- Содержание
- ГОСТ 57580: защита информации финансовых организаций
- Введение
- Нормативная база и область применения
- Серия ГОСТ Р 57580: четыре документа
- ГОСТ Р 57580.1: базовый состав мер защиты информации
- ГОСТ Р 57580.2: методика оценки соответствия
- Процесс аудита по ГОСТ Р 57580.2: практика
- ГОСТ Р 57580.3 и 57580.4: операционная надёжность
- Соответствие ГОСТ 57580 другим стандартам курса
- Что дальше
- Список литературы и нормативных актов
ГОСТ 57580: защита информации финансовых организаций¶
Введение¶
Банк России занимает уникальное положение среди российских регуляторов в области ИБ: он одновременно является регулятором отрасли, разработчиком стандартов и надзорным органом, проверяющим их соблюдение. Серия ГОСТ Р 57580 — результат этой роли: отраслевой стандарт, обязательный для исполнения на основании нормативных актов ЦБ, с собственной методикой оценки соответствия и чёткой шкалой результатов.
Для аудитора ГОСТ 57580 примечателен тем, что методика оценки (ГОСТ Р 57580.2) — один из наиболее детализированных российских стандартов аудита ИБ. Он задаёт не просто «что проверять», но и формулы расчёта итогового показателя соответствия, шкалу уровней и требования к составу аудиторской группы.
Эта тема опирается на методологию аудита из тем ISO 19011 и етоды проведения аудита. Концепция операционной надёжности (ГОСТ 57580.3/57580.4) напрямую связана с темой Непрерывность бизнеса курса «Основы менеджмента ИБ» — RTO, RPO и DRP применяются здесь в регуляторном контексте. Совмещение аудита ГОСТ 57580 с PCI DSS рассмотрено в теме PCI DSS.
Нормативная база и область применения¶
Серия ГОСТ Р 57580 сама по себе не определяет, кто именно обязан ей соответствовать. Обязательность устанавливается нормативными актами Банка России:
| Положение ЦБ | Кого охватывает |
|---|---|
| № 851-П | Некредитные финансовые организации (НФО): страховщики, НПФ, управляющие компании, брокеры |
| № 757-П | Операторы платёжных систем, платёжные агенты, операторы по переводу денежных средств |
| № 802-П | Кредитные организации и банковские группы |
| № 821-П | Субъекты национальной платёжной системы |
| № 716-П | Операционный риск кредитных организаций (связь с операционной надёжностью) |
| № 742-П | Операторы финансовых платформ |
Актуальность нормативной базы. В 2024–2025 годах Банк России обновил ряд положений: Положение №683-П и Положение №719-П утратили силу и заменены новыми нормативными актами. Аудитор обязан проверять актуальность применяемых положений на момент проведения оценки.
Уровень защиты, который обязана обеспечить организация, также определяется нормативными актами ЦБ в зависимости от типа организации и её значимости для финансовой системы.
Серия ГОСТ Р 57580: четыре документа¶
| Стандарт | Роль | Ключевой вопрос |
|---|---|---|
| ГОСТ Р 57580.1-2017 | Базовый состав мер защиты информации | Какие меры необходимо реализовать? |
| ГОСТ Р 57580.2-2018 | Методика оценки соответствия | Как проверить, что меры реализованы правильно? |
| ГОСТ Р 57580.3-2022 | Управление риском и операционная надёжность — концепция | Как управлять рисками и какие цели ставить? |
| ГОСТ Р 57580.4-2022 | Операционная надёжность — базовый состав мер | Какие конкретные меры обеспечивают надёжность? |
Все четыре стандарта применяются в совокупности: 57580.1 и 57580.2 — основная пара для аудита защиты информации; 57580.3 и 57580.4 — дополняющая пара для управления рисками и операционной надёжностью.
ГОСТ Р 57580.1: базовый состав мер защиты информации¶
Уровни защиты и контуры безопасности¶
Ключевое понятие стандарта — контур безопасности: совокупность IT-систем, используемых для реализации бизнес-процессов единой степени важности, для которых применяется единый набор требований ИБ.
Стандарт устанавливает три уровня защиты:
| Уровень | Обозначение | Типичные объекты |
|---|---|---|
| Усиленный | УЗ 1 | Системно значимые кредитные организации, операторы платёжной инфраструктуры |
| Стандартный | УЗ 2 | Большинство кредитных организаций, значимые НФО |
| Минимальный | УЗ 3 | Небольшие НФО с ограниченным объёмом операций |
В финансовой организации может существовать несколько контуров безопасности с разными уровнями защиты — например, процессинговый контур на УЗ 2, а внутренние административные системы на УЗ 3.
Способ применения мер: Н / О / Т¶
Для каждого уровня защиты каждая мера обозначается одним из трёх признаков: «Н» — реализация не является обязательной; «О» — реализация путём применения организационной меры; «Т» — реализация путём применения технической меры.
При невозможности технической реализации или отсутствии экономической целесообразности могут разрабатываться компенсирующие меры — при условии обоснования в модели угроз. Аудитор проверяет: задокументировано ли обоснование, связано ли оно с актуальными угрозами, компенсирует ли альтернативная мера исходную угрозу.
Восемь процессов защиты информации¶
Меры ГОСТ Р 57580.1 сгруппированы по восьми направлениям:
- Процесс 1 (УЗП, РД, ФД) — управление доступом: логический доступ, аутентификация, физический доступ, учёт ресурсов.
- Процесс 2 (ВСА, ЗИС) — защита вычислительных сетей: сегментация, межсетевое экранирование, выявление вторжений, защита беспроводных сетей.
- Процесс 3 (ЦЗИ, АНЗ) — контроль целостности и защищённости: целостность инфраструктуры, управление уязвимостями, патч-менеджмент.
- Процесс 4 (ЗВК) — защита от вредоносного кода: антивирусная защита на уровне АРМ, серверов и трафика.
- Процесс 5 (ПУИ) — предотвращение утечек: контроль передачи конфиденциальной информации, управление машинными носителями.
- Процесс 6 (РИ, ГРИЗИ) — управление инцидентами: мониторинг событий, обнаружение инцидентов и реагирование.
- Процесс 7 (ЗСВ) — защита среды виртуализации: доступ к средствам управления, целостность образов ВМ, защита от несанкционированного копирования.
- Процесс 8 (ЗУД) — защита при удалённом доступе с мобильных устройств: аутентификация, MDM, защита от вредоносного кода.
Помимо восьми процессов, Раздел 8 стандарта определяет меры по организации и управлению системой защиты информации — для каждого процесса в рамках цикла PDCA (планирование, реализация, контроль, совершенствование). Раздел 9 определяет меры защиты на этапах жизненного цикла автоматизированных систем.
Пример мер по отдельным процессам: признаки применимости
ГОСТ Р 57580.2: методика оценки соответствия¶
Кто проводит аудит¶
ГОСТ Р 57580.2 устанавливает строгие требования к составу аудиторской организации — строже, чем ISO 19011 или PCI DSS.
Лицензионные требования: аудиторская организация должна иметь лицензию ФСТЭК России на деятельность по ТЗКИ по одному из видов работ: контроль защищённости конфиденциальной информации; проектирование средств и систем информатизации в защищённом исполнении; установка, монтаж, наладка средств защиты информации.
Требования к независимости: нельзя привлекать организации, зависимые от проверяемой, а также тех, кто внедрял или сопровождает системы защиты в проверяемой организации. Это прямое воплощение принципа независимости из ISO 19011.
Квалификационные требования к специалистам: наличие сертификатов CISA, CISSP, CISM или Lead Auditor ISO/IEC 27001; опыт аудитов по стандартам СТО БР ИББС или Положению ЦБ №382-П.
Область оценки¶
Область оценки должна совпадать с областью применения ГОСТ Р 57580.1 — совокупность автоматизированных систем и приложений, используемых для предоставления финансовых услуг и осуществления переводов денежных средств. Количество и выборку проверяемых объектов определяет аудитор самостоятельно с учётом предложений организации.
Виды свидетельств оценки¶
ГОСТ Р 57580.2 прямо перечисляет допустимые типы свидетельств — это практически те же типы, что рассмотрены в темах 2 и 9, но в специфической терминологии:
| Тип свидетельства по ГОСТ 57580.2 | Соответствие терминологии ISO 19011 |
|---|---|
| Результаты инструментальных средств сбора свидетельств | Технические свидетельства |
| Документы и материалы в бумажном или электронном виде | Документальные свидетельства |
| Устные высказывания сотрудников при интервьюировании | Свидетельства из интервью |
| Результаты наблюдений за процессами и деятельностью | Наблюдательные свидетельства |
| Параметры конфигураций и настроек объектов и СЗИ | Технические свидетельства |
Шкалы оценки¶
Раздел «Система защиты информации» (Емзи)
| Емзи | Вербальный показатель |
|---|---|
| 1 | Мера выбрана (при предъявлении свидетельств выбора) |
| 0 | Мера не выбрана (при отсутствии свидетельств выбора) |
Раздел «Организация и управление защитой информации» (Емоу)
| Емоу | Вербальный показатель |
|---|---|
| 1 | Мера реализуется в полном объёме |
| 0.5 | Мера реализуется не в полном объёме |
| 0 | Мера полностью не реализуется |
Раздел «Защита информации на этапах жизненного цикла» (Емас)
| Емас | Вербальный показатель |
|---|---|
| 1 | Мера на этапах жизненного цикла реализуется в полном объёме |
| 0.5 | Мера на этапах жизненного цикла реализуется не в полном объёме |
| 0 | Мера на этапах жизненного цикла полностью не реализуется |
Формулы расчёта оценки¶
Оценка по процессу/подпроцессу:
- Ej — оценка j-той меры в рамках процесса или подпроцесса;
- j — порядковый номер;
- P — количество мер, оценённых в рамках процесса/подпроцесса.
Итоговая оценка за процесс (с учётом PDCA):
- Епзи — оценка полноты реализации;
- Еп — оценка планирования;
- Ер — оценка реализации;
- Ек — оценка контроля;
- Ес — оценка совершенствования.
Итоговая оценка в целом:
- Еi — оценка соответствия i-го процесса;
- i — номер процесса;
- T — количество процессов, вошедших в область оценки соответствия;
- Еас — оценка полноты применения организационных и технических мер ЗИ на этапах жизненного цикла;
- Z — количество нарушений ЗИ, выявленных членами проверяющей группы в процессе оценки соответствия.
Уровни соответствия¶
| Значение E | Уровень соответствия |
|---|---|
| E = 0 | Нулевой |
| 0 < E ≤ 0,5 | Первый |
| 0,5 < E ≤ 0,7 | Второй |
| 0,7 < E ≤ 0,85 | Третий |
| 0,85 < E ≤ 0,9 | Четвёртый |
| 0,9 < E ≤ 1 | Пятый |
Нормативные акты Банка России устанавливают минимально допустимый уровень соответствия для каждой категории организаций. Для большинства кредитных организаций минимальный уровень — третий или четвёртый.
Пятый уровень означает, что процессы реализуются в полном объёме на постоянной основе.
Процесс аудита по ГОСТ Р 57580.2: практика¶
Сбор документации¶
До начала выездных работ аудитор запрашивает комплект документации. В отличие от аудита по ISO 27001, где документация во многом определяется самой организацией, ГОСТ 57580 подразумевает конкретный перечень ожидаемых документов:
| Документ | Что проверяет аудитор |
|---|---|
| Модель угроз и нарушителей | Актуальность, полнота, использование при выборе мер |
| Перечень (реестр) информационных активов | Полнота охвата, актуальность классификации |
| Политика ИБ и частные политики по процессам | Наличие, актуальность, утверждение руководством |
| Матрица доступа | Соответствие принципу минимальных привилегий |
| Регламент управления инцидентами | Наличие ролей ГРИЗИ, процедур реагирования |
| Регламент патч-менеджмента | Сроки устранения уязвимостей |
| Документация по резервному копированию | Расписание, верификация, хранение копий |
| Журналы событий безопасности | Настройка регистрации, регулярность проверки |
| Отчёты о предыдущих аудитах | Динамика показателей соответствия |
Инструментальный контроль¶
Технические проверки — обязательная часть оценки по ГОСТ 57580.2. Именно их результаты влияют на коэффициент Z. Типичный состав инструментального контроля:
Проверка управления доступом: получение выгрузки учётных записей из AD и целевых систем; выявление учётных записей уволенных сотрудников; поиск коллективных и неперсонифицированных учётных записей; проверка наличия параллельных сессий (нарушение РД.12); проверка хранения паролей — недопустимо в открытом виде.
Сетевой контроль: сканирование сегментации — проверка изоляции внутренней сети от Интернета и беспроводных сетей; поиск незарегистрированных точек беспроводного доступа; проверка правил межсетевых экранов на избыточность разрешающих правил.
Контроль средств защиты: проверка актуальности баз сигнатур антивирусного ПО; проверка конфигурации средств обнаружения вторжений; верификация средств контроля целостности.
Контроль носителей и утечек: выявление неучтённых съёмных носителей; проверка наличия DLP-средств и их настройки (для УЗ 1 и УЗ 2).
Интервьюирование персонала¶
Интервью при аудите по ГОСТ 57580.2 охватывает те же уровни организации, что описаны в теме Методы проведения аудита, с акцентом на специфику финансовой организации.
Руководство службы ИБ: как устроена ГРИЗИ (группа реагирования на инциденты ЗИ); как регулярно анализируются журналы событий; как осуществляется взаимодействие с FinCERT Банка России при инцидентах.
Администраторы СЗИ: процедуры создания и блокирования учётных записей при приёме и увольнении сотрудников; порядок обновления баз антивируса; практика резервного копирования и верификации резервных копий.
Сотрудники бизнес-подразделений: осведомлённость о правилах работы с конфиденциальной информацией; знание порядка сообщения об инцидентах; понимание требований к паролям и блокировке рабочих мест.
IT-персонал: процедуры управления изменениями в инфраструктуре; патч-менеджмент — сроки и приоритеты; управление правами привилегированных пользователей.
Наблюдение¶
Наблюдение при аудите финансовой организации включает обход серверных помещений (соответствие требованиям физического доступа), проверку рабочих мест (политика чистого стола, блокировка экранов), наблюдение за процедурой предоставления доступа посетителям в защищённые зоны.
ГОСТ Р 57580.3 и 57580.4: операционная надёжность¶
Концепция операционной надёжности (57580.3)¶
ГОСТ Р 57580.3-2022 вводит концепцию операционной надёжности — способности финансовой организации обеспечивать непрерывность предоставления финансовых услуг в условиях реализации информационных угроз.
Центральный инструмент — целевые показатели операционной надёжности (ЦПОН):
| Показатель | Определение | Соответствие курсу «Основы менеджмента ИБ» |
|---|---|---|
| RTO | Целевое время восстановления критически важного процесса | Рассмотрен в теме «Непрерывность бизнеса» |
| RPO | Допустимая потеря данных, выраженная во времени | Рассмотрен в теме «Непрерывность бизнеса» |
| RNO | Целевое время уведомления заинтересованных сторон об инциденте | Специфика ГОСТ 57580.3 |
ЦПОН устанавливаются для каждого критически важного процесса организации. Аудитор проверяет: идентифицированы ли все критически важные процессы; установлены ли ЦПОН; соответствуют ли фактические возможности восстановления установленным значениям; проводится ли регулярное тестирование (учения, киберучения).
Базовый состав мер операционной надёжности (57580.4)¶
ГОСТ Р 57580.4-2022 определяет конкретные меры для достижения ЦПОН. Аудитор оценивает их реализацию по тем же принципам, что и меры 57580.1:
Управление непрерывностью: наличие и актуальность BCP и DRP; охват всех критически важных процессов; доступность планов в офлайн-режиме.
Резервирование и восстановление: соответствие конфигурации резервного копирования установленным RPO; наличие резервных площадок; регулярная верификация резервных копий.
Тестирование: плановые учения не реже установленной периодичности; документирование результатов; корректирующие действия по итогам.
Управление поставщиками: оценка операционной надёжности ключевых поставщиков; наличие SLA с показателями RTO/RPO; план действий при недоступности поставщика.
Соответствие ГОСТ 57580 другим стандартам курса¶
| Процесс ГОСТ 57580.1 | ISO 27001:2022 | PCI DSS v4.0.1 | Требования ФСТЭК |
|---|---|---|---|
| Управление доступом (Процесс 1) | Контролы 8.2, 8.3, 8.5 | Требования 7, 8 | Меры ИАФ (приказы №117/21/239) |
| Защита сетей (Процесс 2) | Контролы 8.20, 8.21, 8.22 | Требования 1, 4 | Меры ЗСВ, МЭ |
| Управление уязвимостями (Процесс 3) | Контроль 8.8 | Требование 11 | Меры АНЗ |
| Защита от ВК (Процесс 4) | Контроль 8.7 | Требование 5 | Меры ЗВК |
| Управление инцидентами (Процесс 6) | Контролы 5.24–5.28 | Требование 12.10 | Меры РИ |
| Операционная надёжность (57580.3/4) | Контролы 5.29, 5.30 | Требование 12.10.1 | Меры ОДТ |
Финансовые организации нередко проходят одновременно оценку по ГОСТ 57580 и аудит по PCI DSS. Матрица соответствия позволяет избежать дублирования — часть свидетельств, собранных для PCI DSS (журналы, конфигурации МЭ, отчёты о сканировании), используется и при оценке по ГОСТ 57580.
Что дальше¶
Серия ГОСТ Р 57580 охватывает технические и процессные требования к защите информации финансовых организаций. Следующий блок курса переходит от стандартов к практике: как планировать аудит, составлять программу и чек-листы.
- Следующая тема: 15. Практика: программа, план, чек-листы — применение всех рассмотренных стандартов в реальной программе аудита
- Совмещённый аудит ГОСТ 57580 и PCI DSS: 12. PCI DSS — матрица соответствия требований
- Требования ФСТЭК как смежная база: 13. Требования ФСТЭК — аудиторская организация должна иметь лицензию ФСТЭК для проведения оценки по ГОСТ 57580.2
Планируемые изменения в ГОСТ Р 57580
Список литературы и нормативных актов¶
- ГОСТ Р 57580.1-2017 — Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав мер
- ГОСТ Р 57580.2-2018 — Методика оценки соответствия
- ГОСТ Р 57580.3-2022 — Управление риском реализации информационных угроз. Общие положения
- ГОСТ Р 57580.4-2022 — Обеспечение операционной надёжности. Базовый состав мер
- Положение Банка России №802-П — О требованиях к защите информации в платёжной системе Банка России
- Положение Банка России №851-П — О требованиях к защите информации НФО
- Положение Банка России №716-П — Об операционном риске
- FinCERT Банка России — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере
Обновлено С. Антошкин 5 дня назад · 20 изменени(я, ий)