Достаточно часто слышу от коллег, такую информацию, что ГОСТ Р 57580.1-2017 по безопасности финансовых (банковских) операций сильно сложнее для выполнения, чем СТО БР ИББС-1.0-2014 и старое 382-П. Высказываются тезисы что в ГОСТ появилось большое количество новых требований, которых не было ранее, что соответственно приводит к получению низких оценок.
Это так, с другой стороны, при работе по ГОСТ 57580.1 у меня создалось впечатление что это более гибкий документ и имеет особенности, которые, наоборот, позволяют получить высокие оценки соответствия. На них и хотелось бы остановится в данной статье.
Во-первых, у Финансовой организации имеется возможность выбора мер защиты по аналогии с защитой ПДн и КИИ – базовый состав мер, это только отправная точка, далее меры можно адаптировать/исключать с учетом модели угроз, нарушителей и структурно-функциональных характеристик объектов. Также меры защиты могут быть заменены на компенсирующие, в случае технической невозможности их реализации или экономической целесообразности.
Например, если у вас есть историческая АС, в которую уже никогда не будут вносится изменения (новые функции безопасности), вы можете применить компенсирующие меры и получить высокую оценку соответствия. Аналогично если вам всё-таки необходима тестовая зона с реальными данными. Аналогично действуем с покупным ПО, которое не имеет возможности двухфакторной аутентификации для администраторов. В СТО БР ИББС или 382-П такой возможности выбора не было – приходилось выполнять все дословно либо получать низкие оценки соответствия.
Рекомендую всем ФО начинать с разработки Положения о применимости ГОСТ Р 57580.1-2017 (может называться и по-другому), в котором для каждого контура безопасности будет определен итоговый состав мер защиты (в том числе уточненные, исключённые и дополненные). Имеет смысл отметить меры, которые именно на ваших объекта не могут быть реализованы либо экономически нецелесообразны (вы точно знаете, что бюджет на них не будет выделен и можно те же угрозы нейтрализовать более эффективно) и в этом же документе привести обоснование применения компенсирующих мер.
Указанный выше анализ не получится провести без действующей Модели угроз и сопоставления между актуальными угрозами и мерами защиты (нужно при уточнении мер и обосновании компенсирующих мер).
Пожалуй, эти две качественно выполненные работы позволят в итоге получить высокие оценки соответствия ГОСТ Р 57580.
Во-вторых, в СТО БР ИББС и 382-П большая часть показателей оценивалась по наличию документов + степени выполнения (показатель категории 1). При оценке такого показателя, если в организации мера не была установлена в документах, то мы сразу получали 0. То есть, плохо документированные меры ИБ сразу приводили к очень низким оценкам соответствия.
В ГОСТ Р 57580 примерно половина мер защиты должна быть реализована путем применения только технических мер – меры типа “Т” (организационная часть при этом не оцениваются). Также ГОСТ позволяет заменить любую организационную “О” на техническую “Т” меру.
Таким образом можно сказать, что ГОСТ Р 57580.1 – это стандарт для Техногиков. Если у вас крутая эффективная система защиты, все максимально автоматизировано, но при этом у вас слабая бумажная составляющая – вы все равно можете получить высочайшие оценки соответствия.
Во-третьих, в СТО БР ИББС и 382-П были корректирующие коэффициенты, которые сильно роняли общую оценку (на 15% и 30%) если какие-то меры были полностью не выполнены. В ГОСТ таких коэффициентов нет, поэтому полное невыполнение нескольких мер, оказывает слабое влияние на итоговую оценку. Вместо этого штрафы начисляются за нарушения защиты, выявленные в рамках аудита, но об этом в следующий раз.
Все это позволяет сделать вывод, что требования ГОСТ достаточно лояльны, гибки и ФО могут в первую очередь реализовывать те меры, которые считают наиболее эффективными и при этом получать высокие оценки соответствия.
PS: Если эта тема интересна, дайте знать – можем отдельно обсудить новые требования.
PPS: В компании УЦСБ мы подготовили актуальный набор услуг, которые помогут с выполнением требований 683-П, 684-П и ГОСТ ГОСТ Р 57580.1. Обращайтесь если вам это интересно.
