Оценка по 683-П и 684-П

Оценка по 683-П и 684-П
Появление Положений Банка России №№ 683-П ( ссылка ) и 684-П ( ссылка ) изначально вызывало вопросы у специалистов по защите информации с точки зрения оценки соответствия им.
Если то же Положение № 382-П ( ссылка ) в своём составе содержит методику оценки, то 683-П и 684-П изначально отсылали кредитные организации и некредитные финансовые организации только к новому ГОСТ Р 57580 ( ссылка ):
- «9. Кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации, установленному в подпункте 3.1 пункта 3 настоящего Положения (далее - оценка соответствия защиты информации), не реже одного раза в два года …» (683-П);
- «6. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать проведение оценки соответствия определенного ими уровня защиты информации требованиям, предусмотренным пунктом 5 настоящего Положения (далее - оценка определенного уровня защиты информации), с соблюдением следующих требований …» (684-П).

Уровни защиты информации вводятся ГОСТ Р 57580.1-2017, а оценка проводится по ГОСТ Р 57580.2-2018 (ранее я уже затрагивал этот вопрос – ссылка ).
Собственно, в данном направлении начали двигаться многие организации, понимая, что оценка по ГОСТ предусматривает не 100% его выполнение, и главное выйти на заветные 0,85, т.е. организация могла расставлять приоритеты в своей работе.

Сейчас же появилась информация о необходимости проведения рядом организаций самооценки по определенному порядку, в рамках которого выделяется три направления оценки (наименования направлений условные, отражающие их сутевую направленность):
- «чистое» направление оценки по ГОСТ Р 57580;
- идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций/совершении действий в целях осуществления финансовых операций;
- сертификации/анализа уязвимостей прикладного ПО.

Но самое интересное то, что итоговая оценка принимается равной наименьшей из оценок по указанным выше направлениям, т.е. можно быть молодцом по ГОСТ, но не сделать ничего по анализу уязвимостей прикладного ПО, и получить итоговый ноль.
И здесь у меня есть опасение, что указанные организации могут поставить себе «средние» оценки, которые не вызывают у Банка России ни негативна в части невыполнения, ни подозрения в части завышения.
Но вопрос к чему это приведёт?
На мой взгляд, получив такие «средние», регулятор может посчитать, что все готовы к реализации указанных требований, и недооценить реальные сложности с практикой применения того же ГОСТ Р 57580 и других положений из 683-П и 684-П.

При этом последнее требование вызывает вопросы у многих специалистов и производителей:
организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых (не)кредитной организацией клиентам для совершения действий в целях осуществления банковских (финансовых) операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст "Об утверждении национального стандарта".

Дело в том, что сертификация по контролю отсутствия недекларированных возможностей уже невозможна ( ссылка ), т.е. организациям остается только выстраивать процесс анализа уязвимостей по ГОСТ Р ИСО/МЭК 15408-3-2013.
Но и здесь возникает разнобой между проектом «Профиля защиты прикладного программного обеспечения ...» и положениями ГОСТ Р ИСО/МЭК 15408-3-2013:
- проект профиля предусматривает: Усиленный методический анализ уязвимостей; Анализ скрытых каналов; Тестирование на проникновение;
- ГОСТ Р ИСО/МЭК 15408-3 предусматривает: Поиск информации об уязвимостях в общедоступных источниках; Независимый анализ уязвимостей с использованием документации и образцов ПО; Тестирование на проникновение.

В связи с этим будем ждать информации от Банка России и надеяться на объективную оценку складывающейся обстановки.

Успехов в реализации Положений №№ 683-П и 684-П!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только