ГОСТ 57580¶
- Содержание
- ГОСТ 57580
Область применения ГОСТ 57580¶
Данный стандарт разработан с целью развития и укрепления банковской системы Российской федерации, развитие и обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и достаточного уровня защиты информации.
Область применения определятся нормативными актами Банка России. В частности требования соответствия ГОСТу прописаны в:Сами по себе ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018 не определяют область своего применения в конкретных организациях.
- Положение №683-П Банка России
- Положение №757-П Банка России
- Положение №802-П Банка России
- Положение №719-П Банка России
- Положение №716-П Банка России
- Положение №742-П Банка России
Базовый состав организационных и технический мер защиты информации определен в ГОСТе 57580.1, и соответственно, способ проверки соответствия (методика оценки соответствия) определена в ГОСТе 57580.2.
ГОСТ 57580.2-2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер в соответствии с требованиями ГОСТ 57580.
В область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а так же услуг по осуществлению перемещений денежных средств частными и юридическими лицами.
Для оценки полноты соответствия системы защиты информации существующему ГОСТу приняты уровни соответствия, от нулевого к пятому (где пятый – процессы реализуются в полном объеме на постоянной основе).
Каковы основные положения ГОСТ 57580?¶
Деятельности любой финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Данный риск является объективной реальностью, устранить его не представляется возможным на данный момент времени.Понизить же вышеупомянутый риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить ряд определенных мер по защите данной информации.
Основными целями стандарта являются:
- определение уровней защиты информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации, применяемых финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Центрального Банка России
- достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска
- обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями
Уровень защиты информации по ГОСТ 57580¶
Итак, сначала рассмотрим стандарт ГОСТ Р 57580.1-2017.Данный документ вводит несколько новых терминов:- контур безопасности - совокупность IT-систем, использующихся для реализации бизнес-процессов единой степени важности, для которых применяется единый набор требований информационной безопасности;
- уровень защиты информации - совокупность мер защиты информации, применяемых в определенном контуре безопасности. Стандарт устанавливает три таких уровня: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).
При этом в финансовой организации могут существовать один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации в зависимости от вида деятельности и размера организации, объема финансовых операций, значимости организации для отечественного финансового рынка и национальной платежной системы.
Под объектом доступа в стандарте понимается аппаратное средство, а под ресурсом доступа - программное..
В документе организациям предлагается руководствоваться циклом Деминга (PDCA - Plan, Do, Check, Act) для повышения полноты и качества применяемых мер защиты информации: планировать, реализовывать, проверять и совершенствовать систему защиты информации в финансовой организации.
---
Основные меры для финансовых организаций¶
В пункте 6.1 стандарта обозначена необходимость обеспечить:
- идентификацию и учет объектов информатизации, в том числе автоматизированных систем, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Центрального Банка России, устанавливающих обязательность применения его положений
- применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией мер защиты информации, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации
- применение выбранных финансовой организацией мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации
- применение выбранных финансовой организацией мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла автоматизированной системы и приложений
- оценку остаточного операционного риска (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Центрального Банка России
Так же в рассматриваемом стандарте упоминается, что, в случае невозможности технической реализации отдельных выбранных мероприятий по защите информации, а также с учетом экономической целесообразности на этапах уточнения базового состава мероприятий могут разрабатываться иные компенсирующие меры.
Данные меры направлены на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации.
Основой для реализации правильного и эффективного способа минимизации возможных финансово неприемлемых для вышеупомянутой организации операционных рисков, связанных с нарушением безопасности информации, являются принятые и контролируемые руководством финансовой организации документы.
Перечни технических и организационных мер сгруппированы по тематике с указанием кодового обозначения для удобства использования стандарта. Базовый состав мер защиты информации устанавливает требования к восьми направлениям (процессам) информационной безопасности и их подпроцессам:
Процесс 1: Обеспечение защиты информации при управлении доступом
Процесс 2: Обеспечение защиты вычислительных сетей
Процесс 3: Контроль целостности и защищенности информационной инфраструктуры
Процесс 4: Защита от вредоносного кода
Процесс 5: Предотвращение утечек информации
Процесс 6: Управление инцидентами защиты информации
Процесс 7: Защита среды виртуализации
Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных переносных устройствРаздел 8. Требования к организации и управлению защитой информации
Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
57580.2¶
Цели аудита- Объективная и независимая оценка выбора и реализации требований ГОСТ Р 57580.1-2017
- Определение организационных и технических мер для:
- приведения в соответствие требованиям ГОСТ Р 57580.1-2017 и Положений Банка России
- повышения уровня защищенности информации
Кто может провести аудит?
Лицензиаты ФСТЭК России на деятельность по технической защите конфиденциальной информации как минимум по одному виду работ и услуг:- контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
- проектирование в защищенном исполнении средств и систем информатизации
- установка, монтаж, наладка, испытание, ремонт средств защиты информации
Организации, обладающие необходимым уровнем компетенции - Имеют опыт аудита на соответствие комплекса стандартов СТО БР ИББС, Положению Банка России № 382-П
- Наличие в штате специалистов, обладающих соответствующей квалификацией и сертификатами:
- Certified Information Systems Auditor (CISA)
- Certified Information Systems Security Professional (CISSP)
- Certified Information Security Manager (CISM)
- Организации, являющиеся зависимыми от проверяемой организации
- Организации, осуществлявшие или осуществляющие оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или
сопровождения систем, средств, процессов информатизации и защиты информации, включенных в область аудита), и организации от них зависимые
- Совокупность объектов информатизации, включая автоматизированные системы (АС) и приложения, используемые для выполнения бизнес-процессов и или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств
- Область оценки соответствия должна совпадать с областью применения ГОСТ Р 57580.1
- Количество и выборку проверяемых подразделений, объектов информатизации, АС и средств вычислительной техники, входящих в область оценки соответствия, определяет аудитор самостоятельно с учетом предложений проверяемой организации
- Технологии, не используемые в проверяемой организации
- Нет необходимости для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей
- Определены компенсирующие меры при невозможности технической реализации мер защиты информации и (или) в случае отсутствия экономической целесообразности
- Инструментальные средства сбора свидетельств полноты реализации мер защиты информации
- Документы и иные материалы в бумажном или электронном виде относящиеся к обеспечению защиты информации
- Устные высказывания сотрудников проверяемой организации в процессе интервьюирования
- Результаты наблюдений аудиторов за процессами и деятельностью сотрудников
- Параметры конфигураций и настроек технических объектов информатизации и средств защиты информации
раздел Система защиты информации
| Емзи | Вербальный показатель |
|---|---|
| 1 | Мера выбрана (при предъявлении свидетельств выбора) |
| 0 | Мера не выбрана (при отсутствии свидетельств выбора) |
раздел Организация и управление защитой информации
| Емоу | Вербальный показатель |
|---|---|
| 1 | Мера реализуется в полном объеме |
| 0.5 | Мера реализуется не в полном объеме |
| 0 | Мера полностью не реализуется |
раздел Защита информации на этапах жизненного цикла
| Емас | Вербальный показатель |
|---|---|
| 1 | Мера на этапах жизненного цикла реализуется в полном объеме |
| 0.5 | Мера на этапах жизненного цикла реализуется не в полном объеме |
| 0 | Мера на этапах жизненного цикла полностью не реализуется |
вставить формулы
Основные нарушения
▪ Осуществление логического доступа под учетными записями неопределенного целевого назначения
▪ Осуществление логического доступа под коллективными неперсонифицированными учетными записями
▪ Наличие незаблокированных учетных записей уволенных работников
▪ Отсутствие разграничения логического доступа
▪ Несанкционированное предоставление пользователям административных прав
▪ Несанкционированное предоставление пользователям прав логического доступа
▪ Хранение паролей субъектов доступа в открытом виде
▪ Передача аутентификационных данных в открытом виде по каналам и линиям связи
▪ Отсутствие регистрации персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации
▪ Отсутствие разграничения физического доступа в помещения, в которых расположены объекты доступа
▪ Несанкционированный физический доступ посторонних лиц в помещения, в которых расположены объекты доступа
▪ Отсутствие логической сетевой изоляции внутренних вычислительных сетей и сети Интернет и/или беспроводных сетей
▪ Передача информации конфиденциального характера с использованием сети Интернет, телекоммуникационных каналов и/или линий связи, не контролируемых проверяемой организацией, в открытом виде
▪ Наличие в контролируемой зоне финансовой организации незарегистрированных точек беспроводного доступа, имеющих подключение к локальной вычислительной сети финансовой организации
▪ Использование нелицензионного ПО
▪ Отсутствие применения средств защиты от воздействия вредоносного кода
▪ Обработка информации конфиденциального характера с использованием неучтенных МНИ
▪ Отсутствие гарантированного стирания информации конфиденциального характера с МНИ
▪ Отсутствие реагирования на инциденты
Для каждого из трех уровней защиты требование выполняется указанным способом:
• “Н” – реализация является необязательной;
• “О” – реализация путем применения организационной меры;
• “Т” – реализация путем применения технической меры.
Состав мер защиты может адаптироваться.
Обновлено С. Антошкин больше 1 года назад · 6 изменени(я, ий)