8 августа 2017 года Приказом Федерального агентства по техническому регулированию и метрологии № 822-ст утвержден национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер”.
Андрей Алябьев любезно поделился с автором блога своими краткими выкладками относительно нового ГОСТа от Банка России.
ГОСТ Р 57580.1-2017 распространяется на банки, некредитные финансовые организации, других субъектов НПС. Вступает в силу с 1 января 2018 года.
Что принципиально нового?
Уровни защиты информации
• уровень 3 – минимальный (соответствует 4-ому УЗПДн);
• уровень 2 – стандартный (соответствует 2-ому и 3-ему УЗПДн);
• уровень 1 – усиленный (соответствует 1-ому УЗПДн).
Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации). Пример: платежные и информационные технологические процессы могут составлять разные контуры безопасности.
Формируется один или несколько контуров безопасности
Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:
• вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности;
• объема финансовых операций;
• размера организации;
• значимости для финансового рынка и НПС.
Что принципиально нового
Для каждого из трех уровней защиты требование выполняется указанным способом:
• “Н” – реализация является необязательной;
• “О” – реализация путем применения организационной меры;
• “Т” – реализация путем применения технической меры.
Состав мер защиты может адаптироваться.
Сравнение с СТО БР ИББС-1.0-2014
Структура стандарта
- Разделы 1-5. Область применения, нормативные ссылки, термины и определения, обозначения и сокращения;
- Раздел 6. Общие положения (методология применения требований и определение уровней защиты);
- Раздел 7. Требования к системе защиты информации (СИБ);
• Управление доступом (IDM);
• Защита сетей (IDS/IPS, NGFW);
• Контроль целостности и защищенности инфраструктуры (Vulnerability Scanner);
• Защита от вредоносного кода (AV);
• Предотвращение утечек (DLP);
• Управление инцидентами (SIEM);
• Защита среды виртуализации (СЗИ для виртуальных сред);
• Защита информации при использовании мобильных устройств (MDM).
- Раздел8. Требования к системе управления защитой информации (СОИБ/СМИБ);
• Планирование процесса системы защиты;
• Реализация;
• Контроль;
• Совершенствование.
- Раздел 9. Требованияк ЗИ на этапах ЖЦ АС и приложений;
• Приложение А. Базовая модель угроз и нарушителя;
• Приложение Б. Орг.меры,связанные с обработкой ПДн;
• Приложение В. Перечень событий ЗИ, потенциально связанных с инцидентами.
Интересное из требований (ГОСТ Р 57580.1-2017)
Мера защиты | Содержание мер системы защиты | УЗ3 | УЗ 2 | УЗ 1 |
УЗП.6 | Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа) | О | О | О |
РД.12 | Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ | Н | Т | Т |
ФД.6 | Назначение для всех помещений распорядителя физического доступа | О | О | О |
ВСА.9 | Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному | Н | Т | Т |
ЗБС.1 | Аутентификация устройств доступа точками доступа по протоколу Wi-Fi | Т | Т | Т |
ЦЗИ.16 | Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций | О | О | О |
ЗВК.13 | Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов | Т | Н | Н |
ЗВК.14 | Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика | Н | Т | Т |
ПУИ.3 | Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера | Н | Т | Т |
РИ.9 | Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь | Н | О | О |
ЗСВ.27 | Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами | О | О | О |
ЗУД.3 | Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM | Н | Т | Т |
ЗУД.11 | Обеспечение защиты мобильных устройств от воздействий ВК | Т | Т | Т |
Краткие выводы
• Новые требования станут обязательными, когда на них будут включены ссылки в НПА. Тогда же появится определенность, по выполнению требований для каждого уровня защиты .
• Документ по методике проведения оценки соответствия ГОСТу находится в разработке.
• СТО БР ИББС-1.0-2014, скорее всего, не будет отменяться, т.к. не был обязательным. Банк может вывести его из действия приказом (в случае, если стандарт был введён банком).
• Остались вопросы по применению сертифицированных средств защиты (и прикладного ПО)…
Алябьев Андрей ( https://facebook.com/andrey.alyabiev )