Методология защиты информации в финансовых организациях в соответствии с ГОСТ Р 57580.1

gost2

ГОСТ Р 57580.1 базируется на риск-ориентированной методологии.
Деятельности финансовой организации свойственен операционный риск и его наличие является объективной реальностью, не требующей доказательства.
Одной из составляющих операционного риска является риск, связанный с безопасностью информации. Величина этого риска зависит от множества факторов. К основным из них можно отнести:
– вид деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов;
– объема финансовых операций;
– размер организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
– значимость финансовой организации для финансового рынка и национальной платежной системы.

Риск, связанный с безопасностью информации, невозможно исключить, а можно лишь снизить до некоторого остаточного уровня.

Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить:
– идентификацию и учет объектов информатизации;
– применение выбранных финансовой организацией мер защиты информации, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации;
– применение выбранных финансовой организации мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации;
– применение выбранных финансовой организацией мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла АС и приложений;
– оценку остаточного операционного риска (финансового эквивалента возможных потерь), вызванных неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска.
При выполнении указанных работ положениями стандарта рекомендуется руководствоваться рекомендациями по оценке рисков информационной безопасности, приведенными в следующих документах по стандартизации Банка России:
– РС БР ИББС-2.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»;
– РС БР ИББС-2.7 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности».
Методика по РС БР ИББС-2.2 позволяет получить как качественную, так и количественную оценку риска нарушения информационной безопасности.
Результаты оценки рисков информационной безопасности могут быть использованы при оценке остаточного операционного риска, вызванного неполным или некачественным выбором и применением организационных и технических мер защиты информации.
Идентификация и учет объектов информатизации, в том числе АС, должна осуществляться относительно области применения, определяемой требованиями нормативных актов Банка России, устанавливающих обязательность применения положений ГОСТ Р 57580.1.
В отношении финансовых организаций, при осуществлении переводов денежных средств, таким нормативным актом является Положение № 382-П от 09.06.2012. Области применения требований ГОСТ Р 57580.1 для финансовых организаций будут регламентированы в будущей редакции указанного нормативного акта Банка России.
Для иных секторов рынка финансовых услуг цели и области применения требований ГОСТ Р 57580.1 будут определены в соответствующих нормативных актах Банка России.
Идентификация и учет объектов информатизации финансовой организации должны осуществляться, как минимум, в отношении следующих основных уровней информационной инфраструктуры:
– системные уровни:
 уровень аппаратного обеспечения;
 уровень сетевого оборудования;
 уровень сетевых приложений и сервисов;
 уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;
 уровень операционных систем, систем управления базами данных, серверов приложений;
– уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.

Уровни информационной инфраструктуры по ГОСТ Р 57580.1

Уровни информационной инфраструктуры по ГОСТ Р 57580.1 во многом подобны уровням информационной инфраструктуры, определенным в п. 6.2 стандарта Банка Росси и СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» для целей разработки моделей угроз и нарушителя информационной безопасности организаций банковской системы РФ. В частности, в п. 6.2 стандарта Банка Росси и СТО БР ИББС 1.0 определены следующие уровни информационной инфраструктуры:
– физического (линии связи, аппаратные средства и пр.);
– сетевого оборудования (маршрутизаторы, коммутаторы, концентраторы и пр.);
– сетевых приложений и сервисов;
– операционных систем (ОС);
– систем управления базами данных (СУБД);
– банковских технологических процессов и приложений;
– бизнес-процессов организации.
Таким образом, декомпозиция объекта защиты по ГОСТ Р 57580.1 практически полностью соответствует подходам, нашедшим отражение в стандартах Банка России, и достаточно хорошо отработанным.
При этом в одной финансовой организации может быть выделено как один, так и несколько контуров безопасности, подпадающих под различные области применения, определяемые требованиями нормативных актов Банка России, т.е. обеспечивающие поддержку и реализацию предоставления различных финансовых услуг.
Результаты идентификации и учета объектов информатизации финансовой организации должны быть документированы, в том числе, и с учетом выделенных контуров безопасности.
ГОСТ Р 57580.1 определяет следующие три уровня защиты информации:
– уровень 3 – минимальный;
– уровень 2 – стандартный;
– уровень 1 – усиленный.
Критерии определения уровня защиты информации для контура безопасности будут установлены нормативными актами Банка России.
Предварительно предполагалось, что:
– уровень 3 будет устанавливаться для финансовых организаций, подпадающих под категории средних и малых, включая микро-, предприятий, а также тех, влияние которых на рынок финансовых услуг чрезвычайно мал;
– уровень 1 будет устанавливаться для системно- и социально- значимых финансовых организаций, а также для их критических объектов информационной инфраструктуры;
– уровень 2 – для всех иных участников рынка и их объектов.
Установленный в ГОСТ Р 57580.1 состав организационных и технических мер защиты информации для каждого из уровней защиты информации фактически направлен на снижение до допустимого уровня риска, связанного с возможной реализацией определенного состава угроз (т.е. относительно типовой модели угроз и нарушителей защиты информации).
Таким образом, назначение для того или иного контура безопасности уровня защиты информации означает, что реализация установленных для данного уровня защиты информации мер в идеальном случае обеспечит снижение риска, связанного с безопасностью информации до допустимого уровня.
Однако, как правило, реальная модель угроз конкретной финансовой организации может отличаться от типовой модели угроз, поэтому может потребоваться адаптация состава мер защиты информации.
Выбор и применение финансовой организацией мер защиты информации включает:
– выбор мер защиты информации, требования к содержанию базового состава которых установлены в разделе 7 «Требования к системе защиты информации» ГОСТ Р 57580.1;
– адаптацию (уточнение), при необходимости, выбранного состава и содержания мер защиты информации с учетом реальной модели угроз и нарушителей безопасности информации финансовой организации и структурно-функциональных характеристик объектов информатизации, в том числе автоматизированных систем, включаемых в контуры безопасности;
– исключение из базового состава мер защиты информации, установленных в разделе 7 ГОСТ Р 57580.1, мер, не связанных с используемыми информационными технологиями (например, меры Процесса 7 «Защита среды виртуализации» при условии, что в идентифицированных контурах безопасности не применяются технологии виртуализации);
– дополнение, при необходимости, адаптированного (уточненного) состава и содержания мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации, если такие требования распространяются на деятельность финансовой организации и отличаются от требований ГОСТ Р 57580.1;
– применение для каждого идентифицированного контура безопасности адаптированного (уточненного) и дополненного состава мер защиты информации в соответствии с положениями разделов 8 «Требования к организации и управлению защитой информации» и 9 «Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений» ГОСТ Р 57580.1.
В целом приведенный алгоритм во многом подобен действиям, описанным в Методических рекомендациях ФСТЭК России по реализации положений Приказов ФСТЭК России 17 (защита информации, не составляющей ГТ, в ГосИС) и 21 (защита ПДн).

На этапе адаптации (уточнения) базового состава мер защиты информации допускается применение компенсирующих мер защиты информации.

– невозможности технической реализации отдельных требуемых ГОСТ Р 57580.1 мер защиты информации;
– экономическая нецелесообразность применения требуемых ГОСТ Р 57580.1 мер защиты информации;
– применение компенсирующих мер защиты информации должно быть направлено на обработку операционного риска, связанного с реализацией тех же угроз безопасности информации, на нейтрализацию которых направлены меры из базового состава мер защиты информации ГОСТ Р 57580.1.
На включение в стандарт положений, допускающих применение компенсирующих мер защиты информации, настояли участники и организаторы торговых площадок, т.к. использование традиционных средств защиты информации ставило участников торгов в не равные условия и влияло на реализацию протоколов торговых операций.

Использование компенсирующих мер защиты информации выравнивало шансы участников торгов и при этом имело многолетнюю положительную практику.

Снижение операционного риска, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации, приведенных в разделе 7 «Требования к системе защиты информации» ГОСТ Р 57580.1.
Полнота и качество применения мер защиты информации достигается за счет внедрения в финансовой организации видов деятельности по планированию, реализации, проверке и совершенствованию системы защиты информации, осуществляемых в рамках системы организации и управления защитой информации требования к которой установлены в разделе 8 «Требования к организации и управлению защитой информации».
Кроме того, полнота и качество применения мер защиты информации достигается за счет применения мер защиты информации на этапах жизненного цикла автоматизированных систем и приложений, установленных в разделе 9 «Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений» ГОСТ Р 57580.1.
В соответствии с методологией ГОСТ Р 57580.1 оценка остаточного операционного риска осуществляется в отношении риска, связанного с неполным или некачественным применением мер защиты информации, входящих в систему защиты информации (раздел 7 ГОСТ Р 57580.1).
Для оценки остаточного риска, как уже отмечалось ранее, могут применяться Рекомендации в области стандартизации Банка России РС БР ИББС-2.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» и РС БР ИББС-2.7 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности».
Процедура оценки остаточного риска будет в будущем определена требованиями нормативных актов Банка России. Основой для этой процедуры оценки будут являться оценки показателей соответствия реализации системы защиты информации финансовой организации требованиям разделов 7, 8 и 9 ГОСТ Р 57580.1.
Оценка показателей соответствия реализации системы защиты информации финансовой организации требованиям, установленным в разделах 7, 8 и 9 ГОСТ Р 57580.1, осуществляется в соответствии с методикой, определенной в ГОСТ Р 57580.2 2018.
Определённые в ГОСТ Р 57580.1 меры системы защиты информации и системы организации и управления защитой информации в какой-то части расширяют и детализируют требования ФСТЭК России по защите персональных данных.
Это позволило сформулировать в ГОСТ Р 57580.1 рекомендации по выбору уровня защиты информации для обеспечения того или иного уровня защищенности персональных данных при их обработке в ИСПДн. В частности, в ГОСТ Р 57580.1 определено, что:
– для обеспечения соответствия четвертому уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования, установленные для уровня 3 – минимальный;
– для обеспечения соответствия третьему и второму уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования, установленные для уровня 2 – стандартный;
– для обеспечения соответствия первому уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования, установленные для уровня 1 – усиленный.
Справочная информация по составу и содержанию рекомендуемых организационных мер, подлежащих реализации финансовой организацией в связи с обработкой ПДн, приведена в приложении Б «Состав и содержание организационных мер, связанных с обработкой финансовой организацией персональных данных» к стандарту.
В целях реализации правильного и эффективного способа минимизации возможных проявлений в деятельности финансовой организации неприемлемых для нее операционных рисков, связанных с нарушением безопасности информации, положениями стандарта на руководство финансовой организации возлагается ответственность за принятие и контроль следующих внутренних документов:
– политики обеспечения защиты информации финансовой организации;
– области применения системы защиты информации, описанной как перечень бизнес-процессов, технологических процессов и (или) АС финансовой организации;
– целевых показателей величин допустимого остаточного операционного риска, связанного с нарушением безопасности информации.
В части требований к содержанию политик обеспечения защиты информации положениями стандарта определено, что они среди прочего должны определять:
– цели и задачи защиты информации;
– основные типы защищаемой информации;
– основные принципы и приоритеты выбора организационных и технических мер системы защиты информации и системы организации и управления защитой информации;
– положения о выделении необходимых и достаточных ресурсов, используемых при применении организационных и технических мер, входящих в систему защиты информации.
Также в стандарт транслированы общеизвестные и до последнего времени широко используемы в финансовой индустрии основополагающие принципы безопасности:
– «знать своего клиента»;
– «знать своего работника»;
– «необходимо знать»;
– «двойное управление».
В положениях стандарта отмечается, что данные принципами следует руководствоваться при проведении работ по предоставлению доступа к защищаемой информации финансовой организации, однако они могут быть использованы и гораздо шире.
Эти же принципы присутствуют и в положениях стандарта СТО БР ИББС 1.0, причем включались они в него как заимствуемые из международной практики. В СТО БР ИББС 1.0 они включались со ссылкой на ISO TR 13569:2005 «Financial services – Information security guidelines». Позже указанный технический отчет ИСО был гармонизирован в системе национальной стандартизации как ГОС Р ИСО ТО 13569, на который и дана ссылка в ГОСТ Р 57580.1.

Способы реализации мер защиты информации


Стандартом ГОСТ Р 57580.1 предусмотрены следующие способы реализации мер защиты информации:
– реализация путем применения организационной меры защиты информации, предусматривающей установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и(или) иных связанных с ним объектов;
– реализация путем применения технической меры защиты информации, реализуемой с помощью применения аппаратных, программных, аппаратно-программных средств и(или) систем;
– реализация является необязательной.
По решению финансовой организации, вместо организационной меры защиты информации допускается применения технической меры защиты информации.
Требованиями стандарта ГОСТ Р 57580.1 допускается применение компенсирующих мер защиты информации. Правила использования компенсирующих мер рассматривались ранее.
Требования стандарта ГОСТ Р 57580.1 к способу реализации мер защиты информации определены в зависимости от использования меры защиты в одном из 3-х уровней защиты информации:
– мера реализуется максимально «экономным» образом – организационными способами и методами;
– мера реализуется в полном объеме с обязательным использованием технических средств в дополнение к организационным мероприятиям данной меры защиты информации, если таковые имеются;
– мера может быть не предназначенной к использованию в составе данного уровня защиты.
Указанные способы реализации мер защиты информации, отражены в таблицах требований ГОСТ Р 57580.1, и обозначены следующим образом:
– «О» – реализация путем применения организационной меры защиты информации;
– «Т» – реализация путем применения технической меры защиты информации;
– «Н» – реализация является необязательной.

Безопасная разработка

Разработчики тоже должны быть хакерамиРазработчики тоже должны быть хакерами

Каждый разработчик программного обеспечения хочет, чтобы его приложение соответствовало самым высоким стандартам качества. Несмотря на то, что разработчиков не хватает, а их время стоит дорого, есть много причин включить обучение

Что такое SOC 2Что такое SOC 2

Учитывая важность информационной безопасности, особенно с свете того, как предприятия все чаще передают на аутсорсинг жизненно важные и узкоспециализированные задачи, компании должны обеспечить постоянную безопасную работу с данными. Уязвимости приложений

Технологии интернета вещей IoTТехнологии интернета вещей IoT

Технологии интернета вещей IoT (Industrial IoT, HoG) сочетает в себе концепцию межмашинной коммуникации, использование BigData и проверенных технологий промышленной автоматизации. Ключевая идея NoT заключается в превосходстве «умной» машины над человеком,