
С позволения Андрея Алябьева публикуем подготовленный им обзор свежего ГОСТ.
8 августа 2017 года Приказом Федерального агентства по техническому регулированию и метрологии № 822-ст утвержден национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер”.
ГОСТ Р 57580.1-2017 распространяется на банки, некредитные финансовые организации, других субъектов НПС. Вступает в силу с 1 января 2018 года.
Что принципиально нового?
Уровни защиты информации
- уровень 3 – минимальный (соответствует 4-ому УЗПДн);
- уровень 2 – стандартный (соответствует 2-ому и 3-ему УЗПДн);
- уровень 1 – усиленный (соответствует 1-ому УЗПДн).
Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации). Пример: платежные и информационные технологические процессы могут составлять разные контуры безопасности.
Формируется один или несколько контуров безопасности.
Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:
- вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности;
- объема финансовых операций;
- размера организации;
- значимости для финансового рынка и НПС.
Для каждого из трех уровней защиты требование выполняется указанным способом:
- “Н” – реализация является необязательной;
- “О” – реализация путем применения организационной меры;
- “Т” – реализация путем применения технической меры.
Состав мер защиты может адаптироваться.
Сравнение с СТО БР ИББС-1.0-2014
Структура ГОСТа
Разделы 1-5. Область применения, нормативные ссылки, термины и определения, обозначения и сокращения;
Раздел 6. Общие положения (методология применения требований и определение уровней защиты);
Раздел 7. Требования к системе защиты информации (СИБ);
- Управление доступом (IDM);
- Защита сетей (IDS/IPS, NGFW);
- Контроль целостности и защищенности инфраструктуры (Vulnerability Scanner);
- Защита от вредоносного кода (AV);
- Предотвращение утечек (DLP);
- Управление инцидентами (SIEM);
- Защита среды виртуализации (СЗИ для виртуальных сред);
- Защита информации при использовании мобильных устройств (MDM).
Раздел 8. Требования к системе управления защитой информации (СОИБ/СМИБ);
- Планирование процесса системы защиты;
- Реализация;
- Контроль;
- Совершенствование.
Раздел 9. Требованияк ЗИ на этапах ЖЦ АС и приложений;
- Приложение А. Базовая модель угроз и нарушителя;
- Приложение Б. Орг.меры,связанные с обработкой ПДн;
- Приложение В. Перечень событий ЗИ, потенциально связанных с инцидентами.
Интересное из требований (ГОСТ Р 57580.1-2017)
Мера защиты | Содержание мер системы защиты | УЗ 3 | УЗ 2 | УЗ 1 |
УЗП.6 | Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа) | О | О | О |
РД.12 | Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ | Н | Т | Т |
ФД.6 | Назначение для всех помещений распорядителя физического доступа | О | О | О |
ВСА.9 | Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному | Н | Т | Т |
ЗБС.1 | Аутентификация устройств доступа точками доступа по протоколу Wi-Fi | Т | Т | Т |
ЦЗИ.16 | Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций | О | О | О |
ЗВК.13 | Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов | Т | Н | Н |
ЗВК.14 | Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика | Н | Т | Т |
ПУИ.3 | Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера | Н | Т | Т |
РИ.9 | Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь | Н | О | О |
ЗСВ.27 | Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами | О | О | О |
ЗУД.3 | Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM | Н | Т | Т |
ЗУД.11 | Обеспечение защиты мобильных устройств от воздействий ВК | Т | Т | Т |
Текст исходно опубликован в блоге Валерия Естехина.