Аудит / Учебный курс

h1. ГОСТ 57580

{{TOC}}

!clipboard-202312131112-jiwef.png!

---

h2. Область применения ГОСТ 57580 

Данный стандарт разработан с целью *развития и укрепления банковской системы* Российской федерации, развитие и обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и достаточного уровня защиты информации.

> Сами по себе ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018 не определяют область своего применения в конкретных организациях.

Область применения определятся нормативными актами Банка России. В частности требования соответствия ГОСТу прописаны в:

* Положение №683-П Банка России

* Положение №757-П Банка России

* Положение №802-П Банка России

* Положение №719-П Банка России

* Положение №716-П Банка России

* Положение №742-П Банка России

Базовый состав организационных и технический мер защиты информации определен в ГОСТе 57580.1, и соответственно, способ *проверки соответствия (методика оценки соответствия)* определена в ГОСТе 57580.2.

ГОСТ 57580.2-2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер в соответствии с требованиями ГОСТ 57580.

В область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а так же услуг по осуществлению перемещений денежных средств частными и юридическими лицами.

Для оценки полноты соответствия системы защиты информации существующему ГОСТу приняты уровни соответствия, от нулевого к пятому (где пятый – процессы реализуются в полном объеме на постоянной основе).

---

h2. Каковы основные положения ГОСТ 57580?

Деятельности любой финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Данный риск является объективной реальностью, устранить его не представляется возможным на данный момент времени.

Понизить же вышеупомянутый риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить ряд определенных мер по защите данной информации.

Основными целями  стандарта являются:

* *определение уровней защиты* информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации, применяемых финансовыми организациями для реализации *требований к обеспечению защиты информации*, установленных нормативными актами Центрального Банка России

* достижение адекватности *состава и содержания мер защиты информации*, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска

* обеспечение эффективности и возможности *стандартизированного контроля мероприятий по защите информации*, проводимых финансовыми организациями

---

h2.  Уровень защиты информации по ГОСТ 57580

Итак, сначала рассмотрим стандарт ГОСТ Р 57580.1-2017.Данный документ вводит несколько новых терминов:

* *контур безопасности* - совокупность IT-систем, использующихся для реализации бизнес-процессов единой степени важности, для которых применяется единый набор требований информационной безопасности;

* *уровень защиты информации* - совокупность мер защиты информации, применяемых в определенном контуре безопасности. Стандарт устанавливает три таких уровня: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).

При этом в финансовой организации могут существовать один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации в зависимости от вида деятельности и размера организации, объема финансовых операций, значимости организации для отечественного финансового рынка и национальной платежной системы.

Под объектом доступа в стандарте понимается аппаратное средство, а под ресурсом доступа - программное..

В документе организациям предлагается руководствоваться циклом Деминга (PDCA - Plan, Do, Check, Act) для повышения полноты и качества применяемых мер защиты информации: планировать, реализовывать, проверять и совершенствовать систему защиты информации в финансовой организации.

---

h2. Основные меры для финансовых организаций

В пункте 6.1 стандарта обозначена необходимость обеспечить:

* *идентификацию и учет объектов информатизации*, в том числе автоматизированных систем, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Центрального Банка России, устанавливающих обязательность применения его положений

* применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией *мер защиты информации*, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации

* применение выбранных финансовой организацией мер защиты информации, обеспечивающих *приемлемые для финансовой организации полноту и качество защиты информации*, входящих в систему организации и управления защитой информации

* применение выбранных финансовой организацией мер защиты информации, направленных на *обеспечение защиты информации на всех стадиях жизненного цикла* автоматизированной системы и приложений

* *оценку остаточного операционного риска* (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Центрального Банка России

Так же в рассматриваемом стандарте упоминается, что, в случае невозможности технической реализации отдельных выбранных мероприятий по защите информации, а также с учетом экономической целесообразности на этапах уточнения базового состава мероприятий могут разрабатываться иные компенсирующие меры.

Данные меры направлены на нейтрализацию угроз безопасности информации, определенных в *модели угроз*, и нарушителей безопасности информации финансовой организации.

Основой для реализации *правильного и эффективного способа минимизации* возможных финансово неприемлемых для вышеупомянутой организации операционных рисков, связанных *с нарушением безопасности* информации, являются принятые и контролируемые руководством финансовой организации документы.

Перечни технических и организационных мер сгруппированы по тематике с указанием кодового обозначения для удобства использования стандарта. Базовый состав мер защиты информации устанавливает требования к восьми направлениям (процессам) информационной безопасности и их подпроцессам:

{{collapse(Процесс 1: Обеспечение защиты информации при управлении доступом)

* Подпроцесс: Управление учетными записями и правами субъектов логического доступа.

* Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.

* Подпроцесс: Защита информации при осуществлении физического доступа.

* Подпроцесс: Идентификация и учет ресурсов и объектов доступа.

}}

{{collapse(Процесс 2: Обеспечение защиты вычислительных сетей)

* Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей.

* Подпроцесс: Выявление вторжений и сетевых атак.

* Подпроцесс: Защита информации, передаваемой по вычислительным сетям.

* Подпроцесс: Защита беспроводных сетей.

}}

{{collapse(Процесс 3: Контроль целостности и защищенности информационной инфраструктуры)

* Не содержит подпроцессов.

}}

{{collapse(Процесс 4: Защита от вредоносного кода)

* Не содержит подпроцессов.

}}

{{collapse(Процесс 5: Предотвращение утечек информации)

* Не содержит подпроцессов.

}}

{{collapse(Процесс 6: Управление инцидентами защиты информации)

* Подпроцесс: Мониторинг и анализ событий защиты информации.

* Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них.

}}

{{collapse(Процесс 7: Защита среды виртуализации)

* Не содержит подпроцессов.

}}

{{collapse(Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных переносных устройств)

* Не содержит подпроцессов.

}}

{{collapse(Раздел 8. Требования к организации и управлению защитой информации)

Каждая мера применяется к каждому из 8 процессов:

* базовый состав мер планирования процесса системы защиты информации.

* базовый состав мер по реализации процесса системы защиты информации.

* базовый состав мер контроля процесса системы защиты информации.

* базовый состав мер по совершенствованию процесса системы защиты информации.

}}

{{collapse(Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.)

* реализация мер защиты информации на этапе «Создание (модернизация) систем» 

* реализация мер защиты информации на этапе «Ввод в эксплуатацию систем»

* реализация мер защиты информации на этапе «Эксплуатация (сопровождение) систем»

* реализация мер защиты информации на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации систем»

}}

---

h2. 57580.2

Цели аудита

* Объективная и независимая оценка выбора и реализации требований ГОСТ Р 57580.1-2017

* Определение организационных и технических мер для:

** приведения в соответствие требованиям ГОСТ Р 57580.1-2017 и Положений Банка России

** повышения уровня защищенности информации

Кто может провести аудит?

Лицензиаты ФСТЭК России на деятельность по технической защите конфиденциальной информации как минимум по одному виду работ и услуг:

* контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации

* проектирование в защищенном исполнении средств и систем информатизации

* установка, монтаж, наладка, испытание, ремонт средств защиты информации

Организации, обладающие необходимым уровнем компетенции

* Имеют опыт аудита на соответствие комплекса стандартов СТО БР ИББС, Положению Банка России № 382-П

* Наличие в штате специалистов, обладающих соответствующей квалификацией и сертификатами:

** Certified Information Systems Auditor (CISA)

** Certified Information Systems Security Professional (CISSP)

** Certified Information Security Manager (CISM)

** Lead Auditor ISO 27001 

Кого нельзя привлекать к аудиту? 

* Организации, являющиеся зависимыми от проверяемой организации

* Организации, осуществлявшие или осуществляющие оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, включенных в область аудита), и организации от них зависимые

Область оценки соответствия

* Совокупность объектов информатизации, включая автоматизированные системы (АС) и приложения, используемые для выполнения бизнес-процессов и или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств

* Область оценки соответствия должна совпадать с областью применения ГОСТ Р 57580.1 

* Количество и выборку проверяемых подразделений, объектов информатизации, АС и средств вычислительной техники, входящих в область оценки соответствия, определяет аудитор самостоятельно с учетом предложений проверяемой организации

Положение о применимости

* Технологии, не используемые в проверяемой организации

* Нет необходимости для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей 

* Определены компенсирующие меры при невозможности технической реализации мер защиты информации и (или) в случае отсутствия экономической целесообразности

Свидетельства

* Инструментальные средства сбора свидетельств полноты реализации мер защиты информации

* Документы и иные материалы в бумажном или электронном виде относящиеся к обеспечению защиты информации 

* Устные высказывания сотрудников проверяемой организации в процессе интервьюирования

* Результаты наблюдений аудиторов за процессами и деятельностью сотрудников 

* Параметры конфигураций и настроек технических объектов информатизации и средств защиты информации

Оценки

раздел Система защиты информации

|_.Емзи|_.Вербальный показатель|

|1|Мера выбрана (при предъявлении свидетельств выбора)|

|0|Мера не выбрана (при отсутствии свидетельств выбора)|

раздел Организация и управление защитой информации

|_.Емоу|_.Вербальный показатель|

|1|Мера реализуется в полном объеме|

|0.5|Мера реализуется не в полном объеме|

|0|Мера полностью не реализуется|

раздел Защита информации на этапах жизненного цикла

|_.Емас|_.Вербальный показатель|

|1|Мера на этапах жизненного цикла реализуется в полном объеме|

|0.5|Мера на этапах жизненного цикла реализуется не в полном объеме|

|0|Мера на этапах жизненного цикла полностью не реализуется|

Числовое значение оценки, считается по формуле 

!clipboard-202506250946-ppnw5.png!

Где 

Еj- Оценка j-той меры в рамках процесса или подпроцесса 

j-порядковый номер 

P- количество мер которые были оценены в рамках процесса/подпроцесса

Итоговая оценка за процесс составляется из оценки реализации, и оценки PDCA

!clipboard-202506250942-itcft.png!

Где 

Епзи - Оценка полноты реализации

Еп - Оценка планирования 

Ер - Оценка реализации

Ек - оценка контроля 

Ес - оценка совершенствования

Итоговая оценка в целом: 

!clipboard-202506250959-f0idr.png!

Еi — оценка соответствия процесса ;

i — номер процесса ;

Т — количество процессов вошедших в область оценки соответствия;

Еас — оценка полноты применения организационных и технических мер ЗИ на этапах жизненного цикла ;

Z — количество нарушений ЗИ. выявленных членами проверяющей группы в процессе оценки соответствия ЗИ.

Основные нарушения

▪ Осуществление логического доступа под учетными записями неопределенного целевого назначения 

▪ Осуществление логического доступа под коллективными неперсонифицированными учетными записями

▪ Наличие незаблокированных учетных записей уволенных работников

▪ Отсутствие разграничения логического доступа

▪ Несанкционированное предоставление пользователям административных прав

▪ Несанкционированное предоставление пользователям прав логического доступа

▪ Хранение паролей субъектов доступа в открытом виде

▪ Передача аутентификационных данных в открытом виде по каналам и линиям связи

▪ Отсутствие регистрации персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации

▪ Отсутствие разграничения физического доступа в помещения, в которых расположены объекты доступа

▪ Несанкционированный физический доступ посторонних лиц в помещения, в которых расположены объекты доступа

▪ Отсутствие логической сетевой изоляции внутренних вычислительных сетей и сети Интернет и/или беспроводных сетей

▪ Передача информации конфиденциального характера с использованием сети Интернет, телекоммуникационных каналов и/или линий связи, не контролируемых проверяемой организацией, в открытом виде

▪ Наличие в контролируемой зоне финансовой организации незарегистрированных точек беспроводного доступа, имеющих подключение к локальной вычислительной сети финансовой организации 

▪ Использование нелицензионного ПО

▪ Отсутствие применения средств защиты от воздействия вредоносного кода

▪ Обработка информации конфиденциального характера с использованием неучтенных МНИ

▪ Отсутствие гарантированного стирания информации конфиденциального характера с МНИ

▪ Отсутствие реагирования на инциденты

Качественная оценка 

|_.Е|_.Уровень соотвествия|

|Е=0|Нуливой|

|0<E≤0.5|Первый|

|0.5<E≤0.7|Второй|

|0.7<E≤0.85|Третий|

|0.85<E≤0.9|Четвертый|

|0.9<E≤1|Пятый|

---

Для каждого из трех уровней защиты требование выполняется указанным способом:

• “Н” – реализация является необязательной;

• “О” – реализация путем применения организационной меры;

• “Т” – реализация путем применения технической меры.

Состав мер защиты может адаптироваться.

{{collapse(Пример требований)

|_.Мера защиты|_.Содержание мер системы защиты|_.УЗ3|_.УЗ 2|_.УЗ 1|

|УЗП.6|Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)|О|О|О|

|РД.12|Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ|Н|Т|Т|

|ФД.6|Назначение для всех помещений распорядителя физического доступа|О|О|

|ВСА.9|Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному|Н|Т|Т|

|ЗБС.1|Аутентификация устройств доступа точками доступа по протоколу Wi-Fi|Т|Т|Т|

|ЦЗИ.16

|Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций|О|О|О|

|ЗВК.13|Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов|Т|Н|Н|

|ЗВК.14|Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика|Н|Т|Т|

|ПУИ.3|Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера|Н|Т|Т|

|РИ.9|Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь|Н|О|О|

|ЗСВ.27|Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами|О|О|О|

|ЗУД.3|Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM|Н|Т|Т|

|ЗУД.11|Обеспечение защиты мобильных устройств от воздействий ВК|Т|Т|Т|

}}