Обзор требований к ИБ в финансовом секторе. Часть 3. ГОСТ Р 57580.1-2017

8 июня, 2020

Обзор требований к ИБ в финансовом секторе. Часть 3. ГОСТ Р 57580.1-2017

Продолжая тему обзора требований к ИБ в финансовом секторе по проведению оценки соответствия, в этот раз мы поговорим про Национальный стандарт ГОСТ Р 57580.1-2017. По словам экспертов PwC, с 2021 года сразу три Положения Банка России вводят обязательно к исполнению требования данного ГОСТа. Ранее мы уже писали про Положение 382-П и Положения 683-П и 672-П.

 

Национальный стандарт ГОСТ Р 57580.1-2017

ГОСТ Р 57580.1-2017 вводится вышеописанными Положениями Банка России. Но первоначально он был введён приказом Минкомсвязи РФ 2018 года, который  устанавливает требования для защиты биометрических персональных данных. Всего в его состав входит 408 организационных и технических мер защиты — это самый большой список организационных и технических мер и самый обширный документ, который вводит обязательные требования. Документ разбит на несколько подпунктов и сюда входят 8 процессов информационной безопасности, 4 направления защиты информации, а также требования к защите информации на этапах жизненного цикла систем. Так, в документы в качестве процессов ИБ перечислены: управление доступом; защита вычислительных систем; контроль целостности и защищенности информационной инфраструктуры; защита от вредоносного кода; предотвращение утечек информации; управление инцидентами защиты информации; защита среды виртуализации; защита доступа, осуществляемого с помощью мобильных устройств. А 4 направления защиты информации представляют собой: планирование, реализацию, контроль и улучшение. Тут надо сразу понимать, что не все указанные в документе требования будут применимы к каждой выборке для каждой конкретной кредитной организации при проведении оценки. Например, если в кредитной организации нет мобильных устройств, то эти требования не будут применимы.

В ГОСТ Р 57580 также определены и уровни защиты информации. Всего названо три уровня — усиленный, стандартный и минимальный. В основном на кредитные организации распространяется стандартный уровень защиты информации. А усиленный распространяется только на значимые кредитные организации.

 

Если говорить о новых требованиях, то здесь, например, есть такие как:

  • назначение для всех ресурсов доступа распределителя логического доступа (владельца ресурса доступа);
  • многофакторная аутентификация для администраторов;
  • двусторонняя аутентификация для информационных систем (например, веб-приложений), которые передают данные через интернет;
  • аутентификация рабочей станции, используемой для логического доступа;
  • контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных систем финансовой организации;
  • контроль состава ПО рабочих станций, которое запускается при старте операционной системы;
  • реализация мер защиты от вредоносного кода на уровне виртуальной информационной инфраструктуры, серверов, сетевого и почтового трафика, мобильных устройств, общественных объектов доступа (в том числе банкоматов, платёжных терминалов).

 

«Ранее этих требований в других нормативных актах Банка России не было. Нет, такое требование, как реализация защиты от вредоносного кода, конечно, было раньше, но сейчас оно устанавливает требование не только к установке антивирусной защиты на рабочих станциях и серверах, но а также на банкоматах, платёжных терминалах, мобильных устройствах, виртуальной инфраструктуре. И здесь существует не два уровня эшелона защиты, а даже три», — пояснил Олег Валеев.

 

Последующее введение ГОСТ Р 57580.1-2017

По его словам, следующий этап ввода и обеспечения защиты по ГОСТ Р 57580 — это 1 января 2021 года (вводится Положением 683-П). И здесь кредитным организациям необходимо внедрить либо усиленный, либо стандартный уровень защиты. Усиленный для системно значимых кредитных организаций, либо значимых на рынке платёжных услуг. Стандартный для остальных кредитных организаций. Необходимый уровень соответствия не ниже третьего нужно обеспечить уже с 1 января 2021 года, а 1 января 2023 года нужно обеспечить не ниже четвертого. Периодическую оценку соответствия необходимо проводить раз в два года и отчёт хранить в течение 5 лет.

Положение 684-П, которое распространяется на некредитные финансовые организации и на кредитные организации, которые выполняют какие-либо функции некредитных организаций, вводит ГОСТ Р 57580 также с 1 января 2021 года. Однако по Положению необходимо обеспечить соответствие не ниже 3-го уровня с 1 января 2022 года и не ниже 4-го — с 1 июля 2023 года. «То есть для некредитных организаций либо кредитных, которые выполняют часть функций некредитных организаций, требования немного отложены. И здесь оценку соответствия для большинства кредитных и некредитных организаций необходимо выполнять раз в 3 года», — рассказал Олег Валеев.

Если говорить про Положение 672-П, то здесь усиленные требования выполняют операционные клиринговые центры, а стандартный уровень защиты должны обеспечить участники ССНП и СБП. При этом здесь нет требования обеспечить третий уровень соответствия, необходимо обеспечить 4 уровень соответствия только с 1 января 2023 года. Относительно периодичности проведения оценки, то она должна проводиться раз в 2 года. Однако по просьбе Банка России может быть проведена дополнительная оценка соответствия.

Продолжение следует...

Смотрите также