17 декабря, 2018, BIS Journal №4(31)/2018

Безопасность финансов


Свинцицкий Антон

директор по консалтингу (АО «ДиалогНаука»)

Стандарт ГОСТ Р 57580.1-2017 – первый в новой экосистеме регулирования ИБ в компаниях, подотчётных Центробанку

В августе 2017 года Ростехрегулирование утвердило национальный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». На данный момент национальный стандарт является рекомендательным, но в нем содержится, например, такое положение: «настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах». Банком России разработаны и опубликованы проекты положений, устанавливающих обязанность кредитных и некредитных финансовых организаций выполнять требования ГОСТ Р 57580.1-2017, начиная с 2021 года. Более того, ссылки на необходимость выполнения требований данного стандарта установлены в приказе Министерства цифрового развития, связи и массовых коммуникаций РФ для информационных технологий и технических средств, использующихся при обработке, включая сбор и хранение параметров биометрических персональных данных в целях идентификации (Приказ от 25.06.2018 г. № 321).

«…И ВОТ ОПЯТЬ»

Исторически Банк России разрабатывает собственные рекомендательные стандарты серии БР ИББС начиная с 2004 года, включающие в себя как базовые документы, содержащие требования к реализации системы обеспечения информационной безопасности и описание порядка проведения оценки соответствия (в том числе методику оценки соответствия), так и рекомендации по реализации отдельных процессов управления и обеспечения ИБ, таких как оценка рисков ИБ, менеджмент инцидентов ИБ, обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем и другие. Область применения СТО БР ИББС определялась организацией банковской системы самостоятельно.

С выходом Положения Банка России 382-П были формализованы требования по обеспечению информационной безопасности при осуществлении переводов денежных средств, которые учитывали специфичные процессы и используемые информационные технологии: информационные системы дистанционного банковского обслуживания (в том числе использование мобильных приложений), терминальные устройства дистанционного банковского обслуживания (банкоматы и платежные терминалы). При этом общие требования к основным процессам обеспечения информационной безопасности в большей степени дублируют положения СТО БР ИББС.

ГОСТ 57580.1-2017 является логичным продолжением многолетней работы Банка России в области стандартизации вопросов обеспечения информационной безопасности, так как в область его «потенциального» действия входят не только банки, но и другие финансовые организации (микрофинансовые организации, бюро кредитных историй, страховые компании и другие).

ОСНОВНЫЕ ПОЛОЖЕНИЯ

Стандарт ГОСТ Р 57580.1-2017 разработан совместно Центробанком и НПФ «КРИСТАЛЛ» (является одним из разработчиков документов Банка России в области стандартизации СТО БР ИББС) и внесен на рассмотрение в Ростехрегулирование техническим комитетом 122 (ТК-122) «Стандарты финансовых операций».

Положения стандарта могут использоваться кредитными и некредитными финансовыми организациями, а также субъектами национальной платежной системы для достижения следующих целей защиты информации:

определение требований к составу и содержанию организационных и технических мер защиты информации;
соответствие состава и содержания мер защиты информации актуальным угрозам безопасности информации и уровню принятого организацией операционного риска (риск-аппетиту);
обеспечение эффективного контроля состояния защиты информации на основе стандартизованного подхода.

Определение требований к составу и содержанию организационных и технических мер защиты информации осуществляется на основании выбранного уровня защиты. Стандартом установлены три уровня защиты: минимальный (третий), стандартный (второй) и усиленный (первый). Причем в финансовой организации могут быть выделены несколько контуров безопасности, каждый из которых может защищаться по своему уровню.

В соответствии с опубликованным проектом Положения Банка России «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности» установлены следующие критерии определения необходимого уровня защиты:

1-ый уровень защиты (усиленный) – для системно значимых кредитных организаций, выполняющих функции оператора услуг платежной инфраструктуры значимых платежных систем, кредитных организаций, значимых на рынке платежных услуг, при осуществлении более 3 млн. банковских операций (среднегодовой показатель);
2-ой уровень защиты (стандартный) – для всех остальных кредитных организаций.

Значение 3 млн. единиц операций соответствует критерию отнесения объектов критической информационной инфраструктуры Банка к значимым.

Соответствие состава и содержания мер защиты информации актуальным угрозам безопасности информации и уровню принятого организацией операционного риска (риск-аппетиту) должно достигаться путем адаптации, исключения и дополнения базового набора мер по результатам моделирования угроз безопасности информации и оценки рисков с учетом особенностей информационной инфраструктуры и реализуемых бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств организации.

ГОСТ Р 57580.1-2017 описывает следующие основные направления в рамках организации системы защиты информации Банка:

  • обеспечение защиты информации при управлении доступом;
  • обеспечение защиты вычислительных сетей;
  • контроль целостности и защищенности информационной инфраструктуры;
  • защита от вредоносного кода;
  • предотвращение утечек информации;
  • управление инцидентами защиты информации;
  • защита среды виртуализации;
  • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств;
  • защита информации на этапах жизненного цикла автоматизированных систем и приложений.

В рамках каждого направления определен перечень мер, необходимых к реализации как в виде организационных мероприятий по защите информации, так и путем применения специализированных средств защиты информации. Если мера защиты информации не может быть реализована, то необходимо рассмотреть возможность (а в отдельных случаях необходимость) применения компенсирующих мер, направленных на обработку рисков, связанных с реализацией тех же угроз безопасности (перечень рассматриваемых угроз должен учитывать положения базовой модели угроз и нарушителей безопасности информации, описанные в Приложении А к ГОСТ Р 57580.1-2017). При этом выбор компенсирующих мер должен быть формализован и закреплен во внутренних нормативных документах организации.

Также стоит обратить внимание, что часть мер, описанных в стандарте, дополняют друг друга и могут быть использованы как компенсирующие.

Обеспечение эффективного контроля состояния защиты информации на основе стандартизованного подхода должно достигаться путем реализации следующих мероприятий:

  • осуществление мониторинга и контроля состояния защиты информации;
  • проведение оценки эффективности реализованных мер;
  • анализа и совершенствования системы защиты информации;
  • проведения периодической независимой оценки выполнения установленных требований.

А СУДЬИ КТО?

Примерно через полгода после принятия ГОСТ Р 57580.1-2017 была принята методика оценки соответствия (ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»). Методика оценки соответствия содержит описание как процесса проведения оценки соответствия, так и требования к формированию отчетных материалов по результатам оценки.

Оценка выбора и реализации финансовой организацией организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1-2017 должна проводиться только независимой организацией: обладающей необходимой компетенцией (порядок оценки такой компетенции не определен) и лицензией на деятельность по технической защите конфиденциальной информации.

И если процесс оценки соответствия требованиям ГОСТ Р 57580.1-2017 не сильно отличается процесса, описанного в документах стандарта Банка России СТО БР ИББС-1.1, то подход к оценке реализации мер защиты информации кардинально изменен:

Из методики убраны оценки, соответствующие состоянию «не в полной мере», «практически полностью», «что-то делается», позволявшие довольно расширенное толкование со стороны проверяющих: все меры, описанные в разделе 7 ГОС Р 57580.1-2017, оцениваются по следующей шкале:

0 – мера не выбрана;
1 – мера выбрана;

Процессы управления информационной безопасности (планирование, реализация, контроль и совершенствование) рассматриваются не в разрезе всей организации, а применительно к 8 основным процессам, описанным в разделе 7 ГОСТ Р 57580.1-2017.
Перечень мер защиты информации, подлежащих оценке, может быть скорректирован по результатам работ по их адаптации и/или применения компенсирующих мер, направленных на обработку рисков, связанных с реализацией тех же угроз безопасности.
Если в организации выделены несколько контуров безопасности, то оценка должна формироваться независимо для каждого контура.

Другим нововведением, определяемым ГОСТ Р 57580.2-2018, являются детализированные требования к отчетным документам, формируемым по результатам оценки соответствия. К таким требованиям в том числе относятся:

отчет по результатам оценки соответствия защиты информации должен быть прошит и скреплен мастичной печатью проверяющей организации с указанием количества листов в заверительной надписи, подписанной руководителем проверяющей группы;
для каждого электронного документа, файла данных, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть вычислены хэш-функции, реализованной в соответствии с ГОСТ Р 34.11-2012.

ЗАКЛЮЧЕНИЕ

Выпущенные под контролем Банка России национальные стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 несколько нарушают традиции отраслевого стандарта СТО БР ИББС, тем не менее понятно, что это только первые документы в создаваемой экосистеме регулирования информационной безопасности в компаниях, которые подотчётны Центробанку. Аналогичный путь для банков, проделанный стандартом СТО БР ИББС, показывает, что со временем и ГОСТ Р 57580.1 также станет фактически обязательным, причем для значительно большего круга организаций, в частности, некредитных финансовых компаний. Поэтому для таких компаний логично рассмотреть возможность реализации данного стандарта уже сейчас. Пока конкретных сроков перевода требований ГОСТ в разряд обязательных официально не названо, в проектах Положений Банка России указан 2021 год.

 

Смотрите также

Итоги CyberCrimeCon 2018

17 октября, 2018
Подпишись на новости!
Подписаться