19 ноября 2017 г.

Краткий обзор нового ГОСТ Р 57580.1-2017 Защита информации финансовых организаций

8 августа 2017 года Приказом Федерального агентства по техническому регулированию и метрологии № 822-ст утвержден национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер.
Андрей Алябьев любезно поделился с автором блога своими краткими выкладками относительно нового ГОСТа от Банка России.
ГОСТ Р 57580.1-2017 распространяется на банки, некредитные финансовые организации, других субъектов НПС. Вступает в силу с 1 января 2018 года.
Что принципиально нового?
Уровни защиты информации
• уровень 3 – минимальный (соответствует 4-ому УЗПДн);
• уровень 2 – стандартный (соответствует 2-ому и 3-ему УЗПДн);
• уровень 1 – усиленный (соответствует 1-ому УЗПДн).
Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации). Пример: платежные и информационные технологические процессы могут составлять разные контуры безопасности.
Формируется один или несколько контуров безопасности
Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:
• вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности;
• объема финансовых операций;
• размера организации;
• значимости для финансового рынка и НПС.
Что принципиально нового

Для каждого из трех уровней защиты требование выполняется указанным способом:
• “Н” – реализация является необязательной;
• “О” – реализация путем применения организационной меры;
• “Т” – реализация путем применения технической меры.
Состав мер защиты может адаптироваться.

Сравнение с СТО БР ИББС-1.0-2014

 Структура ГОСТа
- Разделы 1-5. Область применения, нормативные ссылки, термины и определения, обозначения и сокращения;
- Раздел 6. Общие положения (методология применения требований и определение уровней защиты);
- Раздел 7. Требования к системе защиты информации (СИБ);
• Управление доступом (IDM);
• Защита сетей (IDS/IPS, NGFW);
• Контроль целостности и защищенности инфраструктуры (Vulnerability Scanner);
• Защита от вредоносного кода (AV);
• Предотвращение утечек (DLP);
• Управление инцидентами (SIEM);
• Защита среды виртуализации (СЗИ для виртуальных сред);
• Защита информации при использовании мобильных устройств (MDM).
- Раздел 8. Требования к системе управления защитой информации (СОИБ/СМИБ);
• Планирование процесса системы защиты;
• Реализация;
• Контроль;
• Совершенствование.
- Раздел 9. Требованияк ЗИ на этапах ЖЦ АС и приложений;
• Приложение А. Базовая модель угроз и нарушителя;
• Приложение Б. Орг.меры,связанные с обработкой ПДн;
• Приложение В. Перечень событий ЗИ, потенциально связанных с инцидентами.

Интересное из требований (ГОСТ Р 57580.1-2017)
Мера защиты
Содержание мер системы защиты
УЗ3
УЗ 2
УЗ 1
УЗП.6
Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)
О
О
О
РД.12
Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ
Н
Т
Т
ФД.6
Назначение для всех помещений распорядителя физического доступа
О
О
О
ВСА.9
Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному
Н
Т
Т
ЗБС.1
Аутентификация устройств доступа точками доступа по протоколу Wi-Fi
Т
Т
Т
ЦЗИ.16
Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций
О
О
О
ЗВК.13
Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов
Т
Н
Н
ЗВК.14
Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика
Н
Т
Т
ПУИ.3
Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера
Н
Т
Т
РИ.9
Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь
Н
О
О
ЗСВ.27
Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами
О
О
О
ЗУД.3
Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM
Н
Т
Т
ЗУД.11
Обеспечение защиты мобильных устройств от воздействий ВК
Т
Т
Т

Краткие выводы
• Новые требования станут обязательными, когда на них будут включены ссылки в НПА. Тогда же появится определенность, по выполнению требований для каждого уровня защиты .
• Документ по методике проведения оценки соответствия ГОСТу находится в разработке.
• СТО БР ИББС-1.0-2014, скорее всего, не будет отменяться, т.к. не был обязательным. Банк может вывести его из действия приказом (в случае, если стандарт был введён банком).
• Остались вопросы по применению сертифицированных средств защиты  (и прикладного ПО)…

Алябьев Андрей (https://facebook.com/andrey.alyabiev)

Комментариев нет:

Отправить комментарий