Банк России разъясняет. ГОСТ 57580.1

Банк России разъясняет. ГОСТ 57580.1
Ответы Банка России на вопросы по ГОСТ 57580.1, поступившие от отрасли.

1. Можно ли рассматривать в качестве средства защиты от вредоносного кода межсетевые экраны нового поколения (NGFW), системы обнаружения вторжений или иные схожие средства защиты информации, в которых есть функционал для борьбы с вредоносным кодом, например, для блокирования возможностей взаимодействия с командными серверами, загрузки обновлений, утечки информации и т.п.? 

Ответ: Для подтверждения статуса средства защиты информации от вредоносного кода необходима сертификация уполномоченным органом государственной власти (ФСТЭК).

Примечание от меня: неожиданно. ФСТЭК только антивирусы сертифицирует и то, только те, которые поданы на сертификацию, то есть обычно коммерческие решения.

2. Какие варианты реализации меры СМЭ.14 могут быть, если все представленные сегодня на рынке средства межсетевого экранирования, работают на третьем уровне и выше, а СМЭ.14 требует контроля на уровне не выше второго, канального? Или речь идет о разграничении доступа и контроле трафика на интерфейсах периметрового маршрутизатора? 

Ответ: Примером реализации меры СМЭ.14 может служить организация выделенных VLAN на уровне L2.

3. Возможно, в содержании меры СМЭ.15 вместо фразы «не выше» должно было быть написано «не ниже»? Можно назвать примеры типов средств, которые могут реализовать данную меру? 

Ответ: Межсетевой экран можно считать средством, достаточным для реализации данной меры, при совокупности реализации других комплексных мер.

4. Можно ли в качестве средства реализации меры СМЭ.16 использовать коммутаторы и маршрутизаторы, которые могут фильтровать трафик не только на сетевом уровне?

Ответ: Можно. Все зависит от конкретных средств и задач, и данный вид реализации можно считать частным.

5. По тексту стандарта часто используется термин «межсетевое экранирование». Надо ли его трактовать буквально и для его реализации применять только специализированные межсетевые экраны или возможно применение любых технических средств, которые могут обеспечить разграничение доступа на сетевом уровне? 

Ответ: В ГОСТе не указан тип техники, который обязателен к использованию. Если коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Возможности применения средства защиты информации подтверждаются сертификацией уполномоченным органом государственной власти (ФСТЭК).

Примечание от меня: опять смена позиции регулятора. При принятии ГОСТа со стороны ЦБ (а также в сентябре ) прямо звучало, что сертификация не является обязательной и ее можно заменить компенсирующими мерами (не говоря уже о том, что ГОСТ 57580.1 - это каталог защитных мер, из которых я беру то, что считаю нужным для защищаемой системы в соответствие с принятой системой управления рисками).

6. Можно ли в качестве средства реализации меры СМЭ.2 использовать коммутаторы и маршрутизаторы, которые могут фильтровать трафик на сетевом уровне? Или обязательно использовать только отдельно стоящие межсетевые экраны, что во внутренней коммутируемой сети может быть затруднительно? 

Ответ: В ГОСТе не указан тип техники, который обязателен к использованию. Если коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Возможности применения средства защиты информации подтверждаются сертификацией уполномоченным органом государственной власти (ФСТЭК).

7. Согласно п.6.4 с учетом экономической целесообразности можно отказаться от каких-либо защитных мер, заменив их компенсирующими мерами. Возможно ли использование решение open source в качестве компенсирующей меры для замены дорогостоящих средств защиты их аналогами?

Ответ: Данное требование подразумевает наличие обоснования для тех или иных решений по реализации компенсирующих мер защиты, что относится к операционной деятельности организации.

8. Оценка соответствия по ГОСТ 57580.1 для участка АБС, который является также и участком ЕБС, должна проводиться один раз в два года, как написано в 683-П, или один раз в год, как написано в 321-м приказе Минкомсвязи?

Ответ: Проведение оценки соответствия по ГОСТ 57580.1 должно осуществляться ежегодно для сегмента, на котором осуществляется обработка биометрических персональных данных в соответствии с 321 приказом Минкомсвязи. Проведение оценки соответствия не реже одного раза в два года осуществляется по требованиям Положений 683-П и 672-П применительно к соответствующим объектам информационной инфраструктуры (не пересекающихся с участком ЕБС).

Завтра будут ответы по 684-П.
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!