Краткий обзор нового ГОСТ Р 57580.1-2017 Защита информации финансовых организаций

С позволения Андрея Алябьева публикуем подготовленный им обзор свежего ГОСТ.

8 августа 2017 года Приказом Федерального агентства по техническому регулированию и метрологии № 822-ст утвержден национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер”.

ГОСТ Р 57580.1-2017 распространяется на банки, некредитные финансовые организации, других субъектов НПС. Вступает в силу с 1 января 2018 года.

Что принципиально нового?

Уровни защиты информации

  • уровень 3 – минимальный (соответствует 4-ому УЗПДн);
  • уровень 2 – стандартный (соответствует 2-ому и 3-ему УЗПДн);
  • уровень 1 – усиленный (соответствует 1-ому УЗПДн).

Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации). Пример: платежные и информационные технологические процессы могут составлять разные контуры безопасности.

Формируется один или несколько контуров безопасности.

Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:

  • вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности;
  • объема финансовых операций;
  • размера организации;
  • значимости для финансового рынка и НПС.

 

 

Для каждого из трех уровней защиты требование выполняется указанным способом:

  • “Н” – реализация является необязательной;
  • “О” – реализация путем применения организационной меры;
  • “Т” – реализация путем применения технической меры.

Состав мер защиты может адаптироваться.

Сравнение с СТО БР ИББС-1.0-2014

Структура ГОСТа

Разделы 1-5. Область применения, нормативные ссылки, термины и определения, обозначения и сокращения;

Раздел 6. Общие положения (методология применения требований и определение уровней защиты);

Раздел 7. Требования к системе защиты информации (СИБ);

  • Управление доступом (IDM);
  • Защита сетей (IDS/IPS, NGFW);
  • Контроль целостности и защищенности инфраструктуры (Vulnerability Scanner);
  • Защита от вредоносного кода (AV);
  • Предотвращение утечек (DLP);
  • Управление инцидентами (SIEM);
  • Защита среды виртуализации (СЗИ для виртуальных сред);
  • Защита информации при использовании мобильных устройств (MDM).

Раздел 8. Требования к системе управления защитой информации (СОИБ/СМИБ);

  • Планирование процесса системы защиты;
  • Реализация;
  • Контроль;
  • Совершенствование.

Раздел 9. Требованияк ЗИ на этапах ЖЦ АС и приложений;

  • Приложение А. Базовая модель угроз и нарушителя;
  • Приложение Б. Орг.меры,связанные с обработкой ПДн;
  • Приложение В. Перечень событий ЗИ, потенциально связанных с инцидентами.

Интересное из требований (ГОСТ Р 57580.1-2017)

Мера защитыСодержание мер системы защитыУЗ 3УЗ 2УЗ 1
УЗП.6Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)ООО
РД.12Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМНТТ
 ФД.6 Назначение для всех помещений распорядителя физического доступаОО О
ВСА.9Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальномуНТТ
ЗБС.1Аутентификация устройств доступа точками доступа по протоколу Wi-FiТТТ
ЦЗИ.16Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуацийООО
ЗВК.13Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверовТНН
ЗВК.14Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафикаНТТ
ПУИ.3Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характераНТТ
РИ.9Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарьНОО
 ЗСВ.27 Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами ООО
 ЗУД.3 Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM НТТ
 ЗУД.11 Обеспечение защиты мобильных устройств от воздействий ВК ТТТ

Текст исходно опубликован в блоге Валерия Естехина.

Поделиться записью: