ГОСТ 57580 » История » Версия 4
С. Антошкин, 13.12.2023 13:21
| 1 | 1 | С. Антошкин | h1. ГОСТ 57580 |
|---|---|---|---|
| 2 | |||
| 3 | {{TOC}} |
||
| 4 | |||
| 5 | 2 | С. Антошкин | !clipboard-202312131112-jiwef.png! |
| 6 | 4 | С. Антошкин | |
| 7 | 1 | С. Антошкин | --- |
| 8 | 3 | С. Антошкин | Национальные стандарты ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», разработанные в 2017-2018 г., послужили логическим продолжением многолетней деятельности Банка России в сфере обеспечения информационной безопасности. |
| 9 | |||
| 10 | ГОСТ Р 57580.1-2017 определяет базовый состав организационных и технических мер, которые должны выполняться финансовыми организациями (кредитными организациями, некредитными финансовыми организациями, участниками Национальной платежной системы, участниками Единой биометрической системы), ГОСТ Р 57580.2-2018 – методику проведения оценки соответствия, требования к предоставлению отчетности в ЦБ РФ по итогам проведения аудита, формулы расчета уровня соответствия. ГОСТ Р 57580.2-2018 предназначен для использования юридическими лицами, осуществляющими оценку соответствия. |
||
| 11 | |||
| 12 | Требование обеспечения уровня защиты информации в соответствии с ГОСТ 57580.1-2017 включено в Положения Банка России №683-П, №757-П, №747-П, №719-П. |
||
| 13 | |||
| 14 | --- |
||
| 15 | |||
| 16 | 4 | С. Антошкин | h2. Каковы основные положения ГОСТ 57580? |
| 17 | |||
| 18 | Деятельности любой финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Данный риск является объективной реальностью, устранить его не представляется возможным на данный момент времени. |
||
| 19 | Понизить же вышеупомянутый риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить ряд определенных мер по защите данной информации. |
||
| 20 | Основными целями стандарта являются: |
||
| 21 | * *определение уровней защиты* информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации, применяемых финансовыми организациями для реализации *требований к обеспечению защиты информации*, установленных нормативными актами Центрального Банка России |
||
| 22 | * достижение адекватности *состава и содержания мер защиты информации*, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска |
||
| 23 | * обеспечение эффективности и возможности *стандартизированного контроля мероприятий по защите информации*, проводимых финансовыми организациями |
||
| 24 | |||
| 25 | --- |
||
| 26 | |||
| 27 | |||
| 28 | 3 | С. Антошкин | h2. Уровень защиты информации по ГОСТ 57580 |
| 29 | |||
| 30 | Данный ГОСТ выделяет *три уровня* защиты информации: *минимальный*, *стандартный* и *усиленный*. |
||
| 31 | В финансовой организации формируются контуры безопасности, для которых может быть установлен разный *уровень защиты информации*. |
||
| 32 | Вышеуказанный уровень для каждого конкретного контура безопасности устанавливается нормативными актами Центрального Банка России. |
||
| 33 | Требования к уровню безопасности устанавливаются на основе оценки следующих параметров организации: *вида деятельности организации*, *объема финансовых операций*, *категории* (размера) организации и *значимости* конкретной организации для финансового рынка и национальной платежной системы в целом. |
||
| 34 | |||
| 35 | --- |
||
| 36 | |||
| 37 | h2. Основные меры для финансовых организаций |
||
| 38 | |||
| 39 | В пункте 6.1 стандарта обозначена необходимость обеспечить: |
||
| 40 | |||
| 41 | * *идентификацию и учет объектов информатизации*, в том числе автоматизированных систем, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Центрального Банка России, устанавливающих обязательность применения его положений |
||
| 42 | * применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией *мер защиты информации*, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации |
||
| 43 | * применение выбранных финансовой организацией мер защиты информации, обеспечивающих *приемлемые для финансовой организации полноту и качество защиты информации*, входящих в систему организации и управления защитой информации |
||
| 44 | * применение выбранных финансовой организацией мер защиты информации, направленных на *обеспечение защиты информации на всех стадиях жизненного цикла* автоматизированной системы и приложений |
||
| 45 | * *оценку остаточного операционного риска* (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Центрального Банка России |
||
| 46 | |||
| 47 | Так же в рассматриваемом стандарте упоминается, что, в случае невозможности технической реализации отдельных выбранных мероприятий по защите информации, а также с учетом экономической целесообразности на этапах уточнения базового состава мероприятий могут разрабатываться иные компенсирующие меры. |
||
| 48 | Данные меры направлены на нейтрализацию угроз безопасности информации, определенных в *модели угроз*, и нарушителей безопасности информации финансовой организации. |
||
| 49 | |||
| 50 | Основой для реализации *правильного и эффективного способа минимизации* возможных финансово неприемлемых для вышеупомянутой организации операционных рисков, связанных *с нарушением безопасности* информации, являются принятые и контролируемые руководством финансовой организации документы. |
||
| 51 | |||
| 52 | ГОСТ 57580 регламентирует определенные требования к системе защиты информации и базовому составу мер по ее обеспечению, таких как: |
||
| 53 | {{collapse(Процесс 1: Обеспечение защиты информации при управлении доступом) |
||
| 54 | * Подпроцесс: Управление учетными записями и правами субъектов логического доступа. |
||
| 55 | * Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа. |
||
| 56 | * Подпроцесс: Защита информации при осуществлении физического доступа. |
||
| 57 | * Подпроцесс: Идентификация и учет ресурсов и объектов доступа. |
||
| 58 | }} |
||
| 59 | {{collapse(Процесс 2: Обеспечение защиты вычислительных сетей) |
||
| 60 | * Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей. |
||
| 61 | * Подпроцесс: Выявление вторжений и сетевых атак. |
||
| 62 | * Подпроцесс: Защита информации, передаваемой по вычислительным сетям. |
||
| 63 | * Подпроцесс: Защита беспроводных сетей. |
||
| 64 | }} |
||
| 65 | {{collapse(Процесс 3: Контроль целостности и защищенности информационной инфраструктуры) |
||
| 66 | * Не содержит подпроцессов. |
||
| 67 | }} |
||
| 68 | {{collapse(Процесс 4: Защита от вредоносного кода) |
||
| 69 | * Не содержит подпроцессов. |
||
| 70 | }} |
||
| 71 | {{collapse(Процесс 5: Предотвращение утечек информации) |
||
| 72 | * Не содержит подпроцессов. |
||
| 73 | }} |
||
| 74 | {{collapse(Процесс 6: Управление инцидентами защиты информации) |
||
| 75 | * Подпроцесс: Мониторинг и анализ событий защиты информации. |
||
| 76 | * Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них. |
||
| 77 | }} |
||
| 78 | {{collapse(Процесс 7: Защита среды виртуализации) |
||
| 79 | * Не содержит подпроцессов. |
||
| 80 | }} |
||
| 81 | {{collapse(Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных переносных устройств) |
||
| 82 | * Не содержит подпроцессов. |
||
| 83 | }} |
||
| 84 | {{collapse(Раздел 8. Требования к организации и управлению защитой информации) |
||
| 85 | Каждая мера применяется к каждому из 8 процессов: |
||
| 86 | * базовый состав мер планирования процесса системы защиты информации. |
||
| 87 | * базовый состав мер по реализации процесса системы защиты информации. |
||
| 88 | * базовый состав мер контроля процесса системы защиты информации. |
||
| 89 | * базовый состав мер по совершенствованию процесса системы защиты информации. |
||
| 90 | требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений. |
||
| 91 | }} |
||
| 92 | |||
| 93 | --- |
||
| 94 | |||
| 95 | h2. Область применения ГОСТ 57580 |
||
| 96 | |||
| 97 | Данный стандарт разработан с целью *развития и укрепления банковской системы* Российской федерации, развитие и обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и достаточного уровня защиты информации. |
||
| 98 | 4 | С. Антошкин | > Сами по себе ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018 не определяют область своего применения в конкретных организациях. |
| 99 | Область применения определятся нормативными актами Банка России. В частности требования соответствия ГОСТу прописаны в: |
||
| 100 | * Положение №683-П Банка России |
||
| 101 | * Положение №757-П Банка России |
||
| 102 | * Положение №802-П Банка России |
||
| 103 | * Положение №719-П Банка России |
||
| 104 | * Положение №716-П Банка России |
||
| 105 | * Положение №742-П Банка России |
||
| 106 | 1 | С. Антошкин | |
| 107 | 4 | С. Антошкин | Базовый состав организационных и технический мер защиты информации определен в ГОСТе 57580.1, и соответственно, способ *проверки соответствия (методика оценки соответствия)* определена в ГОСТе 57580.2. |
| 108 | ГОСТ 57580.2-2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер в соответствии с требованиями ГОСТ 57580. |
||
| 109 | В область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а так же услуг по осуществлению перемещений денежных средств частными и юридическими лицами. |
||
| 110 | 3 | С. Антошкин | |
| 111 | 4 | С. Антошкин | Для оценки полноты соответствия системы защиты информации существующему ГОСТу приняты уровни соответствия, от нулевого к пятому (где пятый – процессы реализуются в полном объеме на постоянной основе). |
| 112 | 3 | С. Антошкин | |
| 113 | |||
| 114 | --- |
||
| 115 | |||
| 116 | |||
| 117 | |||
| 118 | Для каждого из трех уровней защиты требование выполняется указанным способом: |
||
| 119 | • “Н” – реализация является необязательной; |
||
| 120 | • “О” – реализация путем применения организационной меры; |
||
| 121 | • “Т” – реализация путем применения технической меры. |
||
| 122 | Состав мер защиты может адаптироваться. |
||
| 123 | |||
| 124 | {{collapse(Пример требований) |
||
| 125 | |_.Мера защиты|_.Содержание мер системы защиты|_.УЗ3|_.УЗ 2|_.УЗ 1| |
||
| 126 | |УЗП.6|Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)|О|О|О| |
||
| 127 | |РД.12|Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ|Н|Т|Т| |
||
| 128 | |ФД.6|Назначение для всех помещений распорядителя физического доступа|О|О| |
||
| 129 | |ВСА.9|Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному|Н|Т|Т| |
||
| 130 | |ЗБС.1|Аутентификация устройств доступа точками доступа по протоколу Wi-Fi|Т|Т|Т| |
||
| 131 | |ЦЗИ.16 |
||
| 132 | |Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций|О|О|О| |
||
| 133 | |ЗВК.13|Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов|Т|Н|Н| |
||
| 134 | |ЗВК.14|Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика|Н|Т|Т| |
||
| 135 | |ПУИ.3|Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера|Н|Т|Т| |
||
| 136 | |РИ.9|Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь|Н|О|О| |
||
| 137 | |ЗСВ.27|Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами|О|О|О| |
||
| 138 | |ЗУД.3|Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM|Н|Т|Т| |
||
| 139 | |ЗУД.11|Обеспечение защиты мобильных устройств от воздействий ВК|Т|Т|Т| |
||
| 140 | }} |