ГОСТ Р 57580.1-2017 (ч.1)

ГОСТ Р 57580.1-2017 (ч.1)
По итогам X Уральского форума начинаю цикл заметок, посвященных ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
edd652178d537bfd1e78cf8114a0fbf2.png
В первой, вводной заметке хотелось бы рассмотреть статус и область действия данного документа, т.к. до сих пор многим не совсем понятно нужно ли его исполнять и кому?
Для этого обратимся к Федеральному закону от 29.06.2015 N 162-ФЗ «О стандартизации в Российской Федерации».
В п.1, ст.4 данного закона указано, что Стандартизация в Российской Федерации основывается на принципе «добровольности применения документов по стандартизации», при этом есть следующий пункт, что «обязательность применения документов по стандартизации в отношении объектов стандартизации, предусмотренных ст. 6 данного Федерального закона».

Рассмотрим ст.6, название у статьи длинное, придётся разбить его на части:
 
Статья 6. Стандартизация в отношении
оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу,
продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа,
продукции, сведения о которой составляют государственную тайну,
продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии,
а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией


В данном случае нас интересует «Стандартизация в отношении продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации, а также процессов, связанных с такой продукцией».

Принимая во внимание, что в п.3.35 ГОСТ Р 57580.1-2017 вводятся понятия «информация конфиденциального характера: Информация, для которой в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России, и (или) внутренними документами финансовой организации обеспечивается сохранение свойства конфиденциальности», «утечка информации: Неконтролируемое финансовой организацией распространение информации конфиденциального характера», а также отдельный процесс «Предотвращение утечек информации», возможно это нас случай?

Давайте разбираться ...
 
В ч.1, ст.6 данного закона идёт ссылка на советующий Порядок стандартизации, в рамках которого ПП РФ от 30.12.2016 N 1567 утверждено «Положение о стандартизации в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией», где сказано, что:
 
Национальные стандарты ограниченного распространения, а также документы национальной системы стандартизации применяются в обязательном порядке в отношении объектов стандартизации.

Вот возникла обязательность, но здесь нужно разобраться с понятием объект стандартизации, которое вводится:
 
"объект стандартизации" - продукция, процессы, связанные с такой продукцией, терминология, условные обозначения, исследования (испытания) и измерения, методы испытаний, маркировка, процедуры оценки соответствия продукции
 
ГОСТ Р 57580.1-2017 ориентирован на «Защиту информации финансовых организаций», т.е. речь не о продукции, а возможно о процессах, связанных с такой продукцией (в данном случае со средствами защиты информации и средствами криптографической защиты информации), т.к. защита информации – это деятельность (ссылка на ГОСТ Р 50922 «Защита информации. Основные термины и определения» есть в ГОСТ Р 57580.1-2017).

Смотрим дальше:
 
"процессы" - проектирование (исследования и обоснование разработки, изыскания), производство, строительство, монтаж, наладка, эксплуатация, техническое обслуживание, ремонт и сервисное обслуживание, хранение, перевозка, реализация, утилизация, а также иные виды деятельности на стадиях жизненного цикла продукции применительно к объектам стандартизации.

Здесь видно, что всё «крутится» вокруг продукции, что, на мой взгляд, в чистом виде не применимо к ГОСТ Р 57580.1-2017.

Здесь же стоит отметить, что в ГОСТ Р 1.0-2012 «Стандартизация в Российской Федерации. Основные положения» в части принципов указано:

добровольности применения заинтересованным лицом документов в области стандартизации и обязательности соблюдения указанным лицом требований, содержащихся в этих документах, в случае объявления об их использовании, а также в случае определения обязательности исполнения требований стандартов в рамках контрактных (договорных) обязательств
 
В связи с этим в ГОСТ Р 57580.1-2017 указано, что:

Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах.
 
При этом ссылки на данный ГОСТ «прямо сейчас» могут появится только в отношении информации при осуществлении переводов денежных средств (согласно ч.3, ст.27 Федерального закона от 27.06.2011 N 161-ФЗ «О национальной платежной системе», плюс, это уже запланировано в 382-П на 2019 год), в области же всей информации финансовых организаций только после внесения изменений в Федеральный закон «О Центральном банке Российской Федерации (Банке России)» от 10.07.2002 N 86-ФЗ, которые сейчас находятся в работе.

Таким образом, ГОСТ Р 57580.1-2017 является действующим, но нет указаний к его применению.

Теперь рассмотрим на кого ГОСТ Р 57580.1-2017 распространяется:
- кредитные организации:
1) банк;
2) небанковская кредитная организация, имеющая право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций;
3) некредитные финансовые организации - кредитная организация, имеющая право осуществлять отдельные банковские операции;
4) некредитные финансовые организации - центральный контрагент, осуществляющая функции в соответствии с Федеральным законом 0
7.02.2011 N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте";
- некредитные финансовые организации:
1) профессиональные участники рынка ценных бумаг;
2) управляющие компании инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
3) специализированные депозитарии инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
4) акционерные инвестиционные фонды;
5) клиринги;
6) центральный контрагент;
7) организатор торговли;
8) центральный депозитарий;
9) субъекты страхового дела;
10) негосударственные пенсионные фонды;
11) микрофинансовые организации;
12) кредитные потребительские кооперативы;
13) жилищных накопительных кооперативов;
14) бюро кредитных историй;
15) организации, ведущие актуарную деятельность;
16) кредитные рейтинговые агентства;
17) сельскохозяйственные кредитные потребительские кооперативы;
18) ломбарды;

- субъекты национальной платежной системы:
 1) операторы по переводу денежных средств (включая операторов электронных денежных средств);
2) банковские платежные агенты (субагенты);
3) платежные агенты;
4) организации федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации;
5) операторы платежных систем;
6) операторы услуг платежной инфраструктуры.

 
Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только