ГОСТ Р 57580 — почему к нему стоит готовиться уже сейчас

ГОСТ Р 57580 — почему к нему стоит готовиться уже сейчас?
С 2021 года все финансовые организации будут жить по новому стандарту информационной безопасности — ГОСТ Р 57580. Официальное название стандарта: «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций».

Документ объемный, содержит более 400 требований, в том числе принципиально новых, сложных и даже, на первый взгляд, странных. Несоблюдение грозит штрафами до 0,1% от уставного капитала, приостановкой деятельности, заменой руководства организаций и т. д. Под действие нового ГОСТа попадают банки, платежные системы, операционные и клиринговые центры, а также некредитные финансовые организации — страховщики, пенсионные фонды, рейтинговые агентства, микрофинансовые компании.

По наблюдениям ITGLOBAL.COM, основная проблема с ГОСТ Р 57580 — не столько в сложности его исполнения, сколько в неготовности к переходу на него большинства финансовых организаций (ФИ). Учитывая, что внедрение процессов по новому стандарту требует от нескольких месяцев до года и более, ФИ пора всерьез об этом задуматься.

Краткий обзор ГОСТ Р 57580
Новый ГОСТ состоит из двух частей: ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 . Первая содержит базовый набор организационных и технических мер по обеспечению ИБ, вторая определяет методику оценки соответствия стандарту.

В ГОСТ Р 57580.1-2017 указаны три уровня защиты информации: минимальный (3-й), стандартный (2-й), усиленный (1-й). Большинству ФИ следует обеспечивать стандартный уровень защиты. Системно-значимым банкам и операционным (клиринговым) центрам требуется усиленный.

Начинать внедрение следует с составления модели угроз, которая должна быть адекватной и всеохватывающей. При этом следует опираться на банк данных угроз ФСТЭК . После того, как ФИ обеспечила необходимый уровень защищенности, требуется провести оценку соответствия с привлечением стороннего аудитора , лицензированного ФСТЭК. Регламент проведения оценки — включая градацию выставляемых оценок, формулы для подсчета итоговых оценок, форму и порядок предоставления отчетности в Банк России — приведены в ГОСТ Р 57580.2-2018.

Организационно оценка соответствия новому стандарту мало отличается от соответствующего мероприятия, предписанного Положением №382-П. Главное отличие — при оценке большинства применяемых мер организации ставится либо 0 (несоответствие), либо 1 (соответствие) по каждой из них. Т. е. частично внедрить ту или иную меру ГОСТ Р 57580 не получится.

Также, в отличие от 382-П, отсутствуют корректирующие коэффициенты, которые снижали общую оценку при увеличении количества нулей, — они заменены на штрафы, приведенные в Приложении В стандарта. К самым распространенным нарушениям, за которые штрафуют, относятся: общие административные учетные записи, предоставление лишних прав доступа, отсутствие разграничений логического доступа и др.

Из всех этапов внедрения ГОСТ Р 57580 главную сложность представляет, собственно, его применение, т. е. реализация требований. На рисунке ниже показан примерный тайминг всех этапов.

Сложности и странности
Не все меры, описанные в ГОСТе, понятны с первого прочтения. Или понятны, но явно сложны для реализации. Приведем некоторые из них.

УЗП.21 — запрещает администраторам совмещать функции управления учетными записями и управления правами субъектов логического доступа. Т. е. у одного администратора нет возможности создать учетную запись и тут же от своего имени сделать ее административной — для этого нужен второй администратор. Теоретически это полезная мера, но в реальности она значительно усложняет внутренние рабочие процессы.

РД.26 — обязывает хранить копии аутентификационных данных администраторов («эксплуатационного персонала») на выделенных цифровых или на бумажных носителях. Т. е. теперь каждый администратор сохраняет свой пароль в электронном виде (например, в файле на флеш-накопителе) или записывает на бумажку, которые прячет в сейф. Поскольку любая дополнительная копия данных повышает риск их утечки, сложно назвать эту меру конструктивной.

СМЭ.20 — длинное требование, касающееся «почтового обмена с сетью Интернет», которое обязывает организацию использовать не один, как обычно, а два почтовых сервера — внешний и внутренний. По опыту ITGLOBAL.COM, подобная конфигурация встречается лишь у очень немногих банков, поскольку подразумевает усложнение информационной системы и ее администрирования, а также увеличение затрат на оборудование. Кроме этого, регулятор не объясняет, как именно нужно организовывать обязательную «репликацию почтовых сообщений» между серверами.

ЗУД.7 — требования по защите удаленного доступа. Любой трафик в интернет при удаленном доступе  должен проходить через защищенный VPN-канал и интернет-фильтр организации, в том числе, например, трафик администратора, который подключается через удаленный доступ к сети ФИ. С точки зрения контроля трафика для сотрудников эта схема вполне оправдана, но для администратора — определенно усложнение. К тому же непонятно, как это проконтролировать, ведь после проведения оценки аудитором, администратор может вернуть удобные для себя настройки.

СМЭ.6 — одно из самых сложных требований, поскольку обязывает ФИ выделить полноценную среду для тестирования прикладного ПО и средств вычислительной техники (СВТ). Тестовая среда в организациях, где отсутствует отдельное подразделение разработки и не внедрен, например, стандарт PCI DSS, — явление, частота которого стремится к нулю. Опять же, возникает вопрос о целесообразности требования.

При желании подобных примеров в ГОСТ Р 57580 можно найти не один десяток.

Заключение
Некоторые ФИ могут возразить, что сложные и странные требования встречаются и в Положении №382-П, оценка соответствия которому пройдена успешно — значит и с ГОСТ Р 57580 проблем быть не должно. Однако по статистике аудитов ITGLOBAL.COM те финансовые организации, которые имели хорошую оценку по 382-П на уровне 0,7, по новому ГОСТу получают около 0,25-0,3. При том, что к 2021 году оценка по ГОСТ Р 57580 должна быть не ниже 0,7, а к 2023-му — не ниже 0,85. Чем грозит несоответствие новому стандарту мы уже упоминали в начале материала.

Специалисты информационной безопасности ITGLOBAL.COM готовы помочь успешно пройти оценку соответствия новому стандарту ЦБ РФ и проконсультировать по всем пунктам ГОСТ Р 57580. Задать интересующие вопросы можно здесь .

Подробный обзор стандарта выложен на нашем YouTube-канале .
безопасность ГОСТ 57580 требования регуляторов
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ITGLOBAL

ITGLOBAL про IT