ГОСТ Р 57580.1-2017 (ч.4)

ГОСТ Р 57580.1-2017 (ч.4)
В предыдущей заметке ( ссылка ) я затронул тему, как наборы требований из ГОСТ Р 57580.1-2017 коррелируют (перекрывается) существующими наборами требований из Положения № 382-П и СТО БР ИББС-1.0-2014.
В этот раз хочется продолжить вопрос корреляции, но уже с точки зрения процедуры оценки соответствия.

С учетом нововведений и повышенного интереса к Положению № 382-П я буду сравнивать именно его Приложение № 1 «Порядок проведения оценки соответствия и документирования ее результатов» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

В Положении № 382-П вводятся 3 категории проверки требований, оцениваемых по следующему принципу:
- для 1-ой категории: 0 – 0,25 – 0,5 – 0,75 – 1;
- для 2-ой категории: 0 – 1;
- для 3-ей категории: 0 – 0,5 – 1,
безусловно, может быть вариант «н/о», если требования не применимы (нет банкоматов, нет платежных терминалов и т.п.).

В самом начале для каждого требования выставляется значение с учетом категории его проверки.
После этого вычисляются 2 среднеарифметических значения, умноженных на советующий корректирующий коэффициент, и среди полученных EV1пс и EV2пс выбирается наименьший показатель, который и выступает итоговым значением – Rпс.
Уже значение Rпс можно увязать с качественной шкалой:
002145703d24b9d8ea51ec49b84cc403.png

По большому счету, можно сказать, что нужно сделать условно бинарную операцию по заполнению одной таблицы в Приложении № 2, две операции вычисления среднего арифметического с весовым коэффициентом, одну операцию – выбор минимального значения.
С учетом «прозрачности» оценки организации нужно стараться повышать себя в каждой оценке выполнения требований и избегать прецедентов «полного невыполнения» (чтобы не «налететь» на понижающий коэффициент).

Теперь посмотрим, что предлагает ГОСТ Р 57580.2-2018.

1. Первым делом нужна оценка, характеризующая выбор мер.
   Для каждой меры выставляется значение Eмзиj: 0 – мера не выбрана, 1 – мера выбрана.
   После этого вычисляется среднеарифметическое значение для каждого из 8 процессов Eпзиj, в т.ч. с учетом наличия подпроцессов в них.
   Здесь интересно то, что требования из раздела 7 ГОСТ Р 57580.1-2017, а это 34 из 61 страницы всего стандарта, оцениваются только так, выбрано или нет!

2. Теперь начинается путь оценки по направлениям «планирование – реализация – контроль – совершенствование», а именно оценки характеризующей полноту реализации мер.
   Для каждой меры из направления (это НЕ те же самые меры, что были выше!) под каждый из 8-и процессов выставляется значение Eмоу: 0 – полностью не реализуется, 0.5 – реализуется не в полном объеме, 1 – реализуется в полном объеме.
   После этого вычисляется среднеарифметическое значение для каждого из 4 направлений по каждому из 8 процессов Eпi, Epi, Eкi и Eсi.
   Что именно здесь интересного, я напишу чуть ниже, но возможно кто-то уже начинает чувствовать …

3. Теперь отдельно оценивается применение мер на этапах жизненного цикла АС и приложений.
   Для каждой меры выставляется значение Емас: 0 – полностью не реализуется, 0.5 – реализуется не в полном объеме, 1 – реализуется в полном объеме.
   После этого вычисляется среднеарифметическое значение Eас.

4. Закончив с «телом» ГОСТ Р 57580.1-2017, вычисляется числовое значение оценки соответствия каждого процесса:
e47bde11cc606f69237585af7a62a02b.png
   Здесь же стоит отметить, что если в организации несколько контуров (зон оценки) с разными уровнями ЗИ, то этот расчет проводится для каждого из контуров, а затем по доп. формулам (4 шт.) вычисляется итоговое значение Ei.
   И уже значение Ei можно увязать с качественной шкалой:
8df5fe9f61b89237ac21350736630d5f.png
   Но вот вам и перовое отличие от Положения № 382-П, здесь процесс не закачивается!
   Это не ваша итоговая оценка.

5. Итоговую оценку соответствия R вычисляют по формуле:
df64748a0e0aa9cfb5e650f111a1dce9.png ,
где:
    T – количество процессов, вошедших в область оценки;
    Z – количество нарушений из 19, приведенных в ГОСТ Р 57580.2-2018:
54123857db90e28c74f2d94e81bea9f9.png
   

   И только здесь делается вывод о соответствии:
cf115acd703b0ac3b333e906532524bf.png

Однозначно можно сказать, что оценка по Положению № 382-П значительно проще и прозрачнее по сравнению с ГОСТ Р 57580.2-2018.
В ГОСТ Р 57580.2-2018 в финале остается только вариант соответствия или нет, без диапазонов.

Самое главное, что оба подхода не требуют 100% или 99.99%-ного соответствия.
И пару слов про интересные моменты:
1. Предположим у организации все меры выбраны по процессам, все проделано по направлениям и на этапах жизненного цикла.
Таким образом, уменьшаемое в формуле R равно 1, но стоит проверяющей группе выявить 15 нарушений, и получается 0,85, т.е. несоответствие.
2. В отличии от Положения № 382-П за счет участия в итоговом расчете R нескольких величин можно «дотягивать» оценку (в случае несоответствия) за разные «ниточки», а не только за ниточку реализации.
 
Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только