Анализ основных российских и зарубежных нормативных документов в области информационной безопасности. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018


 
Руслан Рахметов, Security Vision

Рассмотрев в предыдущей публикации стандарт ГОСТ Р 57580.1-2017, устанавливающий требования к организационным и техническим мерам защиты информации, полноте их реализации (по циклу Деминга) и к защите информации на различных этапах жизненного цикла IT-систем и приложений, следует перейти ко второй части данного стандарта - ГОСТ Р 57580.2-2018, который описывает методику оценки соответствия выполненных требований целевым.

Целевые требования сформулированы как в самом ГОСТ Р 57580.2-2018 (указан рекомендуемый Центробанком числовой уровень итоговой оценки соответствия защиты информации), так и в нижеприведенных Положениях Банка России.

Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» обязывает кредитные организации выполнять нормы 3-его уровня соответствия к 01.01.2021 и нормы 4-го уровня - к 01.01.2023.

Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» обязывает некредитные финансовые организации выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня - к 01.01.2023.

Положение №672-П «О требованиях к защите информации в платежной системе Банка России» обязывает участников обмена, т.е. участников платежной системы Банка России, операционные и платежные клиринговые центры, выполнять нормы не ниже 4-го уровня соответствия к 01.01.2023.

Положение ЦБ РФ №683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные - в соответствии со стандартным (2-ым) уровнем защиты.

Положение ЦБ РФ №684-П требует реализации разных уровней защиты информации для некредитных финансовых организаций в зависимости от выполняемых ими функций:  центральные контрагенты и центральный депозитарий должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные некредитные финансовые организации, такие как специализированные депозитарии, клиринговые организации, организаторы торговли, страховые компании, пенсионные фонды, репозитарии - в соответствии со стандартным (2-ым) уровнем защиты.

Положение ЦБ РФ №672-П требует от операционных и платежных клиринговых центров выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а от участников обмена при осуществлении переводов денежных средств с использованием сервиса срочного, несрочного перевода и сервиса быстрых платежей - в соответствии со стандартным (2-ым) уровнем защиты.

Стандарт ГОСТ Р 57580.2-2018 требует осуществлять следующие виды оценок соответствия нормам стандарта ГОСТ Р 57580.1-2017:

1. Оценку выбора организационных и технических мер защиты информации проводить по каждому из восьми основных процессов информационной безопасности. Ниже приведен перечень данных процессов:

  • процесс 1 «Обеспечение защиты информации при управлении доступом» и подпроцессы:

- «Управление учетными записями и правами субъектов логического доступа»;
- «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;
- «Защита информации при осуществлении физического доступа»;
- «Идентификация, классификация и учет ресурсов и объектов доступа»;
  • процесс 2 «Обеспечение защиты вычислительных сетей» и подпроцессы:

- «Сегментация и межсетевое экранирование вычислительных сетей»;
- «Выявление сетевых вторжений и атак»;
- «Защита информации, передаваемой по вычислительным сетям»;
- «Защита беспроводных сетей»;
  • процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»;

  • процесс 4 «Защита от вредоносного кода»:

  • процесс 5 «Предотвращение утечек информации»;

  • процесс 6 «Управление инцидентами защиты информации» и подпроцессы:

- «Мониторинг и анализ событий защиты информации»;
- «Обнаружение инцидентов защиты информации и реагирование на них»;
  • процесс 7 «Защита среды виртуализации»;

  • процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».

Для каждого из процессов и вложенных подпроцессов выполняется количественная оценка выбранности той или иной меры защиты информации (0 - если мера не выбрана и решение по выбору меры не принималось, 1 - если мера выбрана и решение по выбору меры принималось), затем подсчитывается среднее арифметическое значение для каждого из восьми процессов. Данные значения заносятся в итоговую таблицу оценки.

2. Оценку качества и полноты реализации применяемых мер защиты информации выполнять по каждому из четырех направлений цикла Деминга:

  • направление 1 «Планирование процесса системы защиты информации»;

  • направление 2 «Реализация процесса системы защиты информации»;

  • направление 3 «Контроль процесса системы защиты информации»;

  • направление 4 «Совершенствование процесса системы защиты информации».

Для каждого из направлений в разрезе каждого из восьми процессов выставляется оценка полноты реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется), далее рассчитываются средние арифметические значения для каждого направления. Данные значения заносятся в итоговую таблицу оценки.

3. Оценку выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений проводить для каждой из реализованных мер соответствующего этапа:

  • этап 1 «Создание (модернизация) систем»;

  • этап 2 «Ввод в эксплуатацию систем»;

  • этап 3 «Эксплуатация (сопровождение) систем»;

  • этап 4 «Эксплуатация (сопровождение) и снятие с эксплуатации систем».

Для каждого из этапов жизненного цикла осуществляется оценка реализации мер защиты информации (0 - если мера не реализуется, 0.5 - если мера реализуется частично, 1 - если мера реализуется). Далее рассчитывается среднее арифметическое значение, которое заносится в итоговую таблицу оценки.

Затем следует рассчитать итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, при этом в расчете учитывают заданные стандартом весовые коэффициенты для каждого из четырех направлений цикла Деминга (так, направление «Реализация процесса» имеет максимальный вес, а «Совершенствование» - минимальный). В случае, если оцениваются несколько контуров безопасности, итоговое среднеарифметическое значение количественной оценки соответствия вычисляется для каждого из контуров отдельно, а затем, в зависимости от наличия контуров с разными уровнями защиты информации и с учетом соответствующих весовых коэффициентов, вычисляется итоговое значение для такой комплексной системы.

Наконец, полученное итоговое среднеарифметическое значение количественной оценки соответствия для каждого из восьми процессов, которое может принимать значение от 0 (минимальное) до 1 (максимальное), сравнивается с целевыми значениями для определения качественной оценки уровня соответствия процессов системы защиты информации: от нулевого уровня соответствия (итоговое значение равно 0) до пятого (итоговое значение находится в пределах от 0.9 до 1). При этом в стандарте указан рекомендуемый Центральным Банком числовой уровень итоговой оценки соответствия защиты информации в значении больше 0.85, что соотносится с четвертым уровнем соответствия.

Итоговая оценка рассчитывается на основании средней оценки соответствия всех процессов защиты информации, оценки полноты выполнения требований защиты информации на различных этапах жизненного цикла IT-систем и приложений, а также количества нарушений защиты информации, которые будут выявлены членами проверяющей группы в процессе оценки соответствия организации стандарту ГОСТ Р 57580.1-2017.

Следует учесть, что при оценке организации может быть определен перечень неоцениваемых областей (out-of-scope), т.е. таких, которые связаны с не используемыми в проверяемой организации технологиями и которые не являются необходимыми для нейтрализации актуальных угроз ИБ, определенных в модели угроз и нарушителя.

Проверяющая организация должна обладать лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (как минимум на один из видов работ и услуг, указанных в пунктах б), д), е) «Положения о лицензировании деятельности по технической защите конфиденциальной информации»). Кроме этого, в стандарте описаны рекомендации по самому процессу оценки соответствия, среди которых как анализ документов проверяемой организации и опрос её ответственных сотрудников, так и анализ результатов самостоятельных наблюдений проверяющих, оценка параметров настройки технических систем и использование средств сбора свидетельств применения мер защиты. В процессе аудита проверяющие определяют области оценки и целевые уровни защиты (при этом нормативных актов ЦБ РФ по определению уровней защиты пока нет), осуществляют изучение и сбор информации по обеспечению мер защиты в проверяемой финансовой организации, расчет числовых показателей, заполнение таблиц оценок и отчетов, формы и требования к которым сформулированы в ГОСТ Р 57580.2-2018. Данный стандарт также рекомендует руководствоваться адаптированным международным стандартом ГОСТ Р ИСО 19011-2012 «Руководящие указания по аудиту систем менеджмента», который постулирует следующие принципы проведения аудита: целостность (ответственность), беспристрастность, профессиональная осмотрительность, конфиденциальность, независимость, воспроизводимость свидетельств и заключений аудита.

Финансовая организация, готовящаяся к прохождению аудита на соответствие стандарту ГОСТ Р 57580.1-2017, должна разработать модели угроз и нарушителя, осуществить выбор и реализацию мер защиты (в т.ч. обосновать выбранные и компенсирующие меры), провести GAP-анализ и самостоятельную предварительную оценку соответствия, разработать и утвердить недостающие внутренние нормативные документы, а также оценить текущие настройки средств и систем защиты информации.

Группа Компаний «Интеллектуальная Безопасность» обладает необходимой лицензией на деятельность по технической защите конфиденциальной информации, а также соответствующими компетенциями в области защиты информации, что позволяет проводить аудиты финансовых организаций на соответствие стандарту ГОСТ Р 57580.1-2017.

Продукты Security Vision помогают финансовым организациям выполнять требования стандарта ГОСТ Р 57580.1-2017 в части реализации процесса 6 «Управление инцидентами защиты информации» и подпроцессов «Мониторинг и анализ событий защиты информации» и «Обнаружение инцидентов защиты информации и реагирование на них»:

Условное обозначение и номер меры

Содержание меры системы защиты информации

Продукт Security Vision, реализующий данную меру

РИ.1

Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации.

Security Operation Center;

Incident Response Platform

РИ.З

Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации.

Security Operation Center;

Incident Response Platform

РИ.5

Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений.

Security Operation Center;

Incident Response Platform

РИ.6

Установление и применение единых правил реагирования на инциденты защиты информации.

Incident Response Platform

РИ.7

Определение и назначение ролей, связанных с реагированием на инциденты защиты информации.

Incident Response Platform

РИ.8

Определение и назначение ролей, связанных с реагированием на инциденты защиты информации — ролей группы реагирования на инцидентызащиты информации (ГРИЗИ).

Incident Response Platform

РИ.9

Выделение в составе ГРИЗИ следующих основных ролей:

  • руководитель ГРИЗИ, в основные функциональные обязанности которого входит обеспечение оперативного руководства реагированием на инциденты защиты информации;

  • оператор-диспетчер ГРИЗИ, в основные функциональные обязанности которого входит обеспечение сбора и регистрации информации об инцидентах защиты информации;

  • аналитик ГРИЗИ, в основные функциональные обязанности которого входит выполнение непосредственных действий по реагированию на инциденты защиты информации;

  • секретарь ГРИЗИ, в основные функциональные обязанности которого входят документирование результатов реагирования на инциденты защиты информации, формирование аналитических отчетов, материалов.

Incident Response Platform

РИ.10

Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных

инцидентах защиты информации.

Incident Response Platform

РИ.11

Предоставление членам ГРИЗИ прав логического и физического доступа и

административных полномочий, необходимых для проведения реагирования на инциденты защиты информации.

Incident Response Platform

РИ.12

Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:

  • анализ инцидента;

  • определение источников и причин возникновения инцидента;

  • оценку последствий инцидента на предоставление финансовых услуг;

  • реализацию бизнес-процессов или технологических процессов финансовой организации;

  • принятие мер по устранению последствий инцидента;

  • планирование и принятие мер по предотвращению повторного возникновения инцидента.

Incident Response Platform

РИ.13

Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации.

Incident Response Platform

РИ.14

Установление и применение единых правил закрытия инцидентов защиты информации.

Incident Response Platform