ГОСТ 57580 » История » Версия 3
С. Антошкин, 13.12.2023 12:28
| 1 | 1 | С. Антошкин | h1. ГОСТ 57580 |
|---|---|---|---|
| 2 | |||
| 3 | {{TOC}} |
||
| 4 | |||
| 5 | 2 | С. Антошкин | !clipboard-202312131112-jiwef.png! |
| 6 | 1 | С. Антошкин | --- |
| 7 | 3 | С. Антошкин | Национальные стандарты ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», разработанные в 2017-2018 г., послужили логическим продолжением многолетней деятельности Банка России в сфере обеспечения информационной безопасности. |
| 8 | |||
| 9 | ГОСТ Р 57580.1-2017 определяет базовый состав организационных и технических мер, которые должны выполняться финансовыми организациями (кредитными организациями, некредитными финансовыми организациями, участниками Национальной платежной системы, участниками Единой биометрической системы), ГОСТ Р 57580.2-2018 – методику проведения оценки соответствия, требования к предоставлению отчетности в ЦБ РФ по итогам проведения аудита, формулы расчета уровня соответствия. ГОСТ Р 57580.2-2018 предназначен для использования юридическими лицами, осуществляющими оценку соответствия. |
||
| 10 | |||
| 11 | Требование обеспечения уровня защиты информации в соответствии с ГОСТ 57580.1-2017 включено в Положения Банка России №683-П, №757-П, №747-П, №719-П. |
||
| 12 | |||
| 13 | --- |
||
| 14 | |||
| 15 | h2. Уровень защиты информации по ГОСТ 57580 |
||
| 16 | |||
| 17 | Данный ГОСТ выделяет *три уровня* защиты информации: *минимальный*, *стандартный* и *усиленный*. |
||
| 18 | В финансовой организации формируются контуры безопасности, для которых может быть установлен разный *уровень защиты информации*. |
||
| 19 | Вышеуказанный уровень для каждого конкретного контура безопасности устанавливается нормативными актами Центрального Банка России. |
||
| 20 | Требования к уровню безопасности устанавливаются на основе оценки следующих параметров организации: *вида деятельности организации*, *объема финансовых операций*, *категории* (размера) организации и *значимости* конкретной организации для финансового рынка и национальной платежной системы в целом. |
||
| 21 | |||
| 22 | --- |
||
| 23 | |||
| 24 | h2. Основные меры для финансовых организаций |
||
| 25 | |||
| 26 | В пункте 6.1 стандарта обозначена необходимость обеспечить: |
||
| 27 | |||
| 28 | * *идентификацию и учет объектов информатизации*, в том числе автоматизированных систем, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Центрального Банка России, устанавливающих обязательность применения его положений |
||
| 29 | * применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией *мер защиты информации*, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации |
||
| 30 | * применение выбранных финансовой организацией мер защиты информации, обеспечивающих *приемлемые для финансовой организации полноту и качество защиты информации*, входящих в систему организации и управления защитой информации |
||
| 31 | * применение выбранных финансовой организацией мер защиты информации, направленных на *обеспечение защиты информации на всех стадиях жизненного цикла* автоматизированной системы и приложений |
||
| 32 | * *оценку остаточного операционного риска* (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Центрального Банка России |
||
| 33 | |||
| 34 | Так же в рассматриваемом стандарте упоминается, что, в случае невозможности технической реализации отдельных выбранных мероприятий по защите информации, а также с учетом экономической целесообразности на этапах уточнения базового состава мероприятий могут разрабатываться иные компенсирующие меры. |
||
| 35 | Данные меры направлены на нейтрализацию угроз безопасности информации, определенных в *модели угроз*, и нарушителей безопасности информации финансовой организации. |
||
| 36 | |||
| 37 | Основой для реализации *правильного и эффективного способа минимизации* возможных финансово неприемлемых для вышеупомянутой организации операционных рисков, связанных *с нарушением безопасности* информации, являются принятые и контролируемые руководством финансовой организации документы. |
||
| 38 | |||
| 39 | ГОСТ 57580 регламентирует определенные требования к системе защиты информации и базовому составу мер по ее обеспечению, таких как: |
||
| 40 | {{collapse(Процесс 1: Обеспечение защиты информации при управлении доступом) |
||
| 41 | * Подпроцесс: Управление учетными записями и правами субъектов логического доступа. |
||
| 42 | * Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа. |
||
| 43 | * Подпроцесс: Защита информации при осуществлении физического доступа. |
||
| 44 | * Подпроцесс: Идентификация и учет ресурсов и объектов доступа. |
||
| 45 | }} |
||
| 46 | {{collapse(Процесс 2: Обеспечение защиты вычислительных сетей) |
||
| 47 | * Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей. |
||
| 48 | * Подпроцесс: Выявление вторжений и сетевых атак. |
||
| 49 | * Подпроцесс: Защита информации, передаваемой по вычислительным сетям. |
||
| 50 | * Подпроцесс: Защита беспроводных сетей. |
||
| 51 | }} |
||
| 52 | {{collapse(Процесс 3: Контроль целостности и защищенности информационной инфраструктуры) |
||
| 53 | * Не содержит подпроцессов. |
||
| 54 | }} |
||
| 55 | {{collapse(Процесс 4: Защита от вредоносного кода) |
||
| 56 | * Не содержит подпроцессов. |
||
| 57 | }} |
||
| 58 | {{collapse(Процесс 5: Предотвращение утечек информации) |
||
| 59 | * Не содержит подпроцессов. |
||
| 60 | }} |
||
| 61 | {{collapse(Процесс 6: Управление инцидентами защиты информации) |
||
| 62 | * Подпроцесс: Мониторинг и анализ событий защиты информации. |
||
| 63 | * Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них. |
||
| 64 | }} |
||
| 65 | {{collapse(Процесс 7: Защита среды виртуализации) |
||
| 66 | * Не содержит подпроцессов. |
||
| 67 | }} |
||
| 68 | {{collapse(Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных переносных устройств) |
||
| 69 | * Не содержит подпроцессов. |
||
| 70 | }} |
||
| 71 | {{collapse(Раздел 8. Требования к организации и управлению защитой информации) |
||
| 72 | Каждая мера применяется к каждому из 8 процессов: |
||
| 73 | * базовый состав мер планирования процесса системы защиты информации. |
||
| 74 | * базовый состав мер по реализации процесса системы защиты информации. |
||
| 75 | * базовый состав мер контроля процесса системы защиты информации. |
||
| 76 | * базовый состав мер по совершенствованию процесса системы защиты информации. |
||
| 77 | требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений. |
||
| 78 | }} |
||
| 79 | |||
| 80 | --- |
||
| 81 | |||
| 82 | h2. Область применения ГОСТ 57580 |
||
| 83 | |||
| 84 | Данный стандарт разработан с целью *развития и укрепления банковской системы* Российской федерации, развитие и обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и достаточного уровня защиты информации. |
||
| 85 | |||
| 86 | --- |
||
| 87 | |||
| 88 | h2. Каковы основные положения ГОСТ 57580? |
||
| 89 | |||
| 90 | Деятельности любой финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Данный риск является объективной реальностью, устранить его не представляется возможным на данный момент времени. |
||
| 91 | Понизить же вышеупомянутый риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить ряд определенных мер по защите данной информации. |
||
| 92 | Основными целями стандарта являются: |
||
| 93 | * *определение уровней защиты* информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации, применяемых финансовыми организациями для реализации *требований к обеспечению защиты информации*, установленных нормативными актами Центрального Банка России |
||
| 94 | * достижение адекватности *состава и содержания мер защиты информации*, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска |
||
| 95 | * обеспечение эффективности и возможности *стандартизированного контроля мероприятий по защите информации*, проводимых финансовыми организациями |
||
| 96 | |||
| 97 | |||
| 98 | --- |
||
| 99 | |||
| 100 | |||
| 101 | |||
| 102 | |||
| 103 | --- |
||
| 104 | |||
| 105 | Для каждого из трех уровней защиты требование выполняется указанным способом: |
||
| 106 | • “Н” – реализация является необязательной; |
||
| 107 | • “О” – реализация путем применения организационной меры; |
||
| 108 | • “Т” – реализация путем применения технической меры. |
||
| 109 | Состав мер защиты может адаптироваться. |
||
| 110 | |||
| 111 | {{collapse(Пример требований) |
||
| 112 | |_.Мера защиты|_.Содержание мер системы защиты|_.УЗ3|_.УЗ 2|_.УЗ 1| |
||
| 113 | |УЗП.6|Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)|О|О|О| |
||
| 114 | |РД.12|Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ|Н|Т|Т| |
||
| 115 | |ФД.6|Назначение для всех помещений распорядителя физического доступа|О|О| |
||
| 116 | |ВСА.9|Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному|Н|Т|Т| |
||
| 117 | |ЗБС.1|Аутентификация устройств доступа точками доступа по протоколу Wi-Fi|Т|Т|Т| |
||
| 118 | |ЦЗИ.16 |
||
| 119 | |Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций|О|О|О| |
||
| 120 | |ЗВК.13|Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов|Т|Н|Н| |
||
| 121 | |ЗВК.14|Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика|Н|Т|Т| |
||
| 122 | |ПУИ.3|Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера|Н|Т|Т| |
||
| 123 | |РИ.9|Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь|Н|О|О| |
||
| 124 | |ЗСВ.27|Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами|О|О|О| |
||
| 125 | |ЗУД.3|Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM|Н|Т|Т| |
||
| 126 | |ЗУД.11|Обеспечение защиты мобильных устройств от воздействий ВК|Т|Т|Т| |
||
| 127 | }} |