Чтобы стать миллиардером, нужна прежде всего удача, значительная доза знаний, огромная работоспособность, но самое главное – вы должны иметь менталитет миллиардера. Менталитет миллиардера – это такое состояние ума, при котором вы сосредотачиваете все свои знания, все свои умения, все свои навыки на достижении поставленной цели.  Пол Гетти

Огляд стандарту ГОСТ ЦБ Р 57580.1-2017 щодо захисту інформації

  1. Національний стандарт щодо захисту інформації
  2. Основні положення Стандарту
  3. Старі практики або новий підхід?
  4. Статус Стандарту сьогодні і подальші плани Банку Росії
  5. Висновки

Стаття присвячена національному стандарту Російської Федерації ГОСТ Р 57580.1-2017 «Безпека фінансових (банківських) операцій. Захист інформації фінансових організацій. Базовий набір організаційних і технічних заходів ». У статті розглянуті нормативна база Банку Росії щодо захисту інформації, основні положення нового стандарту, а також його поточний статус для фінансових організацій.

  1. Вступ
  2. Національний стандарт щодо захисту інформації
    1. 2.1. Передумови до появи CТАНДАРТ
    2. 2.2. Основні положення Стандарту
    3. 2.3. Старі практики або новий підхід?
  3. Статус Стандарту сьогодні і подальші плани Банку Росії
  4. висновки

Вступ

У фінансовій сфері, особливо в банківському секторі, питань інформаційної безпеки приділяється велика увага. Крім законодавчих вимог, тут присутні реальні ризики крадіжки грошових коштів, що вимагає реалізації безпеки не тільки на папері, а й на практиці.

Відповідно, фінансовим організаціям необхідно вибудовувати системи захисту інформації, які відповідають законодавчим вимогам, а також враховують технічний аспект безпеки (так звана практична безпеку).

Крім основних регуляторів в області інформаційної безпеки (ФСТЕК Росії і ФСБ Росії), які висувають певні вимоги, у фінансових організацій є і свій відомчий регулятор - Центральний банк Російської Федерації (далі - Банк Росії), який також висуває ряд вимог щодо забезпечення безпеки.

В області захисту інформації Банком Росії ведеться велика робота. Протягом уже багатьох років випускаються різні документи, що регламентують область інформаційної безпеки. Якісь документи є обов'язковими, інші носять рекомендаційний характер.

До обов'язкових до виконання можна віднести різні Положення Банку Росії, в тому числі:

  • Положення Банку Росії №382-П від 09.06.2012 «Про вимоги до забезпечення захисту інформації при здійсненні переказів грошових коштів і про порядок здійснення Банком Росії контролю за дотриманням вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів».
  • Положення Банку Росії №552-П від 24.08.2016 «Про вимоги до захисту інформації в платіжній системі Банку Росії».

Крім того, Банком Росії розроблені і затверджені стандарти і рекомендації в області інформаційної безпеки (стандарти СТО БР Іббсе і рекомендації РС БР Іббсе). Основоположним документом в цій серії є Стандарт Банку Росії: «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення »(СТО БР Іббсе-1.0-2014). Зазначені документи носять рекомендаційний характер і є обов'язковими до виконання лише в разі рішення банку про приєднання до даного стандарту.

Таким чином, при побудові системи захисту інформації банкам необхідно розглядати відразу кілька документів для виконання всіх необхідних вимог з безпеки, що збільшує навантаження на служби інформаційної безпеки. Крім того, необов'язковість виконання стандарту СТО БР Іббсе-1.0-2014 привела до ситуації, коли Банк Росії не може змусити підконтрольні організації вибудовувати повноцінні системи захисту інформації, що призводить до різних інцидентів інформаційної безпеки (банківський сектор великий, і далеко не у всіх банках ІБ фінансується належним чином).

З цих причин з'явилися плани з переробки стандартів і розробці нового стандарту, в якому необхідно визначити кінцевий перелік заходів захисту інформації та який можна було б зробити обов'язковим для всіх фінансових організацій.

Національний стандарт щодо захисту інформації

Передумови до появи CТАНДАРТ

Перші офіційні згадки про новий стандарт з'явилися в 2016 році. На конференції «Уральський форум. Інформаційна безпека фінансової сфери »ГУБЗІ ЦБ РФ (Головне управління безпеки та захисту інформації ЦБ РФ) анонсувало плани по гармонізації та уніфікації своїх вимог щодо захисту інформації, які повинні були бути розділені на два рівні: вимоги організаційно-правового та технологічного характеру планувалося визначати нормативними актами банку Росії - положеннями і вказівками, а вимоги технічного характеру - на рівні ГОСТу.

Малюнок 1. Гармонізація та уніфікація вимог щодо захисту інформації

Таким чином, ГУБЗІ ЦБ РФ планував такі заходи з розвитку своїх документів в частині інформаційної безпеки:

  • переробити Положення Банку Росії 382-П, прибравши з нього всі глибоко технічні питання щодо захисту інформації;
  • всі технічні питання щодо захисту інформації відобразити в новому ГОСТі і зробити її обов'язковою для застосування в фінансових організаціях;
  • розширити область дії вимог щодо інформаційної безпеки на некредитні організації.

За результатами проведених робіт (розробка стандарту, його обговорення в профільних комітетах) був розроблений національний стандарт щодо захисту інформації в фінансових організаціях (далі - Стандарт). Стандарт затверджений Федеральним агентством з технічного регулювання і метрології 8 серпня 2017 року. При цьому варто відзначити, що раніше заплановані заходи були виконані в повному обсязі, а саме діючі документи Банку Росії (Положення Банку Росії 382-П, комплекс документів СТО БР Іббсе) в даний час залишилися без змін:

  • Положення Банку Росії 382-П діє на сьогодні в редакції від 2014 року;
  • документи СТО БР Іббсе також в даний час діють і можуть застосовуватися банками за своїм бажанням (крім того, Банком Росії даний комплект документів оновлюється і доповнюється новими стандартами і рекомендаціями).

Основні положення Стандарту

Положення Стандарту поширюються на кредитні організації, некредитні фінансові організації, зазначені в частині першій статті 76.1 Федерального закону «Про Центральний банк Російської Федерації (Банці Росії)», а також на суб'єкти національної платіжної системи (далі - фінансові організації). Таким чином, область дії Стандарту, як і планувалося, розширили: крім банків вимоги стандарту також поширюються на некредитні фінансові організації, зокрема, страхові та мікрофінансові компанії.

Одним з важливих нововведень можна назвати появу в Стандарті рівнів захисту інформації. Тим самим Банк Росії йде від обов'язкового до виконання переліку заходів захисту і вводить можливість фінансовим організаціям самостійно визначати необхідно-достатній склад заходів захисту інформації. Дане нововведення можна порівняти з підходом ФСТЕК Росії, який вже не перший рік використовує класи захищеності для визначення вимог щодо захисту інформації для ІСПДн, ГІС та АСУ ТП (та й раніше ФСТЕК також використовував класифікацію для автоматизованих систем, яка була встановлена ​​в його керівних документах) .

У Стандарті визначено 3 рівня захисту інформації, на підставі яких визначається базовий склад заходів:

  • рівень 3 - мінімальний;
  • рівень 2 - стандартний;
  • рівень 1 - посилений.

Рівень захисту інформації встановлюється для певної контуру безпеки (у фінансовій організації може бути виділений один або кілька контурів безпеки) відповідно до нормативних документів Банку Росії на основі певних характеристик контура. На сьогодні Банк Росії ще не затвердив зазначені нормативні документи для визначення рівня захисту інформації.

Як було зазначено вище, у фінансових організацій з'явилася можливість формувати кінцевий перелік заходів захисту інформації. Визначивши рівень захисту інформації та відповідає цьому рівню базовий склад заходів захисту, фінансова організація може його адаптувати під свої потреби з урахуванням:

  • моделі загроз і порушників безпеки інформації;
  • структурно-функціональних характеристик об'єктів інформатизації;
  • використовуваних інформаційних технологій;
  • вимог до захисту інформації, встановлених нормативними правовими актами в галузі забезпечення безпеки та захисту інформації.

Також Стандарт дозволяє використовувати компенсуючі заходи при неможливості технічної реалізації окремих обраних заходів захисту інформації, а також з урахуванням економічної доцільності.

Процес по визначенню складу заходів захисту інформації представлений на малюнку 2.

Малюнок 2. Визначення складу заходів захисту інформації

Визначення складу заходів захисту інформації

У Стандарті для кожного рівня захисту інформації наведено базовий склад заходів захисту інформації. Для кожної заходи захисту визначені способи її реалізації, які мають такі значення:

  • «О» - реалізація шляхом застосування організаційної заходи захисту інформації;
  • «Т» - реалізація шляхом застосування технічної заходи захисту інформації;
  • «Н» - реалізація є необов'язковою.

Малюнок 3. Приклад вимог базового складу заходів захисту інформації

Приклад вимог базового складу заходів захисту інформації

Всі заходи захисту інформації, які наведені в Стандарті, діляться на 3 великі блоки, в рамках яких виділяються різні підгрупи (процеси, напрямки, стадії життєвого циклу):

  • вимоги до системи захисту інформації;
  • вимоги до організації та управління захистом інформації;
  • вимоги до захисту інформації на етапах життєвого циклу автоматизованих систем і додатків.

Таблиця 1. Групи заходів захисту інформації, що містяться в Стандарті

Вимоги до системи захисту інформації

Процес 1 «Забезпечення захисту інформації при управлінні доступом»:

  • управління обліковими записами і правами суб'єктів логічного доступу;
  • ідентифікація, аутентифікація, авторизація та розмежування доступу при здійсненні логічного доступу;
  • захист інформації при здійсненні фізичного доступу;
  • ідентифікація, класифікація та облік ресурсів і об'єктів доступу.

Процес 2 «Забезпечення захисту обчислювальних мереж»:

  • сегментація і межсетевое екранування обчислювальних мереж;
  • виявлення мережевих вторгнень і атак;
  • захист інформації, що передається по обчислювальним мережам;
  • захист бездротових мереж.

Процес 3 «Контроль цілісності і захищеності інформаційної інфраструктури».

Процес 4 «Захист від шкідливої коди».

Процес 5 «Запобігання витоків інформації».

Процес 6 «Управління інцидентами захисту інформації».

  • моніторинг і аналіз подій захисту інформації;
  • виявлення інцидентів захисту інформації та реагування на них.

Процес 7 «Захист середовища віртуалізації».

Процес 8 «Захист інформації при здійсненні віддаленого логічного доступу з використанням мобільних (переносних) пристроїв».

Вимоги до організації та управління захистом інформації

Напрямок 1 «Планування процесу системи захисту інформації».

Напрямок 2 «Реалізація процесу системи захисту інформації».

Напрямок 3 «Контроль процесу системи захисту інформації».

Напрямок 4 «Удосконалення процесу системи захисту інформації».

Вимоги до захисту інформації на етапах життєвого циклу автоматизованих систем і додатків

Етап «Створення (модернізація) АС».

Етап «Введення в експлуатацію АС».

Етап «Експлуатація (супровід) АС».

Етап «Експлуатація (супровід) і зняття з експлуатації АС».

З питання технічного захисту персональних даних (він повинен враховуватись усіма фінансовими організаціями в своїй діяльності) в Стандарті не пропонується будь-яких спеціальних заходів захисту. У Стандарті просто співвіднесені певні рівні захисту інформації та рівні захищеності персональних даних, встановлені в Постанові Уряду Російської Федерації від 01.10.2012 р №1119. А саме наводяться рекомендації щодо забезпечення відповідності між зазначеними рівнями.

Таблиця 2. Співвідношення рівнів захисту інформації з рівнями захищеності ПДН

Рівень захисту інформації

Рівень захищеності ПДН

Рівень захисту інформації 3 - мінімальний

4-й рівень захищеності ПДН

Рівень захисту інформації 2 - стандартний

3-й і 2-й рівні захищеності ПДН

Рівень захисту інформації 1 - посилений

1-й рівень захищеності ПДН

Старі практики або новий підхід?

Однозначно відповісти на поставлене запитання не можна, оскільки розглянутий Стандарт, звичайно ж, містить в собі усталені практики по забезпеченню безпеки, але також вводить і нові аспекти забезпечення цієї самої безпеки.

Нижче розглянемо невелике порівняння зі стандартом Банку Росії СТО БР Іббсе-1.0-2014. Як було зазначено вище, по суті це не один документ, а комплект взаємозалежних стандартів і рекомендацій, на відміну від нового Стандарту, який зібрав всіх заходів захисту інформації в одному документі.

Відповідно, стандарт СТО БР Іббсе-1.0-2014 визначає систему забезпечення інформаційної безпеки (ІБ), як сукупність системи інформаційної безпеки (СІБ) і системи менеджменту ІБ (СМІБ). У свою чергу, СІБ включає в себе сукупність захисних заходів, а СМІБ - сукупність процесів менеджменту ІБ. При цьому процеси СМІБ реалізуються у вигляді циклічної моделі Демінга.

На малюнку приведена система забезпечення ІБ, яка визначається в стандарті СТО БР Іббсе-1.0-2014.

Малюнок 4. Система забезпечення ІБ за стандартом СТО БР Іббсе-1.0-2014

0-2014

А що ж нам пропонує новий Стандарт? У ньому, по суті, присутні всі описані вище сутності, але трохи в іншій термінології:

  • СІБ представлена ​​в блоці «Вимоги до системи захисту інформації»;
  • СМІБ представлена ​​в блоці «Вимоги до організації та управління захистом інформації», яка також реалізується за моделлю Демінга;
  • окремо виділено блок «Вимоги до захисту інформації на етапах життєвого циклу автоматизованих систем і додатків», але в стандарті СТО БР Іббсе-1.0-2014 дані вимоги також розглянуті в складі СІБ.

Крім того, новий Стандарт пропонує досить гнучкий підхід щодо вибору заходів захисту інформації, який був розглянутий вище. Метою даної статті не є детальне порівняння всіх заходів захисту інформації, але вони в більшій своїй частині перекочували зі стандарту СТО БР Іббсе-1.0-2014. З огляду на об'ємності теми, в статті також не розглядаються конкретні заходи захисту інформації (наприклад, пов'язані з сертифікацією засобів захисту інформації).

Резюмуючи, відзначимо, що національний Стандарт щодо захисту інформації являє собою сплав хороших старих практик з актуальними нововведеннями.

Статус Стандарту сьогодні і подальші плани Банку Росії

Стандарт був затверджений в серпні 2017 року і введений в дію з 1 січня 2018 року. Однак це ще не означає, що фінансові організації повинні його вже виконувати. На сьогоднішній день ГОСТ носить рекомендаційний характер. По-перше, не встановлена ​​його обов'язковість. Банк Росії повинен включити посилання на даний Стандарт в свої нормативні документи (за останньою інформацією, таке посилання повинні додати до Положення №382-П). Тільки після цього Стандарт буде обов'язковим для виконання в фінансових організаціях.

Крім того, поки не затверджені документи, що встановлюють правила визначення рівнів захисту інформації в фінансових організаціях (основний крок у всьому проектуванні системи захисту інформації).

Таким чином, для повноцінного введення в дію національного Стандарту Банку Росії необхідно виконати зазначені вище дії. По термінах повної ясності немає, але імовірно Стандарт стане обов'язковим не раніше 2019 року.

Також в даний час планується до затвердження ще один стандарт, який встановлює вимоги до методики та оформлення оцінки відповідності захисту інформації у фінансовій організації вимогам національного стандарту Російської Федерації ГОСТ Р 57580.1-2017.

Одним з основних моментів цього стандарту є визначення способу перевірки відповідності системи захисту інформації. А саме, відповідно до проекту згаданого документа комплекс заходів з оцінки відповідності системи захисту інформації повинен здійснюватися незалежною організацією, яка має необхідним рівнем компетенції і має ліцензії на діяльність з технічного захисту конфіденційної інформації на один або декілька з наступних видів робіт і послуг:

  • контроль захіщеності конфіденційної информации від несанкціонованого доступу и ее модіфікації в засоби и системах інформатізації;
  • проектування в захищений віконанні ЗАСОБІВ и систем інформатізації;
  • установка, монтаж, налагодження, випробування, ремонт засобів захисту информации (програмних (програмно-технічних) засобів захисту информации, захищений програмних (програмно-технічних) ЗАСОБІВ ОБРОБКИ информации, програмних (програмно-технічних) ЗАСОБІВ контролю ефектівності захисту інформації).

Таким чином, Банк Росії планує скасувати оцінку відповідності у вигляді самооцінки і ввести практику обов'язкових зовнішніх аудитів з залученням ліцензіатів ФСТЕК Росії.

Висновки

У статті подано короткий огляд національного стандарту Російської Федерації ГОСТ Р 57580.1-2017 «Безпека фінансових (банківських) операцій. Захист інформації фінансових організацій. Базовий набір організаційних і технічних заходів ».

Стандарт включив в себе як різні положення існуючих практик з інформаційної безпеки в Банку Росії, так і нові підходи. Зокрема, введена класифікація за рівнями захисту інформації, а також надано гнучкий механізм вибору захисних заходів.

З урахуванням того, що в даний час Стандарт є рекомендаційним, фінансовим організаціям не потрібно його виконувати в обов'язковому порядку. Але також, враховуючи, що Стандарт буде переведений в ранг обов'язкового (імовірно в 2019 році), фінансовим організаціям слід уже сьогодні ознайомиться з його положеннями та зрозуміти, яких робіт і змін в існуючих системах захисту інформації потребують виконання його вимог.

А що ж нам пропонує новий Стандарт?
 

Календарь

Реклама

Цитата дня

Я никогда ничего не покупаю, если не могу на одной бумаге описать мои объяснения и причины. Я могу ошибаться, но я буду знать ответ этому. «Я плачу 32 миллиарда долларов за компанию Coca-Cola, потому что…» И если вы не можете ответить на этот вопрос, вам не стоит покупать эти акции. Но если вы ответите на этот вопрос и сделаете это несколько раз, вы заработаете много денег.   Уоррен Баффетт