Анализ основных российских и зарубежных нормативных документов в области информационной безопасности. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Руслан Рахметов, Security Vision

Рассказав в предыдущих публикациях об основах информационной безопасности, следует перейти к конкретике в виде анализа нормативной базы - как отечественной, так и зарубежной.

Начать хотелось бы с достаточно новых и актуальных российских документов, разработанных в 2017-2018 годах в тесном сотрудничестве с главным регулятором российской финансовой сферы - Центральным банком Российской Федерации (Банком России). Речь идет о стандартах ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Данные документы вобрали в себя лучшее из российской нормативно-методической базы, они хорошо структурированы, содержат конкретные практические требования и рекомендации, применимые к современным IT-системам, а также характеризуются своей бизнес- и риск-ориентированностью с применением процессного подхода к обеспечению информационной безопасности. Кроме того, в ГОСТ Р 57580.1-2017 проводятся параллели с нормативно-правовыми актами (НПА), регламентирующими защиту персональных данных (ПДн) в соответствии с 152-ФЗ «О персональных данных», что избавляет финансовую организацию от выполнения дублирующихся требований и позволяет выполнением норм одного указанного стандарта привести свои информационные системы персональных данных (ИСПДн) в соответствие с требованиями законодательства РФ.

Областью действия стандарта ГОСТ Р 57580.1-2017 являются кредитные и некредитные финансовые организации и объекты национальной платежной системы, а стандарта ГОСТ Р 57580.2-2018 - те юридические лица, которые осуществляют оценку соответствия примененных вышеуказанными организациями мер по защите информации. Меры защиты, описанные в стандарте ГОСТ Р 57580.1-2017, применимы к информационным системам, которые используются для предоставления финансовых услуг, т.е. финансовых и банковских услуг и услуг по переводу денежных средств. Примененные меры защиты затем оцениваются в соответствии с методикой, описанной в стандарте ГОСТ Р 57580.2-2018.

Итак, сначала рассмотрим стандарт ГОСТ Р 57580.1-2017.Данный документ вводит несколько новых терминов:

• контур безопасности - совокупность IT-систем, использующихся для реализации бизнес-процессов единой степени важности, для которых применяется единый набор требований информационной безопасности;

• уровень защиты информации - совокупность мер защиты информации, применяемых в определенном контуре безопасности. Стандарт устанавливает три таких уровня: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).

При этом в финансовой организации могут существовать один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации в зависимости от вида деятельности и размера организации, объема финансовых операций, значимости организации для отечественного финансового рынка и национальной платежной системы.

Под объектом доступа в стандарте понимается аппаратное средство, а под ресурсом доступа - программное.

В стандарте широко используется риск-ориентированный подход. Так, финансовой организации предлагается применять описанные в стандарте меры в целях снижения операционного риска, связанного с нарушением безопасности информации. Описаны основные шаги для управления данным риском, которые предполагают инвентаризацию и учет активов, разработку моделей угроз и нарушителей, применение и адаптацию базового набора технических и организационных мер защиты информации, применение экономически целесообразных компенсирующих мер, мер управления системой информационной безопасности для обеспечения полноты и качества защиты информации, а также выполнение требований защиты информации на различных этапах жизненного цикла IT-систем и приложений. Указывается, что применение набора мер следует реализовывать с учётом технических возможностей конкретной финансовой организации и её риск-аппетита.

Стандарт предлагает применять количественную методику оценки остаточного риска после прохождения всех указанных выше шагов, а именно оценивать показатели соответствия реализованных мер целевым значениям в соответствии с ГОСТ Р 57580.2-2018.

В документе организациям предлагается руководствоваться циклом Деминга (PDCA - Plan, Do, Act, Check) для повышения полноты и качества применяемых мер защиты информации: планировать, реализовывать, проверять и совершенствовать систему защиты информации в финансовой организации.

Кроме того, документ отсылает сотрудников финансовых организаций к рекомендательному стандарту РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности» для более глубокой проработки вопросов управления рисками.

Для возможности применения описанных в данном стандарте мер защиты информации при выполнении требований по защите персональных данных рекомендуется использовать следующие показатели соответствия уровням защищенности персональных данных (УЗ ПДн):

• требования по обеспечению 4-ого УЗ ПДн соответствуют минимальному (3-ему) уровню защиты;

• требования по обеспечению 3-его и 2-ого УЗ ПДн соответствуют стандартному (2-ому) уровню защиты;

• требования по обеспечению 1-ого УЗ ПДн соответствуют усиленному (1-ому) уровню защиты.

Большая часть стандарта отведена перечислению конкретных мер для обеспечения одного из трёх уровней защиты, которые могут быть реализованы технически или организационно - подход и логика, знакомые по документам ФСТЭК России по защите ПДн. При этом в стандарте, как в высокоуровневом документе, нет чётких указаний на использование определённых технологий и версий протоколов, как не называются и конкретные типы средств защиты - например, требование по использованию популярных в финансовых организациях решений класса WAF (Web Application Firewall) нигде чётко не прописано. Также стоит отметить, что наборы мер ссылаются как на отечественные стандарты в области информационной безопасности (например, ГОСТ Р 50739 и 50922), так и на адаптированные международные (ГОСТ Р ИСО/МЭК 27001 и 27033-1), что подтверждает широту охвата аудитории документа и стремление его авторов логически взаимоувязать различные НПА.

Перечни технических и организационных мер сгруппированы по тематике с указанием кодового обозначения для удобства использования стандарта. Базовый состав мер защиты информации устанавливает требования к восьми направлениям (процессам) информационной безопасности и их подпроцессам:

• организация и контроль использования учетных записей (условное обозначение и номера мер: УЗП.1 - УЗП.4);

• организация и контроль предоставления, отзыва и блокирования доступа (УЗП.5 – УЗП.21);

• регистрация событий защиты информации и контроль использования предоставленных прав доступа (УЗП.22 – УЗП.29);

• идентификация и аутентификация субъектов доступа (РД.1 – РД.16);

• организация управления и защиты идентификационных и аутентификационных данных (РД.17 – РД.29);

• авторизация при осуществлении доступа (РД.30 – РД.38);

• регистрация событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении доступа (РД.39 – РД.44);

• организация и контроль физического доступа в помещения (ФД.1 – ФД.16);

• организация и контроль физического доступа к общедоступным объектам доступа (ФД.17 – ФД.20);

• регистрация событий, связанных с физическим доступом (ФД.21);

• организация учета и контроля состава ресурсов и объектов доступа (ИУ.1 – ИУ.6);

• регистрация событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа (ИУ.7 – ИУ.8);

• сегментация и межсетевое экранирование внутренних вычислительных сетей (СМЭ.1 – СМЭ.13);

• защита внутренних вычислительных сетей при взаимодействии с сетью Интернет (СМЭ.14 – СМЭ.20);

• регистрация событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей (СМЭ.21);

• мониторинг и контроль содержимого сетевого трафика (ВСА.1 – ВСА.13);

• регистрация событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика (ВСА.14);

• защита информации, передаваемой по вычислительным сетям (ЗВС.1 – ЗВС.2);

• защита информации от раскрытия и модификации при использовании беспроводных сетей (ЗБС.1 – ЗБС.2);

• защита внутренних вычислительных сетей при использовании беспроводных сетей (ЗБС.3 – ЗБС.8);

• регистрация событий защиты информации, связанных с использованием беспроводных сетей (ЗБС.9 – ЗБС.10);

• контроль отсутствия известных уязвимостей (ЦЗИ.1 – ЦЗИ.11);

• организация и контроль размещения, хранения и обновления ПО (ЦЗИ.12 – ЦЗИ.19);

• контроль состава и целостности ПО информационной инфраструктуры (ЦЗИ.20 – ЦЗИ.26);

• регистрация событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры (ЦЗИ.27 – ЦЗИ.36);

• защита от вредоносного кода (ЗВК.1 – ЗВК.7);

• организация и контроль применения средств защиты от вредоносного кода (ЗВК.8 – ЗВК.21);

• регистрация событий защиты информации, связанных с реализацией защиты от вредоносного кода (ЗВК.22 – ЗВК.28);

• блокирование и контроль каналов утечки информации (ПУИ.1 – ПУИ.4);

• контроль информации, передаваемой по потенциальным каналам утечки (ПУИ.5 – ПУИ.19);

• организация защиты машинных носителей информации (ПУИ.20 – ПУИ.27);

• регистрация событий защиты информации, связанных с предотвращением утечек информации (ПУИ.28 – ПУИ.33);

• организация мониторинга событий ИБ (МАС.1 – МАС.7);

• сбор, защита и хранение событий ИБ (МАС.8 – МАС.16);

• анализ событий ИБ (МАС.17 – МАС.20);

• регистрация событий защиты информации, связанных с мониторингом событий ИБ (МАС.21 – МАС.23);

• обнаружение и регистрация инцидентов ИБ (РИ.1 – РИ.5);

• организация реагирования на инциденты ИБ (РИ.6 – РИ.14);

• организация хранения и защиты информации об инцидентах ИБ (РИ.15 – РИ.18);

• регистрация событий защиты информации, связанных с результатами обнаружения инцидентов ИБ и реагирования на них (РИ.19);

• организация идентификации, аутентификации, авторизации при осуществлении доступа к средам виртуализации (ЗСВ.1 – ЗСВ.12);

• организация и контроль информационного взаимодействия и изоляция виртуальных машин (ЗСВ.13 – ЗСВ.22);

• организация защиты образов виртуальных машин (ЗСВ.23 – ЗСВ.31);

• регистрация событий защиты информации, связанных с доступом к средам виртуализации (ЗСВ.32 – ЗСВ.43);

• защита информации от раскрытия и модификации при осуществлении удаленного доступа (ЗУД.1 – ЗУД.4);

• защита внутренних вычислительных сетей при осуществлении удаленного доступа (ЗУД.5 – ЗУД.9);

• защита информации от раскрытия и модификации при её обработке и хранении на мобильных устройствах (ЗУД.10 – ЗУД.12).

Меры системы организации и управления защитой информации на системных уровнях должны обеспечивать качество и полноту реализации применяемых мер защиты информации. Данные меры применяются в рамках цикла Деминга (планирование, реализация, контроль и совершенствование) и могут быть реализованы следующими способами:

• планирование процесса системы защиты информации (ПЗИ.1 – ПЗИ.5);

• реализация процесса системы защиты информации (РЗИ.1 – РЗИ.16);

• контроль процесса системы защиты информации (КЗИ.1 – КЗИ.8);

• контроль процесса системы защиты информации в части регистрации событий защиты информации (КЗИ.9 – КЗИ.12);

• совершенствование процесса системы защиты информации (СЗИ.1 – СЗИ.4).

Выполнение требований защиты информации на различных этапах жизненного цикла IT-систем и приложений в соответствии со стандартом должно быть реализовано следующими способами:

• реализация мер защиты информации на этапе «Создание (модернизация) систем» (ЖЦ.1 – ЖЦ.11);

• реализация мер защиты информации на этапе «Ввод в эксплуатацию систем» (ЖЦ.12 – ЖЦ.14);

• реализация мер защиты информации на этапе «Эксплуатация (сопровождение) систем» (ЖЦ.15 – ЖЦ.25);

• реализация мер защиты информации на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации систем» (ЖЦ.26 – ЖЦ.28).