте мер защиты информации при выполнении требований по защите персональных данных рекомендуется использовать следующие показатели соответствия уровням защищенности персональных данных (УЗ ПДн):

  • требования по обеспечению 4-ого УЗ ПДн соответствуют минимальному (3-ему) уровню защиты;

  • требования по обеспечению 3-его и 2-ого УЗ ПДн соответствуют стандартному (2-ому) уровню защиты;

  • требования по обеспечению 1-ого УЗ ПДн соответствуют усиленному (1-ому) уровню защиты.


Большая часть стандарта отведена перечислению конкретных мер для обеспечения одного из трёх уровней защиты, которые могут быть реализованы технически или организационно - подход и логика, знакомые по документам ФСТЭК России по защите ПДн. При этом в стандарте, как в высокоуровневом документе, нет чётких указаний на использование определённых технологий и версий протоколов, как не называются и конкретные типы средств защиты - например, требование по использованию популярных в финансовых организациях решений класса WAF (Web Application Firewall) нигде чётко не прописано. Также стоит отметить, что наборы мер ссылаются как на отечественные стандарты в области информационной безопасности (например, ГОСТ Р 50739 и 50922), так и на адаптированные международные (ГОСТ Р ИСО/МЭК 27001 и 27033-1), что подтверждает широту охвата аудитории документа и стремление его авторов логически взаимоувязать различные НПА.


Перечни технических и организационных мер сгруппированы по тематике с указанием кодового обозначения для удобства использования стандарта. Базовый состав мер защиты информации устанавливает требования к восьми направлениям (процессам) информационной безопасности и их подпроцессам:

  • организация и контроль использования учетных записей (условное обозначение и номера мер: УЗП.1 - УЗП.4);

  • организация и контроль предоставления, отзыва и блокирования доступа (УЗП.5 – УЗП.21);

  • регистрация событий защиты информации и контроль использования предоставленных прав доступа (УЗП.22 – УЗП.29);

  • идентификация и аутентификация субъектов доступа (РД.1 – РД.16);

  • организация управления и защиты идентификационных и аутентификационных данных (РД.17 – РД.29);

  • авторизация при осуществлении доступа (РД.30 – РД.38);

  • регистрация событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении доступа (РД.39 – РД.44);

  • организация и контроль физического доступа в помещения (ФД.1 – ФД.16);

  • организация и контроль физического доступа к общедоступным объектам доступа (ФД.17 – ФД.20);

  • регистрация событий, связанных с физическим доступом (ФД.21);

  • организация учета и контроля состава ресурсов и объектов доступа (ИУ.1 – ИУ.6);

  • регистрация событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа (ИУ.7 – ИУ.8);

  • сегментация и межсетевое экранирование внутренних вычислительных сетей (СМЭ.1 – СМЭ.13);

  • защита внутренних вычислительных сетей при взаимодействии с сетью Интернет (СМЭ.14 – СМЭ.20);

  • регистрация событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей (СМЭ.21);

  • мониторинг и контроль содержимого сетевого трафика (ВСА.1 – ВСА.13);

  • регистрация событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика (ВСА.14);

  • защита информации, передаваемой по вычислительным сетям (ЗВС.1 – ЗВС.2);

  • защита информации от раскрытия и модификации при использовании беспроводных сетей (ЗБС.1 – ЗБС.2);

  • защита внутренних вычислительных сетей при использовании беспроводных сетей (ЗБС.3 – ЗБС.8);

  • регистрация событий защиты информации, связанных с использованием беспроводных сетей (ЗБС.9 – ЗБС.10);

  • контроль отсутствия известных уязвимостей (ЦЗИ.1 – ЦЗИ.11);

  • организация и контроль размещения, хранения и обновления ПО (ЦЗИ.12 – ЦЗИ.19);

  • контроль состава и целостности ПО информационной инфраструктуры (ЦЗИ.20 – ЦЗИ.26);

  • регистрация событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры (ЦЗИ.27 – ЦЗИ.36);

  • защита от вредоносного кода (ЗВК.1 – ЗВК.7);

  • организация и контроль применения средств защиты от вредоносного кода (ЗВК.8 – ЗВК.21);

  • регистрация событий защиты информации, связанных с реализацией защиты от вредоносного кода (ЗВК.22 – ЗВК.28);

  • блокирование и контроль каналов утечки информации (ПУИ.1 – ПУИ.4);

  • контроль информации, передаваемой по потенциальным каналам утечки (ПУИ.5 – ПУИ.19);

  • организация защиты машинных носителей информации (ПУИ.20 – ПУИ.27);

  • регистрация событий защиты информации, связанных с предотвращением утечек информации (ПУИ.28 – ПУИ.33);

  • организация мониторинга событий ИБ (МАС.1 – МАС.7);

  • сбор, защита и хранение событий ИБ (МАС.8 – МАС.16);

  • анализ событий ИБ (МАС.17 – МАС.20);

  • регистрация событий защиты информации, связанных с мониторингом событий ИБ (МАС.21 – МАС.23);

  • обнаружение и регистрация инцидентов ИБ (РИ.1 – РИ.5);

  • организация реагирования на инциденты ИБ (РИ.6 – РИ.14);

  • организация хранения и защиты информации об инцидентах ИБ (РИ.15 – РИ.18);

  • регистрация событий защиты информации, связанных с результатами обнаружения инцидентов ИБ и реагирования на них (РИ.19);

  • организация идентификации, аутентификации, авторизации при осуществлении доступа к средам виртуализации (ЗСВ.1 – ЗСВ.12);

  • организация и контроль информационного взаимодействия и изоляция виртуальных машин (ЗСВ.13 – ЗСВ.22);

  • организация защиты образов виртуальных машин (ЗСВ.23 – ЗСВ.31);

  • регистрация событий защиты информации, связанных с доступом к средам виртуализации (ЗСВ.32 – ЗСВ.43);

  • защита информации от раскрытия и модификации при осуществлении удаленного доступа (ЗУД.1 – ЗУД.4);

  • защита внутренних вычислительных сетей при осуществлении удаленного доступа (ЗУД.5 – ЗУД.9);

  • защита информации от раскрытия и модификации при её обработке и хранении на мобильных устройствах (ЗУД.10 – ЗУД.12).


Меры системы организации и управления защитой информации на системных уровнях должны обеспечивать качество и полноту реализации применяемых мер защиты информации. Данные меры применяются в рамках цикла Деминга (планирование, реализация, контроль и совершенствование) и могут быть реализованы следующими способами:

  • планирование процесса системы защиты информации (ПЗИ.1 – ПЗИ.5);

  • реализация процесса системы защиты информации (РЗИ.1 – РЗИ.16);

  • контроль процесса системы защиты информации (КЗИ.1 – КЗИ.8);

  • контроль процесса системы защиты информации в части регистрации событий защиты информации (КЗИ.9 – КЗИ.12);

  • совершенствование процесса системы защиты информации (СЗИ.1 – СЗИ.4).


Выполнение требований защиты информации на различных этапах жизненного цикла IT-систем и приложений в соответствии со стандартом должно быть реализовано следующими способами:

  • реализация мер защиты информации на этапе «Создание (модернизация) систем» (ЖЦ.1 – ЖЦ.11);

  • реализация мер защиты информации на этапе «Ввод в эксплуатацию систем» (ЖЦ.12 – ЖЦ.14);

  • реализация мер защиты информации на этапе «Эксплуатация (сопровождение) систем» (ЖЦ.15 – ЖЦ.25);

  • реализация мер защиты информации на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации систем» (ЖЦ.26 – ЖЦ.28).

Отчеты ИБ Метрики ИБ Аудит информационной безопасности ГосСОПКА СЗИ Стандарты, ГОСТы и документы ИБ Подкасты ИБ ИБ в финансовых организациях

Похожие статьи

Безопасная разработка без барьеров: как построить SSDLC, который реально работает
Безопасная разработка без барьеров: как построить SSDLC, который реально работает
Как работает харденинг и как он встраивается в процессы ИБ
Как работает харденинг и как он встраивается в процессы ИБ
Возможности Security Vision VS Basic
Возможности Security Vision VS Basic
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
Как Zeek и Malcolm помогают не только пассивно анализировать сетевой трафик, но и своевременно реагировать на угрозы
Как Zeek и Malcolm помогают не только пассивно анализировать сетевой трафик, но и своевременно реагировать на угрозы
Комплаенс в информационной безопасности
Комплаенс в информационной безопасности
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
SCA на языке безопасника
SCA на языке безопасника

Похожие статьи

Безопасная разработка без барьеров: как построить SSDLC, который реально работает
Безопасная разработка без барьеров: как построить SSDLC, который реально работает
Как работает харденинг и как он встраивается в процессы ИБ
Как работает харденинг и как он встраивается в процессы ИБ
Возможности Security Vision VS Basic
Возможности Security Vision VS Basic
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
Как Zeek и Malcolm помогают не только пассивно анализировать сетевой трафик, но и своевременно реагировать на угрозы
Как Zeek и Malcolm помогают не только пассивно анализировать сетевой трафик, но и своевременно реагировать на угрозы
Комплаенс в информационной безопасности
Комплаенс в информационной безопасности
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
SCA на языке безопасника
SCA на языке безопасника