ГОСТ 57580 » История » Версия 6
С. Антошкин, 13.12.2023 14:07
| 1 | 1 | С. Антошкин | h1. ГОСТ 57580 |
|---|---|---|---|
| 2 | |||
| 3 | {{TOC}} |
||
| 4 | |||
| 5 | 2 | С. Антошкин | !clipboard-202312131112-jiwef.png! |
| 6 | 4 | С. Антошкин | |
| 7 | 1 | С. Антошкин | --- |
| 8 | |||
| 9 | 6 | С. Антошкин | h2. Область применения ГОСТ 57580 |
| 10 | 1 | С. Антошкин | |
| 11 | 6 | С. Антошкин | Данный стандарт разработан с целью *развития и укрепления банковской системы* Российской федерации, развитие и обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и достаточного уровня защиты информации. |
| 12 | > Сами по себе ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018 не определяют область своего применения в конкретных организациях. |
||
| 13 | Область применения определятся нормативными актами Банка России. В частности требования соответствия ГОСТу прописаны в: |
||
| 14 | * Положение №683-П Банка России |
||
| 15 | * Положение №757-П Банка России |
||
| 16 | * Положение №802-П Банка России |
||
| 17 | * Положение №719-П Банка России |
||
| 18 | * Положение №716-П Банка России |
||
| 19 | * Положение №742-П Банка России |
||
| 20 | 1 | С. Антошкин | |
| 21 | 6 | С. Антошкин | Базовый состав организационных и технический мер защиты информации определен в ГОСТе 57580.1, и соответственно, способ *проверки соответствия (методика оценки соответствия)* определена в ГОСТе 57580.2. |
| 22 | ГОСТ 57580.2-2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер в соответствии с требованиями ГОСТ 57580. |
||
| 23 | В область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а так же услуг по осуществлению перемещений денежных средств частными и юридическими лицами. |
||
| 24 | |||
| 25 | Для оценки полноты соответствия системы защиты информации существующему ГОСТу приняты уровни соответствия, от нулевого к пятому (где пятый – процессы реализуются в полном объеме на постоянной основе). |
||
| 26 | |||
| 27 | |||
| 28 | 4 | С. Антошкин | --- |
| 29 | |||
| 30 | h2. Каковы основные положения ГОСТ 57580? |
||
| 31 | |||
| 32 | Деятельности любой финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Данный риск является объективной реальностью, устранить его не представляется возможным на данный момент времени. |
||
| 33 | Понизить же вышеупомянутый риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить ряд определенных мер по защите данной информации. |
||
| 34 | Основными целями стандарта являются: |
||
| 35 | * *определение уровней защиты* информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации, применяемых финансовыми организациями для реализации *требований к обеспечению защиты информации*, установленных нормативными актами Центрального Банка России |
||
| 36 | * достижение адекватности *состава и содержания мер защиты информации*, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска |
||
| 37 | 1 | С. Антошкин | * обеспечение эффективности и возможности *стандартизированного контроля мероприятий по защите информации*, проводимых финансовыми организациями |
| 38 | |||
| 39 | --- |
||
| 40 | 4 | С. Антошкин | |
| 41 | 1 | С. Антошкин | |
| 42 | h2. Уровень защиты информации по ГОСТ 57580 |
||
| 43 | |||
| 44 | 6 | С. Антошкин | Итак, сначала рассмотрим стандарт ГОСТ Р 57580.1-2017.Данный документ вводит несколько новых терминов: |
| 45 | * *контур безопасности* - совокупность IT-систем, использующихся для реализации бизнес-процессов единой степени важности, для которых применяется единый набор требований информационной безопасности; |
||
| 46 | * *уровень защиты информации* - совокупность мер защиты информации, применяемых в определенном контуре безопасности. Стандарт устанавливает три таких уровня: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый). |
||
| 47 | 3 | С. Антошкин | |
| 48 | 6 | С. Антошкин | При этом в финансовой организации могут существовать один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации в зависимости от вида деятельности и размера организации, объема финансовых операций, значимости организации для отечественного финансового рынка и национальной платежной системы. |
| 49 | Под объектом доступа в стандарте понимается аппаратное средство, а под ресурсом доступа - программное.. |
||
| 50 | |||
| 51 | В документе организациям предлагается руководствоваться циклом Деминга (PDCA - Plan, Do, Check, Act) для повышения полноты и качества применяемых мер защиты информации: планировать, реализовывать, проверять и совершенствовать систему защиты информации в финансовой организации. |
||
| 52 | 3 | С. Антошкин | --- |
| 53 | |||
| 54 | h2. Основные меры для финансовых организаций |
||
| 55 | |||
| 56 | В пункте 6.1 стандарта обозначена необходимость обеспечить: |
||
| 57 | |||
| 58 | * *идентификацию и учет объектов информатизации*, в том числе автоматизированных систем, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Центрального Банка России, устанавливающих обязательность применения его положений |
||
| 59 | * применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией *мер защиты информации*, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации |
||
| 60 | * применение выбранных финансовой организацией мер защиты информации, обеспечивающих *приемлемые для финансовой организации полноту и качество защиты информации*, входящих в систему организации и управления защитой информации |
||
| 61 | 1 | С. Антошкин | * применение выбранных финансовой организацией мер защиты информации, направленных на *обеспечение защиты информации на всех стадиях жизненного цикла* автоматизированной системы и приложений |
| 62 | 3 | С. Антошкин | * *оценку остаточного операционного риска* (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Центрального Банка России |
| 63 | |||
| 64 | Так же в рассматриваемом стандарте упоминается, что, в случае невозможности технической реализации отдельных выбранных мероприятий по защите информации, а также с учетом экономической целесообразности на этапах уточнения базового состава мероприятий могут разрабатываться иные компенсирующие меры. |
||
| 65 | Данные меры направлены на нейтрализацию угроз безопасности информации, определенных в *модели угроз*, и нарушителей безопасности информации финансовой организации. |
||
| 66 | |||
| 67 | Основой для реализации *правильного и эффективного способа минимизации* возможных финансово неприемлемых для вышеупомянутой организации операционных рисков, связанных *с нарушением безопасности* информации, являются принятые и контролируемые руководством финансовой организации документы. |
||
| 68 | |||
| 69 | 6 | С. Антошкин | Перечни технических и организационных мер сгруппированы по тематике с указанием кодового обозначения для удобства использования стандарта. Базовый состав мер защиты информации устанавливает требования к восьми направлениям (процессам) информационной безопасности и их подпроцессам: |
| 70 | 5 | С. Антошкин | |
| 71 | 3 | С. Антошкин | {{collapse(Процесс 1: Обеспечение защиты информации при управлении доступом) |
| 72 | * Подпроцесс: Управление учетными записями и правами субъектов логического доступа. |
||
| 73 | * Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа. |
||
| 74 | * Подпроцесс: Защита информации при осуществлении физического доступа. |
||
| 75 | * Подпроцесс: Идентификация и учет ресурсов и объектов доступа. |
||
| 76 | }} |
||
| 77 | 5 | С. Антошкин | |
| 78 | 3 | С. Антошкин | {{collapse(Процесс 2: Обеспечение защиты вычислительных сетей) |
| 79 | * Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей. |
||
| 80 | * Подпроцесс: Выявление вторжений и сетевых атак. |
||
| 81 | * Подпроцесс: Защита информации, передаваемой по вычислительным сетям. |
||
| 82 | * Подпроцесс: Защита беспроводных сетей. |
||
| 83 | }} |
||
| 84 | 5 | С. Антошкин | |
| 85 | 3 | С. Антошкин | {{collapse(Процесс 3: Контроль целостности и защищенности информационной инфраструктуры) |
| 86 | * Не содержит подпроцессов. |
||
| 87 | }} |
||
| 88 | 5 | С. Антошкин | |
| 89 | 3 | С. Антошкин | {{collapse(Процесс 4: Защита от вредоносного кода) |
| 90 | * Не содержит подпроцессов. |
||
| 91 | 5 | С. Антошкин | }} |
| 92 | 3 | С. Антошкин | |
| 93 | {{collapse(Процесс 5: Предотвращение утечек информации) |
||
| 94 | 5 | С. Антошкин | * Не содержит подпроцессов. |
| 95 | 3 | С. Антошкин | }} |
| 96 | |||
| 97 | {{collapse(Процесс 6: Управление инцидентами защиты информации) |
||
| 98 | * Подпроцесс: Мониторинг и анализ событий защиты информации. |
||
| 99 | * Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них. |
||
| 100 | }} |
||
| 101 | |||
| 102 | {{collapse(Процесс 7: Защита среды виртуализации) |
||
| 103 | * Не содержит подпроцессов. |
||
| 104 | }} |
||
| 105 | {{collapse(Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных переносных устройств) |
||
| 106 | * Не содержит подпроцессов. |
||
| 107 | }} |
||
| 108 | 1 | С. Антошкин | |
| 109 | {{collapse(Раздел 8. Требования к организации и управлению защитой информации) |
||
| 110 | Каждая мера применяется к каждому из 8 процессов: |
||
| 111 | * базовый состав мер планирования процесса системы защиты информации. |
||
| 112 | * базовый состав мер по реализации процесса системы защиты информации. |
||
| 113 | * базовый состав мер контроля процесса системы защиты информации. |
||
| 114 | * базовый состав мер по совершенствованию процесса системы защиты информации. |
||
| 115 | }} |
||
| 116 | |||
| 117 | 6 | С. Антошкин | {{collapse(Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.) |
| 118 | * реализация мер защиты информации на этапе «Создание (модернизация) систем» |
||
| 119 | * реализация мер защиты информации на этапе «Ввод в эксплуатацию систем» |
||
| 120 | * реализация мер защиты информации на этапе «Эксплуатация (сопровождение) систем» |
||
| 121 | * реализация мер защиты информации на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации систем» |
||
| 122 | }} |
||
| 123 | |||
| 124 | 1 | С. Антошкин | --- |
| 125 | |||
| 126 | 6 | С. Антошкин | h2. 57580.2 |
| 127 | 1 | С. Антошкин | |
| 128 | 6 | С. Антошкин | Цели аудита |
| 129 | * Объективная и независимая оценка выбора и реализации требований ГОСТ Р 57580.1-2017 |
||
| 130 | * Определение организационных и технических мер для: |
||
| 131 | ** приведения в соответствие требованиям ГОСТ Р 57580.1-2017 и Положений Банка России |
||
| 132 | ** повышения уровня защищенности информации |
||
| 133 | 1 | С. Антошкин | |
| 134 | 6 | С. Антошкин | Кто может провести аудит? |
| 135 | 1 | С. Антошкин | |
| 136 | 6 | С. Антошкин | Лицензиаты ФСТЭК России на деятельность по технической защите конфиденциальной информации как минимум по одному виду работ и услуг: |
| 137 | * контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации |
||
| 138 | * проектирование в защищенном исполнении средств и систем информатизации |
||
| 139 | * установка, монтаж, наладка, испытание, ремонт средств защиты информации |
||
| 140 | Организации, обладающие необходимым уровнем компетенции |
||
| 141 | * Имеют опыт аудита на соответствие комплекса стандартов СТО БР ИББС, Положению Банка России № 382-П |
||
| 142 | * Наличие в штате специалистов, обладающих соответствующей квалификацией и сертификатами: |
||
| 143 | ** Certified Information Systems Auditor (CISA) |
||
| 144 | ** Certified Information Systems Security Professional (CISSP) |
||
| 145 | ** Certified Information Security Manager (CISM) |
||
| 146 | 1 | С. Антошкин | |
| 147 | 6 | С. Антошкин | Кого нельзя привлекать к аудиту? |
| 148 | * Организации, являющиеся зависимыми от проверяемой организации |
||
| 149 | * Организации, осуществлявшие или осуществляющие оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или |
||
| 150 | сопровождения систем, средств, процессов информатизации и защиты информации, включенных в область аудита), и организации от них зависимые |
||
| 151 | |||
| 152 | Область оценки соответствия |
||
| 153 | * Совокупность объектов информатизации, включая автоматизированные системы (АС) и приложения, используемые для выполнения бизнес-процессов и или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств |
||
| 154 | * Область оценки соответствия должна совпадать с областью применения ГОСТ Р 57580.1 |
||
| 155 | * Количество и выборку проверяемых подразделений, объектов информатизации, АС и средств вычислительной техники, входящих в область оценки соответствия, определяет аудитор самостоятельно с учетом предложений проверяемой организации |
||
| 156 | |||
| 157 | Положение о применимости |
||
| 158 | * Технологии, не используемые в проверяемой организации |
||
| 159 | * Нет необходимости для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей |
||
| 160 | * Определены компенсирующие меры при невозможности технической реализации мер защиты информации и (или) в случае отсутствия экономической целесообразности |
||
| 161 | |||
| 162 | Свидетельства |
||
| 163 | * Инструментальные средства сбора свидетельств полноты реализации мер защиты информации |
||
| 164 | * Документы и иные материалы в бумажном или электронном виде относящиеся к обеспечению защиты информации |
||
| 165 | * Устные высказывания сотрудников проверяемой организации в процессе интервьюирования |
||
| 166 | * Результаты наблюдений аудиторов за процессами и деятельностью сотрудников |
||
| 167 | * Параметры конфигураций и настроек технических объектов информатизации и средств защиты информации |
||
| 168 | |||
| 169 | Оценки |
||
| 170 | раздел Система защиты информации |
||
| 171 | |_.Емзи|_.Вербальный показатель| |
||
| 172 | |1|Мера выбрана (при предъявлении свидетельств выбора)| |
||
| 173 | |0|Мера не выбрана (при отсутствии свидетельств выбора)| |
||
| 174 | |||
| 175 | раздел Организация и управление защитой информации |
||
| 176 | |||
| 177 | |_.Емоу|_.Вербальный показатель| |
||
| 178 | |1|Мера реализуется в полном объеме| |
||
| 179 | |0.5|Мера реализуется не в полном объеме| |
||
| 180 | |0|Мера полностью не реализуется| |
||
| 181 | |||
| 182 | раздел Защита информации на этапах жизненного цикла |
||
| 183 | |||
| 184 | |_.Емас|_.Вербальный показатель| |
||
| 185 | |1|Мера на этапах жизненного цикла реализуется в полном объеме| |
||
| 186 | |0.5|Мера на этапах жизненного цикла реализуется не в полном объеме| |
||
| 187 | |0|Мера на этапах жизненного цикла полностью не реализуется| |
||
| 188 | |||
| 189 | |||
| 190 | вставить формулы |
||
| 191 | |||
| 192 | |||
| 193 | Основные нарушения |
||
| 194 | ▪ Осуществление логического доступа под учетными записями неопределенного целевого назначения |
||
| 195 | ▪ Осуществление логического доступа под коллективными неперсонифицированными учетными записями |
||
| 196 | ▪ Наличие незаблокированных учетных записей уволенных работников |
||
| 197 | ▪ Отсутствие разграничения логического доступа |
||
| 198 | ▪ Несанкционированное предоставление пользователям административных прав |
||
| 199 | ▪ Несанкционированное предоставление пользователям прав логического доступа |
||
| 200 | ▪ Хранение паролей субъектов доступа в открытом виде |
||
| 201 | ▪ Передача аутентификационных данных в открытом виде по каналам и линиям связи |
||
| 202 | ▪ Отсутствие регистрации персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации |
||
| 203 | ▪ Отсутствие разграничения физического доступа в помещения, в которых расположены объекты доступа |
||
| 204 | ▪ Несанкционированный физический доступ посторонних лиц в помещения, в которых расположены объекты доступа |
||
| 205 | ▪ Отсутствие логической сетевой изоляции внутренних вычислительных сетей и сети Интернет и/или беспроводных сетей |
||
| 206 | ▪ Передача информации конфиденциального характера с использованием сети Интернет, телекоммуникационных каналов и/или линий связи, не контролируемых проверяемой организацией, в открытом виде |
||
| 207 | ▪ Наличие в контролируемой зоне финансовой организации незарегистрированных точек беспроводного доступа, имеющих подключение к локальной вычислительной сети финансовой организации |
||
| 208 | ▪ Использование нелицензионного ПО |
||
| 209 | ▪ Отсутствие применения средств защиты от воздействия вредоносного кода |
||
| 210 | ▪ Обработка информации конфиденциального характера с использованием неучтенных МНИ |
||
| 211 | ▪ Отсутствие гарантированного стирания информации конфиденциального характера с МНИ |
||
| 212 | ▪ Отсутствие реагирования на инциденты |
||
| 213 | 3 | С. Антошкин | |
| 214 | --- |
||
| 215 | |||
| 216 | |||
| 217 | |||
| 218 | Для каждого из трех уровней защиты требование выполняется указанным способом: |
||
| 219 | • “Н” – реализация является необязательной; |
||
| 220 | • “О” – реализация путем применения организационной меры; |
||
| 221 | • “Т” – реализация путем применения технической меры. |
||
| 222 | Состав мер защиты может адаптироваться. |
||
| 223 | |||
| 224 | {{collapse(Пример требований) |
||
| 225 | |_.Мера защиты|_.Содержание мер системы защиты|_.УЗ3|_.УЗ 2|_.УЗ 1| |
||
| 226 | |УЗП.6|Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)|О|О|О| |
||
| 227 | |РД.12|Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ|Н|Т|Т| |
||
| 228 | |ФД.6|Назначение для всех помещений распорядителя физического доступа|О|О| |
||
| 229 | |ВСА.9|Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному|Н|Т|Т| |
||
| 230 | |ЗБС.1|Аутентификация устройств доступа точками доступа по протоколу Wi-Fi|Т|Т|Т| |
||
| 231 | |ЦЗИ.16 |
||
| 232 | 1 | С. Антошкин | |Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций|О|О|О| |
| 233 | |ЗВК.13|Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов|Т|Н|Н| |
||
| 234 | |ЗВК.14|Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика|Н|Т|Т| |
||
| 235 | |ПУИ.3|Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера|Н|Т|Т| |
||
| 236 | |РИ.9|Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь|Н|О|О| |
||
| 237 | |ЗСВ.27|Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами|О|О|О| |
||
| 238 | |ЗУД.3|Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM|Н|Т|Т| |
||
| 239 | |ЗУД.11|Обеспечение защиты мобильных устройств от воздействий ВК|Т|Т|Т| |
||
| 240 | }} |