ГОСТ Р 57580.1-2017, как и любой другой стандарт на территории Российской Федерации, не является обязательным для применения. Однако Банком России выпущены нормативные акты, устанавливающие необходимость применения ГОСТ Р 57580.1-2017. В статье подробно описаны процесс подготовки к оценке соответствия, состав подсистем защиты информации, которые должны быть реализованы в банке, этапы реализации мероприятий по защите информации, схема оценки соответствия.
С появлением в 2017 г. первого Национального стандарта серии «Безопасность финансовых (банковских) операций» — ГОСТ Р 57580.1-2017 — начался новый этап развития стандартизации для кредитных и некредитных финансовых организаций.
Основываясь на риск-ориентированном подходе, описанном еще в конце 90-х годов в документах серии BS 7799, и продолжая начатую в комплексе документов Банка России адаптацию этого подхода к специфике российской банковской системы, ГОСТ Р 57580.1-2017 формализует подход к построению системы организации и управления защитой информации на базе следующих принципов:
Банк России в Положениях № 672-П, № 683-П и № 684-П установил необходимость применения ГОСТ Р 57580.1-2017 и определил:
Ссылки на необходимость применения ГОСТ для разных сегментов корпоративной сети банка представлены в табл. 1.
Рисунок "Цели ГОСТ Р 57580.1-2017"
Таблица 1. Применение ГОСТ для разных сегментов корпоративной сети банка
Идентификация объектов информатизации
Подготовка к внешней оценке соответствия (как и к внутренней самооценке/аудиту) должна начинаться с корректного определения и описания области применения ГОСТ Р 57580.1-2017, а именно с «идентификации и учета объектов информатизации».
Область применения ГОСТ Р 57580.1-2017 устанавливается следующими нормативными документами:
1. Приказом № 321;
2. Положением № 672-П;
3. Положением № 683-П;
4. Методическими рекомендациями № 4-МР;
5. Положением № 684-П (для некредитных финансовых организаций).
ГОСТ Р 57580.1-2017 уточняет, что объект информатизации — это совокупность объектов и ресурсов доступа, необходимость учета которых предусмотрена не только общими положениями ГОСТ, но и конкретными мерами защиты информации, проверяемыми при оценке соответствия (например, базовым составом мер по организации учета и контроля состава ресурсов и объектов доступа, мерами ИУ.1–ИУ.3).
Определение контуров безопасности
Следующим шагом в документационной подготовке к оценке соответствия является определение контуров безопасности (совокупности объектов информатизации с единой степенью критичности, в отношении которых должен применяться единый перечень мер защиты информации).
В кредитной организации можно выделить следующие контуры безопасности (в случае необходимости реализовать одинаковый уровень защиты или в случае выбора мер по наивысшему из применимых уровней защиты их можно объединить):
Для большинства финансовых организаций в соответствии с табл. 1 можно выделить один контур безопасности, в котором надо реализовать 2-й (стандартный) уровень защиты.
Выбор мер защиты информации
ГОСТ Р 57580.1-2017 вводит новый термин «выбор мер защиты информации», который раньше не применялся в нормативных документах Банка России (в отличие от документов ФСТЭК России, где необходимость выбора мер защиты информации определена в том числе Приказом ФСТЭК России от 18.02.2013 № 21).
Выбор мер — это процесс, результаты которого должны быть документированы. Более того, рекомендуется документировать не только результаты выбора мер защиты, но и результаты их адаптации, исключения и дополнения. Форму документирования банк может выбрать самостоятельно, однако рекомендуется, чтобы она включала:
Разработка и доработка внутренних документов
Следующим этапом подготовки к оценке соответствия являются разработка/доработка внутренних документов и реализация технических мер защиты информации на соответствующем уровне информационной инфраструктуры (в т.ч. при помощи дополнительных наложенных средств защиты информации).
Разрабатываемые документы должны:
Разработку нормативной документации по вопросам защиты информации рекомендуется вести с учетом положений, отраженных в РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0».
Применение технических мер защиты информации должно сопровождаться описанием порядка их реализации с обязательным указанием:
Названные положения могут быть отражены в документах, разрабатываемых при проектировании подсистем защиты информации или объектов информатизации, а также во внутренних документах, определяющих порядок реализации соответствующего процесса защиты информации.
Например, правила межсетевых экранов могут быть отражены в документе «Частная политика обеспечения информационной безопасности корпоративной сети».
Подсистемы защиты информации
Анализируя требования ГОСТ Р 57580.1-2017, можно выделить базовый состав подсистем защиты информации, которые должны быть реализованы в банке для стандартного уровня защиты (табл. 2). В каждом конкретном случае набор подсистем должен выбираться исходя из результатов адаптации мер защиты информации и особенностей ИТ-инфраструктуры финансовой организации.
Таблица 2. Базовый состав подсистем защиты информации
Применение PDCA-модели в защите информации
Все мероприятия по защите информации (как организационные, так и технические) в соответствии с ГОСТ Р 57580.1-2017 должны реализовываться по циклической PDCA-модели (модели Деминга–Шухарта Plan–Do–Check–Act).
На этапе «Реализация» (Do) должны обеспечиваться:
На этапе «Контроль» (Check) должны обеспечиваться:
На этапе «Совершенствование» (Act) должно обеспечиваться принятие решений о необходимости совершенствования процессов управления и обеспечения информационной безопасности:
Для получения положительных результатов при оценке соответствия результаты выполнения задач по защите информации на этапах контроля и совершенствования должны быть документированы.
Методика оценки соответствия
Нормативные документы Банка России устанавливают необходимость периодической оценки соответствия требованиям ГОСТ Р 57580.1-2017 с привлечением независимой аудиторской компании — лицензиата ФСТЭК России.
Оценка соответствия должна проводиться в соответствии с методикой, описанной в Национальном стандарте ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» (далее — Методика, ГОСТ Р 57580.2-2018).
Методикой установлены шесть качественных уровней, которые используются для оценки полноты реализации восьми основных процессов защиты информации. Более того, нормативными документами Банка России (Положениями № 672-П, № 683-П, № 684-П) установлены минимальные значения и сроки их достижения:
1) контур платежной системы Банка России (сервис срочного и несрочного перевода и сервис быстрых платежей): уровень соответствия не ниже четвертого с 1 января 2023 г.;
2) совокупность объектов информатизации, реализующих банковские операции (в соответствии со ст. 5 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности»):
3) для некредитных финансовых организаций, подпадающих под действие Положения № 684-П:
Оценка соответствия проводится по следующей схеме.
1. Определяется область оценки соответствия
Область оценки соответствия должна совпадать с областью применения ГОСТ Р 57580.1-2017. На основе предоставленной проверяемой организацией информации об области действия, о включенных объектах информатизации и местах их расположения проверяющая организация делает выборку, в рамках которой будет проводитьсяоценка соответствия.
2. Формируется перечень неоцениваемых показателей
Перечень включает в себя:
3. Проводится документационная проверка
Цель проверки — оценить документационное обеспечение защиты информации и сформировать план оценки соответствия на месте. Обычно в плане отражаются:
4. Проводится оценка соответствия на месте
Цель оценки — сформировать аудиторское суждение о состоянии процессов защиты информации. При оценке могут использоваться следующие формы сбора информации и свидетельств выполнения (реализации) мер:
Информация считается достоверной только в том случае, если она получена непосредственно в момент выполнения проверяемых процедур или функционирования процессов.
Если выборка не позволяет сделать однозначные суждения о выполнении и (или) невыполнении требований по защите информации, аудиторская организация должна расширить выборку.
5. Разрабатывается отчет по итогам проверки
Состав информации в отчете должен соответствовать требованиям Методики. В отчет должны быть включены оценки, характеризующие выбор банком организационных и технических мер защиты информации, применение организационных и технических мер на этапах жизненного цикла автоматизированных систем и характеризующие полноту реализации организационных и технических мер (всего 667 показателей).
Ключевые отличия Методики в части расчета этих показателей в сравнении с методикой оценки, определенной Положением № 382-П:
Итоговая оценка формируется независимо для каждого процесса (а их всего 8) как сумма значений по направлениям с весовыми коэффициентами:
Ключевым отличием в методике расчета итоговой оценки соответствия является необходимость корректировать оценку с учетом выявленных нарушений (значительных несоответствий). За каждое нарушение итоговая оценка снижается на 0,01. Такими нарушениями могут быть, например, следующие:
Отчет о результатах оценки соответствия должен иметь сквозную нумерацию страниц, регистрационный номер, должен быть прошит нитью, не имеющей разрывов, и скреплен печатью проверяющей организации с указанием количества листов в заверительной надписи, подписанной руководителем проверяющей группы (по факту это несколько томов).
Проверяемая организация должна хранить отчет не менее пяти лет.
Введя новые понятия и сделав акцент на ключевые меры защиты информации для финансовых организаций разных размеров и степени критичности для банковской системы, ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 стали базовыми документами, на которых будут строиться отраслевые требования к созданию и оценке соответствия систем защиты информации. Для большинства банков данные изменения будут скорее техническими, так как необходимость выполнять требования по защите информации и проходить оценку соответствия для них не является чем-то новым.