Краткий обзор нового ГОСТ Р 57580.1-2017 Защита информации финансовых организаций

8 августа 2017 года Приказом Федерального агентства по техническому регулированию и метрологии № 822-ст утвержден национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер”.

Андрей Алябьев любезно поделился с автором блога своими краткими выкладками относительно нового ГОСТа от Банка России.

ГОСТ Р 57580.1-2017 распространяется на банки, некредитные финансовые организации, других субъектов НПС. Вступает в силу с 1 января 2018 года.

Что принципиально нового?

Уровни защиты информации

• уровень 3 – минимальный (соответствует 4-ому УЗПДн);

• уровень 2 – стандартный (соответствует 2-ому и 3-ему УЗПДн);

• уровень 1 – усиленный (соответствует 1-ому УЗПДн).

Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации). Пример: платежные и информационные технологические процессы могут составлять разные контуры безопасности.

Формируется один или несколько контуров безопасности

Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:

• вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности;

• объема финансовых операций;

• размера организации;

• значимости для финансового рынка и НПС.

Что принципиально нового

Для каждого из трех уровней защиты требование выполняется указанным способом:

• “Н” – реализация является необязательной;

• “О” – реализация путем применения организационной меры;

• “Т” – реализация путем применения технической меры.

Состав мер защиты может адаптироваться.

Сравнение с СТО БР ИББС-1.0-2014

 Структура ГОСТа

- Разделы 1-5. Область применения, нормативные ссылки, термины и определения, обозначения и сокращения;

- Раздел 6. Общие положения (методология применения требований и определение уровней защиты);

- Раздел 7. Требования к системе защиты информации (СИБ);

• Управление доступом (IDM);

• Защита сетей (IDS/IPS, NGFW);

• Контроль целостности и защищенности инфраструктуры (Vulnerability Scanner);

• Защита от вредоносного кода (AV);

• Предотвращение утечек (DLP);

• Управление инцидентами (SIEM);

• Защита среды виртуализации (СЗИ для виртуальных сред);

• Защита информации при использовании мобильных устройств (MDM).

- Раздел 8. Требования к системе управления защитой информации (СОИБ/СМИБ);

• Планирование процесса системы защиты;

• Реализация;

• Контроль;

• Совершенствование.

- Раздел 9. Требованияк ЗИ на этапах ЖЦ АС и приложений;

• Приложение А. Базовая модель угроз и нарушителя;

• Приложение Б. Орг.меры,связанные с обработкой ПДн;

• Приложение В. Перечень событий ЗИ, потенциально связанных с инцидентами.

Интересное из требований (ГОСТ Р 57580.1-2017)

Мера защиты	Содержание мер системы защиты	УЗ3	УЗ 2	УЗ 1
УЗП.6	Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)	О	О	О
РД.12	Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ	Н	Т	Т
ФД.6	Назначение для всех помещений распорядителя физического доступа	О	О	О
ВСА.9	Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному	Н	Т	Т
ЗБС.1	Аутентификация устройств доступа точками доступа по протоколу Wi-Fi	Т	Т	Т
ЦЗИ.16	Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций	О	О	О
ЗВК.13	Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов	Т	Н	Н
ЗВК.14	Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика	Н	Т	Т
ПУИ.3	Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера	Н	Т	Т
РИ.9	Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь	Н	О	О
ЗСВ.27	Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами	О	О	О
ЗУД.3	Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM	Н	Т	Т
ЗУД.11	Обеспечение защиты мобильных устройств от воздействий ВК	Т	Т	Т

Краткие выводы

• Новые требования станут обязательными, когда на них будут включены ссылки в НПА. Тогда же появится определенность, по выполнению требований для каждого уровня защиты .

• Документ по методике проведения оценки соответствия ГОСТу находится в разработке.

• СТО БР ИББС-1.0-2014, скорее всего, не будет отменяться, т.к. не был обязательным. Банк может вывести его из действия приказом (в случае, если стандарт был введён банком).

• Остались вопросы по применению сертифицированных средств защиты  (и прикладного ПО)…

Алябьев Андрей (https://facebook.com/andrey.alyabiev)