Документ объемный, содержит более 400 требований, в том числе принципиально новых, сложных и даже, на первый взгляд, странных. Несоблюдение грозит штрафами до 0,1% от уставного капитала, приостановкой деятельности, заменой руководства организаций и т. д. Под действие нового ГОСТа попадают банки, платежные системы, операционные и клиринговые центры, а также некредитные финансовые организации — страховщики, пенсионные фонды, рейтинговые агентства, микрофинансовые компании.
По наблюдениям ITGLOBAL.COM, основная проблема с ГОСТ Р 57580 — не столько в сложности его исполнения, сколько в неготовности к переходу на него большинства финансовых организаций (ФИ). Учитывая, что внедрение процессов по новому стандарту требует от нескольких месяцев до года и более, ФИ пора всерьез об этом задуматься.
Краткий обзор ГОСТ Р 57580
Новый ГОСТ состоит из двух частей:
В ГОСТ Р 57580.1-2017 указаны три уровня защиты информации: минимальный (3-й), стандартный (2-й), усиленный (1-й). Большинству ФИ следует обеспечивать стандартный уровень защиты. Системно-значимым банкам и операционным (клиринговым) центрам требуется усиленный.
Начинать внедрение следует с составления модели угроз, которая должна быть адекватной и всеохватывающей. При этом следует опираться на
Организационно оценка соответствия новому стандарту мало отличается от соответствующего мероприятия, предписанного Положением №382-П. Главное отличие — при оценке большинства применяемых мер организации ставится либо 0 (несоответствие), либо 1 (соответствие) по каждой из них. Т. е. частично внедрить ту или иную меру ГОСТ Р 57580 не получится.
Также, в отличие от 382-П, отсутствуют корректирующие коэффициенты, которые снижали общую оценку при увеличении количества нулей, — они заменены на штрафы, приведенные в Приложении В стандарта. К самым распространенным нарушениям, за которые штрафуют, относятся: общие административные учетные записи, предоставление лишних прав доступа, отсутствие разграничений логического доступа и др.
Из всех этапов внедрения ГОСТ Р 57580 главную сложность представляет, собственно, его применение, т. е. реализация требований. На рисунке ниже показан примерный тайминг всех этапов.
Сложности и странности
Не все меры, описанные в ГОСТе, понятны с первого прочтения. Или понятны, но явно сложны для реализации. Приведем некоторые из них.
УЗП.21 — запрещает администраторам совмещать функции управления учетными записями и управления правами субъектов логического доступа. Т. е. у одного администратора нет возможности создать учетную запись и тут же от своего имени сделать ее административной — для этого нужен второй администратор. Теоретически это полезная мера, но в реальности она значительно усложняет внутренние рабочие процессы.
РД.26 — обязывает хранить копии аутентификационных данных администраторов («эксплуатационного персонала») на выделенных цифровых или на бумажных носителях. Т. е. теперь каждый администратор сохраняет свой пароль в электронном виде (например, в файле на флеш-накопителе) или записывает на бумажку, которые прячет в сейф. Поскольку любая дополнительная копия данных повышает риск их утечки, сложно назвать эту меру конструктивной.
СМЭ.20 — длинное требование, касающееся «почтового обмена с сетью Интернет», которое обязывает организацию использовать не один, как обычно, а два почтовых сервера — внешний и внутренний. По опыту ITGLOBAL.COM, подобная конфигурация встречается лишь у очень немногих банков, поскольку подразумевает усложнение информационной системы и ее администрирования, а также увеличение затрат на оборудование. Кроме этого, регулятор не объясняет, как именно нужно организовывать обязательную «репликацию почтовых сообщений» между серверами.
ЗУД.7 — требования по защите удаленного доступа. Любой трафик в интернет при удаленном доступе должен проходить через защищенный VPN-канал и интернет-фильтр организации, в том числе, например, трафик администратора, который подключается через удаленный доступ к сети ФИ. С точки зрения контроля трафика для сотрудников эта схема вполне оправдана, но для администратора — определенно усложнение. К тому же непонятно, как это проконтролировать, ведь после проведения оценки аудитором, администратор может вернуть удобные для себя настройки.
СМЭ.6 — одно из самых сложных требований, поскольку обязывает ФИ выделить полноценную среду для тестирования прикладного ПО и средств вычислительной техники (СВТ). Тестовая среда в организациях, где отсутствует отдельное подразделение разработки и не внедрен, например, стандарт PCI DSS, — явление, частота которого стремится к нулю. Опять же, возникает вопрос о целесообразности требования.
При желании подобных примеров в ГОСТ Р 57580 можно найти не один десяток.
Заключение
Некоторые ФИ могут возразить, что сложные и странные требования встречаются и в Положении №382-П, оценка соответствия которому пройдена успешно — значит и с ГОСТ Р 57580 проблем быть не должно. Однако по статистике аудитов ITGLOBAL.COM те финансовые организации, которые имели хорошую оценку по 382-П на уровне 0,7, по новому ГОСТу получают около 0,25-0,3. При том, что к 2021 году оценка по ГОСТ Р 57580 должна быть не ниже 0,7, а к 2023-му — не ниже 0,85. Чем грозит несоответствие новому стандарту мы уже упоминали в начале материала.
Специалисты информационной безопасности ITGLOBAL.COM готовы помочь успешно пройти оценку соответствия новому стандарту ЦБ РФ и проконсультировать по всем пунктам ГОСТ Р 57580. Задать интересующие вопросы можно
Подробный обзор стандарта выложен на нашем