SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
29.05.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  | 



Руслан Рахметов, Security Vision


Рассказав в предыдущих публикациях об основах информационной безопасности, следует перейти к конкретике в виде анализа нормативной базы - как отечественной, так и зарубежной.


Начать хотелось бы с достаточно новых и актуальных российских документов, разработанных в 2017-2018 годах в тесном сотрудничестве с главным регулятором российской финансовой сферы - Центральным банком Российской Федерации (Банком России). Речь идет о стандартах ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Данные документы вобрали в себя лучшее из российской нормативно-методической базы, они хорошо структурированы, содержат конкретные практические требования и рекомендации, применимые к современным IT-системам, а также характеризуются своей бизнес- и риск-ориентированностью с применением процессного подхода к обеспечению информационной безопасности. Кроме того, в ГОСТ Р 57580.1-2017 проводятся параллели с нормативно-правовыми актами (НПА), регламентирующими защиту персональных данных (ПДн) в соответствии с 152-ФЗ «О персональных данных», что избавляет финансовую организацию от выполнения дублирующихся требований и позволяет выполнением норм одного указанного стандарта привести свои информационные системы персональных данных (ИСПДн) в соответствие с требованиями законодательства РФ.


Областью действия стандарта ГОСТ Р 57580.1-2017 являются кредитные и некредитные финансовые организации и объекты национальной платежной системы, а стандарта ГОСТ Р 57580.2-2018 - те юридические лица, которые осуществляют оценку соответствия примененных вышеуказанными организациями мер по защите информации. Меры защиты, описанные в стандарте ГОСТ Р 57580.1-2017, применимы к информационным системам, которые используются для предоставления финансовых услуг, т.е. финансовых и банковских услуг и услуг по переводу денежных средств. Примененные меры защиты затем оцениваются в соответствии с методикой, описанной в стандарте ГОСТ Р 57580.2-2018.


Итак, сначала рассмотрим стандарт ГОСТ Р 57580.1-2017.Данный документ вводит несколько новых терминов:

  • контур безопасности - совокупность IT-систем, использующихся для реализации бизнес-процессов единой степени важности, для которых применяется единый набор требований информационной безопасности;

  • уровень защиты информации - совокупность мер защиты информации, применяемых в определенном контуре безопасности. Стандарт устанавливает три таких уровня: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).


При этом в финансовой организации могут существовать один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации в зависимости от вида деятельности и размера организации, объема финансовых операций, значимости организации для отечественного финансового рынка и национальной платежной системы.


Под объектом доступа в стандарте понимается аппаратное средство, а под ресурсом доступа - программное.


В стандарте широко используется риск-ориентированный подход. Так, финансовой организации предлагается применять описанные в стандарте меры в целях снижения операционного риска, связанного с нарушением безопасности информации. Описаны основные шаги для управления данным риском, которые предполагают инвентаризацию и учет активов, разработку моделей угроз и нарушителей, применение и адаптацию базового набора технических и организационных мер защиты информации, применение экономически целесообразных компенсирующих мер, мер управления системой информационной безопасности для обеспечения полноты и качества защиты информации, а также выполнение требований защиты информации на различных этапах жизненного цикла IT-систем и приложений. Указывается, что применение набора мер следует реализовывать с учётом технических возможностей конкретной финансовой организации и её риск-аппетита.


Стандарт предлагает применять количественную методику оценки остаточного риска после прохождения всех указанных выше шагов, а именно оценивать показатели соответствия реализованных мер целевым значениям в соответствии с ГОСТ Р 57580.2-2018.


В документе организациям предлагается руководствоваться циклом Деминга (PDCA - Plan, Do, Check, Act) для повышения полноты и качества применяемых мер защиты информации: планировать, реализовывать, проверять и совершенствовать систему защиты информации в финансовой организации.


Кроме того, документ отсылает сотрудников финансовых организаций к рекомендательному стандарту РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности» для более глубокой проработки вопросов управления рисками.


Для возможности применения описанных в данном стандарте мер защиты информации при выполнении требований по защите персональных данных рекомендуется использовать следующие показатели соответствия уровням защищенности персональных данных (УЗ ПДн):

  • требования по обеспечению 4-ого УЗ ПДн соответствуют минимальному (3-ему) уровню защиты;

  • требования по обеспечению 3-его и 2-ого УЗ ПДн соответствуют стандартному (2-ому) уровню защиты;

  • требования по обеспечению 1-ого УЗ ПДн соответствуют усиленному (1-ому) уровню защиты.


Большая часть стандарта отведена перечислению конкретных мер для обеспечения одного из трёх уровней защиты, которые могут быть реализованы технически или организационно - подход и логика, знакомые по документам ФСТЭК России по защите ПДн. При этом в стандарте, как в высокоуровневом документе, нет чётких указаний на использование определённых технологий и версий протоколов, как не называются и конкретные типы средств защиты - например, требование по использованию популярных в финансовых организациях решений класса WAF (Web Application Firewall) нигде чётко не прописано. Также стоит отметить, что наборы мер ссылаются как на отечественные стандарты в области информационной безопасности (например, ГОСТ Р 50739 и 50922), так и на адаптированные международные (ГОСТ Р ИСО/МЭК 27001 и 27033-1), что подтверждает широту охвата аудитории документа и стремление его авторов логически взаимоувязать различные НПА.


Перечни технических и организационных мер сгруппированы по тематике с указанием кодового обозначения для удобства использования стандарта. Базовый состав мер защиты информации устанавливает требования к восьми направлениям (процессам) информационной безопасности и их подпроцессам:

  • организация и контроль использования учетных записей (условное обозначение и номера мер: УЗП.1 - УЗП.4);

  • организация и контроль предоставления, отзыва и блокирования доступа (УЗП.5 – УЗП.21);

  • регистрация событий защиты информации и контроль использования предоставленных прав доступа (УЗП.22 – УЗП.29);

  • идентификация и аутентификация субъектов доступа (РД.1 – РД.16);

  • организация управления и защиты идентификационных и аутентификационных данных (РД.17 – РД.29);

  • авторизация при осуществлении доступа (РД.30 – РД.38);

  • регистрация событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении доступа (РД.39 – РД.44);

  • организация и контроль физического доступа в помещения (ФД.1 – ФД.16);

  • организация и контроль физического доступа к общедоступным объектам доступа (ФД.17 – ФД.20);

  • регистрация событий, связанных с физическим доступом (ФД.21);

  • организация учета и контроля состава ресурсов и объектов доступа (ИУ.1 – ИУ.6);

  • регистрация событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа (ИУ.7 – ИУ.8);

  • сегментация и межсетевое экранирование внутренних вычислительных сетей (СМЭ.1 – СМЭ.13);

  • защита внутренних вычислительных сетей при взаимодействии с сетью Интернет (СМЭ.14 – СМЭ.20);

  • регистрация событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей (СМЭ.21);

  • мониторинг и контроль содержимого сетевого трафика (ВСА.1 – ВСА.13);

  • регистрация событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика (ВСА.14);

  • защита информации, передаваемой по вычислительным сетям (ЗВС.1 – ЗВС.2);

  • защита информации от раскрытия и модификации при использовании беспроводных сетей (ЗБС.1 – ЗБС.2);

  • защита внутренних вычислительных сетей при использовании беспроводных сетей (ЗБС.3 – ЗБС.8);

  • регистрация событий защиты информации, связанных с использованием беспроводных сетей (ЗБС.9 – ЗБС.10);

  • контроль отсутствия известных уязвимостей (ЦЗИ.1 – ЦЗИ.11);

  • организация и контроль размещения, хранения и обновления ПО (ЦЗИ.12 – ЦЗИ.19);

  • контроль состава и целостности ПО информационной инфраструктуры (ЦЗИ.20 – ЦЗИ.26);

  • регистрация событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры (ЦЗИ.27 – ЦЗИ.36);

  • защита от вредоносного кода (ЗВК.1 – ЗВК.7);

  • организация и контроль применения средств защиты от вредоносного кода (ЗВК.8 – ЗВК.21);

  • регистрация событий защиты информации, связанных с реализацией защиты от вредоносного кода (ЗВК.22 – ЗВК.28);

  • блокирование и контроль каналов утечки информации (ПУИ.1 – ПУИ.4);

  • контроль информации, передаваемой по потенциальным каналам утечки (ПУИ.5 – ПУИ.19);

  • организация защиты машинных носителей информации (ПУИ.20 – ПУИ.27);

  • регистрация событий защиты информации, связанных с предотвращением утечек информации (ПУИ.28 – ПУИ.33);

  • организация мониторинга событий ИБ (МАС.1 – МАС.7);

  • сбор, защита и хранение событий ИБ (МАС.8 – МАС.16);

  • анализ событий ИБ (МАС.17 – МАС.20);

  • регистрация событий защиты информации, связанных с мониторингом событий ИБ (МАС.21 – МАС.23);

  • обнаружение и регистрация инцидентов ИБ (РИ.1 – РИ.5);

  • организация реагирования на инциденты ИБ (РИ.6 – РИ.14);

  • организация хранения и защиты информации об инцидентах ИБ (РИ.15 – РИ.18);

  • регистрация событий защиты информации, связанных с результатами обнаружения инцидентов ИБ и реагирования на них (РИ.19);

  • организация идентификации, аутентификации, авторизации при осуществлении доступа к средам виртуализации (ЗСВ.1 – ЗСВ.12);

  • организация и контроль информационного взаимодействия и изоляция виртуальных машин (ЗСВ.13 – ЗСВ.22);

  • организация защиты образов виртуальных машин (ЗСВ.23 – ЗСВ.31);

  • регистрация событий защиты информации, связанных с доступом к средам виртуализации (ЗСВ.32 – ЗСВ.43);

  • защита информации от раскрытия и модификации при осуществлении удаленного доступа (ЗУД.1 – ЗУД.4);

  • защита внутренних вычислительных сетей при осуществлении удаленного доступа (ЗУД.5 – ЗУД.9);

  • защита информации от раскрытия и модификации при её обработке и хранении на мобильных устройствах (ЗУД.10 – ЗУД.12).


Меры системы организации и управления защитой информации на системных уровнях должны обеспечивать качество и полноту реализации применяемых мер защиты информации. Данные меры применяются в рамках цикла Деминга (планирование, реализация, контроль и совершенствование) и могут быть реализованы следующими способами:

  • планирование процесса системы защиты информации (ПЗИ.1 – ПЗИ.5);

  • реализация процесса системы защиты информации (РЗИ.1 – РЗИ.16);

  • контроль процесса системы защиты информации (КЗИ.1 – КЗИ.8);

  • контроль процесса системы защиты информации в части регистрации событий защиты информации (КЗИ.9 – КЗИ.12);

  • совершенствование процесса системы защиты информации (СЗИ.1 – СЗИ.4).


Выполнение требований защиты информации на различных этапах жизненного цикла IT-систем и приложений в соответствии со стандартом должно быть реализовано следующими способами:

  • реализация мер защиты информации на этапе «Создание (модернизация) систем» (ЖЦ.1 – ЖЦ.11);

  • реализация мер защиты информации на этапе «Ввод в эксплуатацию систем» (ЖЦ.12 – ЖЦ.14);

  • реализация мер защиты информации на этапе «Эксплуатация (сопровождение) систем» (ЖЦ.15 – ЖЦ.25);

  • реализация мер защиты информации на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации систем» (ЖЦ.26 – ЖЦ.28).

Отчеты ИБ Метрики ИБ Аудит информационной безопасности ГОСТы и документы ИБ ГосСОПКА СЗИ Стандарты ИБ Подкасты ИБ Финансы в ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют