ГОСТ Р 57580.1-2017 (ч.2)

ГОСТ Р 57580.1-2017 (ч.2)
Продолжая цикл заметок, посвященных ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», рассмотрев статус и область действия данного документа ( ссылка ), хочется перейти к тематике, на которой всегда «ломается много копий», а именно к терминологии.
Судя из названия стандарта все изложение в нем будет через призму термина «защита информации», что на мой взгляд, наиболее корректно, т.к. речь идет именно о деятельности, направленной на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (согласно ГОСТ Р 50922-2006).

Стоит отметить, что сославшись на 4 стандарта с терминами и определения:
- ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения»
- ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
- ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»
- ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем»,
вводятся ещё 46 (сорок шесть) определений.

Я не планирую рассматривать их всех, остановлюсь только на некоторых моментах.

Во-первых, говоря об АС, в т.ч. ссылая с на ГОСТ 34.003-90, нужно понимать, что речь для нас, специалистов по защите информации, идет уже не только о комплексе техн. средств, а также отдельно выделенной сущности «информации», но и о персонале, об этом же (personnel) говорится и в ISO/IEC TR 19791:2010, об этом документе я еще напишу ниже, т.е. нужно расширять угол обзора, причем значительно.
 
Во-вторых, ключевой термин – это меры защиты информации:
организационные (в том числе управленческие) и технические меры, применяемые для защиты информации и обеспечения доступности АС,
которое адаптировано из ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем».
 
Здесь интересно следующее:
1. Данный ГОСТ Р ИСО/МЭК ТО является официальным переводом ISO/IEC/TR 19791:2006 «Information technology - Security techniques - Security assessment of operational systems», который был заменен еще в 2010 году на ISO/IEC TR 19791:2010 :(.
2. В данном ГОСТ Р ИСО/МЭК ТО вводится понятие меры обеспечения безопасности (security controls):
управленческие, организационные и технические меры обеспечения безопасности, применяемые в информационной системе для защиты и доступности системы и ее информации.
Плюс, отмечается, что меры безопасности - меры защиты и контрмеры
3. Оригинал звучит следующим образом Security controls:
management, operational, and technical controls (i.e., safeguards or countermeasures) prescribed for an information system to protect the confidentiality, integrity, and availability of the system and its information
[SOURCE: NIST SP 800-53],

и отсылает на к NIST-ам.
4. А если говорить о контролях, то я все-таки предпочитаю «классическое» ISO-шное определение Control:
measure that is modifying risk
[SOURCE: ISO Guide 73:2009]
Controls include any process, policy, device, practice, or other actions which modify risk.


В данном случае наглядно видно, как трансформируется определение термина, который кажется всем понятным и одинаково воспринимаемым.
Видно, что управленческие меры «спрятали» в организационные, в связи с этим появился 8-ой раздел ГОСТ Р 57580.1-2017 «Требования к организации и управлению защитой информации», который ориентирован на цикл PDCA.
В данном случае, большинство специалистов по защите информации не почувствует никакой разницы, что скорее хорошо.

Но есть пара терминов, которые вызвали у меня некоторые вопросы:
Событие защиты информации:
Идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный (потенциальный) инцидент защиты информации.

Инцидент защиты информации:
Одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов, технологических процессов финансовой организации и (или) нарушить безопасность информации.

Их основой являются «событие информационной безопасности» (information security event) и «инцидент информационной безопасности» (information security incident).

И в данном случае, на мой взгляд, первоисточник выглядит более корректным, т.к. они в первую очередь отражают состояние объекта (системы, процесса организации и т.п.), а не деятельности специалиста по защите информации (хотя последние могут входить в это множество).

К чему я это все?
Дело в том, что реализуя положения данного стандарта нужны быть готовым пересмотреть свой взгляд на ряд общеизвестных понятий.
Возможно даже целесообразно делать локальный глоссарий, который увязывает ваши термины и ГОСТ-овые, например:
e15ed8d9a6274ea0c55d1145d74442f9.png

Ведь в рамках оценки соответствия проверяющая группа будет оперировать именно ГОСТ-овой терминологией.
 
Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только