ГОСТ Р 57580.1 базируется на риск-ориентированной методологии.
Деятельности финансовой организации свойственен операционный риск и его наличие является объективной реальностью, не требующей доказательства.
Одной из составляющих операционного риска является риск, связанный с безопасностью информации. Величина этого риска зависит от множества факторов. К основным из них можно отнести:
– вид деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов;
– объема финансовых операций;
– размер организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
– значимость финансовой организации для финансового рынка и национальной платежной системы.
Риск, связанный с безопасностью информации, невозможно исключить, а можно лишь снизить до некоторого остаточного уровня.
Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить:
– идентификацию и учет объектов информатизации;
– применение выбранных финансовой организацией мер защиты информации, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации;
– применение выбранных финансовой организации мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации;
– применение выбранных финансовой организацией мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла АС и приложений;
– оценку остаточного операционного риска (финансового эквивалента возможных потерь), вызванных неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска.
При выполнении указанных работ положениями стандарта рекомендуется руководствоваться рекомендациями по оценке рисков информационной безопасности, приведенными в следующих документах по стандартизации Банка России:
– РС БР ИББС-2.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»;
– РС БР ИББС-2.7 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности».
Методика по РС БР ИББС-2.2 позволяет получить как качественную, так и количественную оценку риска нарушения информационной безопасности.
Результаты оценки рисков информационной безопасности могут быть использованы при оценке остаточного операционного риска, вызванного неполным или некачественным выбором и применением организационных и технических мер защиты информации.
Идентификация и учет объектов информатизации, в том числе АС, должна осуществляться относительно области применения, определяемой требованиями нормативных актов Банка России, устанавливающих обязательность применения положений ГОСТ Р 57580.1.
В отношении финансовых организаций, при осуществлении переводов денежных средств, таким нормативным актом является Положение № 382-П от 09.06.2012. Области применения требований ГОСТ Р 57580.1 для финансовых организаций будут регламентированы в будущей редакции указанного нормативного акта Банка России.
Для иных секторов рынка финансовых услуг цели и области применения требований ГОСТ Р 57580.1 будут определены в соответствующих нормативных актах Банка России.
Идентификация и учет объектов информатизации финансовой организации должны осуществляться, как минимум, в отношении следующих основных уровней информационной инфраструктуры:
– системные уровни:
уровень аппаратного обеспечения;
уровень сетевого оборудования;
уровень сетевых приложений и сервисов;
уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;
уровень операционных систем, систем управления базами данных, серверов приложений;
– уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.
Уровни информационной инфраструктуры по ГОСТ Р 57580.1
Уровни информационной инфраструктуры по ГОСТ Р 57580.1 во многом подобны уровням информационной инфраструктуры, определенным в п. 6.2 стандарта Банка Росси и СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» для целей разработки моделей угроз и нарушителя информационной безопасности организаций банковской системы РФ. В частности, в п. 6.2 стандарта Банка Росси и СТО БР ИББС 1.0 определены следующие уровни информационной инфраструктуры:
– физического (линии связи, аппаратные средства и пр.);
– сетевого оборудования (маршрутизаторы, коммутаторы, концентраторы и пр.);
– сетевых приложений и сервисов;
– операционных систем (ОС);
– систем управления базами данных (СУБД);
– банковских технологических процессов и приложений;
– бизнес-процессов организации.
Таким образом, декомпозиция объекта защиты по ГОСТ Р 57580.1 практически полностью соответствует подходам, нашедшим отражение в стандартах Банка России, и достаточно хорошо отработанным.
При этом в одной финансовой организации может быть выделено как один, так и несколько контуров безопасности, подпадающих под различные области применения, определяемые требованиями нормативных актов Банка России, т.е. обеспечивающие поддержку и реализацию предоставления различных финансовых услуг.
Результаты идентификации и учета объектов информатизации финансовой организации должны быть документированы, в том числе, и с учетом выделенных контуров безопасности.
ГОСТ Р 57580.1 определяет следующие три уровня защиты информации:
– уровень 3 – минимальный;
– уровень 2 – стандартный;
– уровень 1 – усиленный.
Критерии определения уровня защиты информации для контура безопасности будут установлены нормативными актами Банка России.
Предварительно предполагалось, что:
– уровень 3 будет устанавливаться для финансовых организаций, подпадающих под категории средних и малых, включая микро-, предприятий, а также тех, влияние которых на рынок финансовых услуг чрезвычайно мал;
– уровень 1 будет устанавливаться для системно- и социально- значимых финансовых организаций, а также для их критических объектов информационной инфраструктуры;
– уровень 2 – для всех иных участников рынка и их объектов.
Установленный в ГОСТ Р 57580.1 состав организационных и технических мер защиты информации для каждого из уровней защиты информации фактически направлен на снижение до допустимого уровня риска, связанного с возможной реализацией определенного состава угроз (т.е. относительно типовой модели угроз и нарушителей защиты информации).
Таким образом, назначение для того или иного контура безопасности уровня защиты информации означает, что реализация установленных для данного уровня защиты информации мер в идеальном случае обеспечит снижение риска, связанного с безопасностью информации до допустимого уровня.
Однако, как правило, реальная модель угроз конкретной финансовой организации может отличаться от типовой модели угроз, поэтому может потребоваться адаптация состава мер защиты информации.
Выбор и применение финансовой организацией мер защиты информации включает:
– выбор мер защиты информации, требования к содержанию базового состава которых установлены в разделе 7 «Требования к системе защиты информации» ГОСТ Р 57580.1;
– адаптацию (уточнение), при необходимости, выбранного состава и содержания мер защиты информации с учетом реальной модели угроз и нарушителей безопасности информации финансовой организации и структурно-функциональных характеристик объектов информатизации, в том числе автоматизированных систем, включаемых в контуры безопасности;
– исключение из базового состава мер защиты информации, установленных в разделе 7 ГОСТ Р 57580.1, мер, не связанных с используемыми информационными технологиями (например, меры Процесса 7 «Защита среды виртуализации» при условии, что в идентифицированных контурах безопасности не применяются технологии виртуализации);
– дополнение, при необходимости, адаптированного (уточненного) состава и содержания мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации, если такие требования распространяются на деятельность финансовой организации и отличаются от требований ГОСТ Р 57580.1;
– применение для каждого идентифицированного контура безопасности адаптированного (уточненного) и дополненного состава мер защиты информации в соответствии с положениями разделов 8 «Требования к организации и управлению защитой информации» и 9 «Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений» ГОСТ Р 57580.1.
В целом приведенный алгоритм во многом подобен действиям, описанным в Методических рекомендациях ФСТЭК России по реализации положений Приказов ФСТЭК России 17 (защита информации, не составляющей ГТ, в ГосИС) и 21 (защита ПДн).
На этапе адаптации (уточнения) базового состава мер защиты информации допускается применение компенсирующих мер защиты информации.
– невозможности технической реализации отдельных требуемых ГОСТ Р 57580.1 мер защиты информации;
– экономическая нецелесообразность применения требуемых ГОСТ Р 57580.1 мер защиты информации;
– применение компенсирующих мер защиты информации должно быть направлено на обработку операционного риска, связанного с реализацией тех же угроз безопасности информации, на нейтрализацию которых направлены меры из базового состава мер защиты информации ГОСТ Р 57580.1.
На включение в стандарт положений, допускающих применение компенсирующих мер защиты информации, настояли участники и организаторы торговых площадок, т.к. использование традиционных средств защиты информации ставило участников торгов в не равные условия и влияло на реализацию протоколов торговых операций.
Использование компенсирующих мер защиты информации выравнивало шансы участников торгов и при этом имело многолетнюю положительную практику.
Снижение операционного риска, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации, приведенных в разделе 7 «Требования к системе защиты информации» ГОСТ Р 57580.1.
Полнота и качество применения мер защиты информации достигается за счет внедрения в финансовой организации видов деятельности по планированию, реализации, проверке и совершенствованию системы защиты информации, осуществляемых в рамках системы организации и управления защитой информации требования к которой установлены в разделе 8 «Требования к организации и управлению защитой информации».
Кроме того, полнота и качество применения мер защиты информации достигается за счет применения мер защиты информации на этапах жизненного цикла автоматизированных систем и приложений, установленных в разделе 9 «Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений» ГОСТ Р 57580.1.
В соответствии с методологией ГОСТ Р 57580.1 оценка остаточного операционного риска осуществляется в отношении риска, связанного с неполным или некачественным применением мер защиты информации, входящих в систему защиты информации (раздел 7 ГОСТ Р 57580.1).
Для оценки остаточного риска, как уже отмечалось ранее, могут применяться Рекомендации в области стандартизации Банка России РС БР ИББС-2.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» и РС БР ИББС-2.7 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности».
Процедура оценки остаточного риска будет в будущем определена требованиями нормативных актов Банка России. Основой для этой процедуры оценки будут являться оценки показателей соответствия реализации системы защиты информации финансовой организации требованиям разделов 7, 8 и 9 ГОСТ Р 57580.1.
Оценка показателей соответствия реализации системы защиты информации финансовой организации требованиям, установленным в разделах 7, 8 и 9 ГОСТ Р 57580.1, осуществляется в соответствии с методикой, определенной в ГОСТ Р 57580.2 2018.
Определённые в ГОСТ Р 57580.1 меры системы защиты информации и системы организации и управления защитой информации в какой-то части расширяют и детализируют требования ФСТЭК России по защите персональных данных.
Это позволило сформулировать в ГОСТ Р 57580.1 рекомендации по выбору уровня защиты информации для обеспечения того или иного уровня защищенности персональных данных при их обработке в ИСПДн. В частности, в ГОСТ Р 57580.1 определено, что:
– для обеспечения соответствия четвертому уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования, установленные для уровня 3 – минимальный;
– для обеспечения соответствия третьему и второму уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования, установленные для уровня 2 – стандартный;
– для обеспечения соответствия первому уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования, установленные для уровня 1 – усиленный.
Справочная информация по составу и содержанию рекомендуемых организационных мер, подлежащих реализации финансовой организацией в связи с обработкой ПДн, приведена в приложении Б «Состав и содержание организационных мер, связанных с обработкой финансовой организацией персональных данных» к стандарту.
В целях реализации правильного и эффективного способа минимизации возможных проявлений в деятельности финансовой организации неприемлемых для нее операционных рисков, связанных с нарушением безопасности информации, положениями стандарта на руководство финансовой организации возлагается ответственность за принятие и контроль следующих внутренних документов:
– политики обеспечения защиты информации финансовой организации;
– области применения системы защиты информации, описанной как перечень бизнес-процессов, технологических процессов и (или) АС финансовой организации;
– целевых показателей величин допустимого остаточного операционного риска, связанного с нарушением безопасности информации.
В части требований к содержанию политик обеспечения защиты информации положениями стандарта определено, что они среди прочего должны определять:
– цели и задачи защиты информации;
– основные типы защищаемой информации;
– основные принципы и приоритеты выбора организационных и технических мер системы защиты информации и системы организации и управления защитой информации;
– положения о выделении необходимых и достаточных ресурсов, используемых при применении организационных и технических мер, входящих в систему защиты информации.
Также в стандарт транслированы общеизвестные и до последнего времени широко используемы в финансовой индустрии основополагающие принципы безопасности:
– «знать своего клиента»;
– «знать своего работника»;
– «необходимо знать»;
– «двойное управление».
В положениях стандарта отмечается, что данные принципами следует руководствоваться при проведении работ по предоставлению доступа к защищаемой информации финансовой организации, однако они могут быть использованы и гораздо шире.
Эти же принципы присутствуют и в положениях стандарта СТО БР ИББС 1.0, причем включались они в него как заимствуемые из международной практики. В СТО БР ИББС 1.0 они включались со ссылкой на ISO TR 13569:2005 «Financial services – Information security guidelines». Позже указанный технический отчет ИСО был гармонизирован в системе национальной стандартизации как ГОС Р ИСО ТО 13569, на который и дана ссылка в ГОСТ Р 57580.1.
Способы реализации мер защиты информации
Стандартом ГОСТ Р 57580.1 предусмотрены следующие способы реализации мер защиты информации:
– реализация путем применения организационной меры защиты информации, предусматривающей установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и(или) иных связанных с ним объектов;
– реализация путем применения технической меры защиты информации, реализуемой с помощью применения аппаратных, программных, аппаратно-программных средств и(или) систем;
– реализация является необязательной.
По решению финансовой организации, вместо организационной меры защиты информации допускается применения технической меры защиты информации.
Требованиями стандарта ГОСТ Р 57580.1 допускается применение компенсирующих мер защиты информации. Правила использования компенсирующих мер рассматривались ранее.
Требования стандарта ГОСТ Р 57580.1 к способу реализации мер защиты информации определены в зависимости от использования меры защиты в одном из 3-х уровней защиты информации:
– мера реализуется максимально «экономным» образом – организационными способами и методами;
– мера реализуется в полном объеме с обязательным использованием технических средств в дополнение к организационным мероприятиям данной меры защиты информации, если таковые имеются;
– мера может быть не предназначенной к использованию в составе данного уровня защиты.
Указанные способы реализации мер защиты информации, отражены в таблицах требований ГОСТ Р 57580.1, и обозначены следующим образом:
– «О» – реализация путем применения организационной меры защиты информации;
– «Т» – реализация путем применения технической меры защиты информации;
– «Н» – реализация является необязательной.
