ГОСТ 57580 – лучшие практики ИБ для финансовых организаций?!

ГОСТ 57580 – лучшие практики ИБ для финансовых организаций?!

На прошлой неделе совместно с коллегами провели очередной вебинар из серии «Безопасность финансовых организаций», в этот раз с обзором ГОСТ Р 57580.1-2017.

В УЦСБ много спецов которые могут рассказавать интересную и полезную информацию по разным темам ИБ. В этой серии каждому эксперту предоставлялась возможность выступить только по одной теме – соответственно мне досталась хорошая возможность рассказать и пообщаться с вами про ГОСТ 57580.   

В одной изпредыдущих статей я писал о том, что важно выбрать фреймворк для информационной безопасности организации и далее использовать его в планировании, реализации остальных активностей.

Для финансовых организаций РФ именно ГОСТ 57580 имеет возможность стать основой для создания эффективной системы защиты информации. Для того чтобы отнести стандарт к приоритетной из лучших практик есть следующие основания:

·        Каталог из 408 мер защиты

Это в разы больше, чем количество мер в иных каталогах (ISO 27001, NISTCSF, приказы ФСТЭК 17/21/239). Больше не всегда лучше, но в условиях отсутствия отдельных методических документов отраслевых или регуляторов, “больше” дает более детальные и конкретные меры, что полезно.   

·        Единая терминология

При планировании, реализации, оценке мер защиты, важно чтобы все участники работ однозначно понимали требования и формулировке мер. В ГОСТ 57580 большой раздел выделен под термины и определения, что очень помогает в применении стандарта.  

·        Обвязка, которая поможет определить объекты защиты, определить требуемый уровень защиты, выбрать меры защиты и способыих реализации

·        Методика оценки

Поможет оценить выбор и реализацию мер защиты в организации, итоговый уровень соответствия.

Используется в поэтапном улучшении системы защиты

·        Рекомендации по реализации отдельных мер

ГОСТ дополняют (есть ссылки) отдельные РС БР ИББС:

o   PCБР ИББС-2.0-2007

o   PCБР ИББС-2.2-2009

o   PCБР ИББС-2.6-2014

o   PCБР ИББС-2.5-2014

o   PCБР ИББС-2.7-2015

o   PCБР ИББС-2.8-2015

o   PC БР ИББС-2.9-2016

·        Разрабатывался при участии ФО, учитывает национальные особенности ИБ

В технический подкомитет входит более 100 компаний, большая часть из которых ФО

Не противоречит приказам ФСТЭК и ФСБ

Не удивлюсь если увижу, что ГОСТ 57580 применяется даже не финансовыми организациями, также как раньше применялся СТО БР ИББС.

Выбор этого стандарта не решит единолично всех ваших проблем и задач. Вам все также нужно будет общаться с руководством, договариваться с ИТ, оценивать риски и угрозы, оценивать затраты на ИБ, планировать, внедрять эффективные средства защиты. Но на каждом из шагов ГОСТ возможно будет вам помогать.

Ранее я уже писал про первые шаги по применению ГОСТ 57580 .  На недавнем вебинаре мы разобрали эти вопросы более подробно, добавив также информацию по средствам защиты информации и встроенным возможностям, а также регламентам и положениям, которые могут использоваться для реализации мер защиты информации.      

Видео и презентация вебинара  доступны по ссылке .


PS: Также дополнил раздел FAQ  вопросами и ответами с двух последних вебинаров про анализ защищенности по ОУД 4 и про ГОСТ 57580.  Интересно ваше мнение – востребован ли такой формат?


Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.