1 марта, 2022

Проблемы выполнения требований ГОСТ Р 57580.1–2017

В соответствии с действующими пунктами Положений Банка России 683-П, 684-П (ныне 757-П) финансовые кредитные организации должны обеспечивать 3 уровень соответствия по стандарту ГОСТ Р 57580.1–2017, а некредитные финансовые организации должны провести оценку соответствия по тому же стандарту. В данной статье рассматривается проблема выполнения требований ГОСТ с применением технических средств защиты информации.

Все меры защиты информации в стандарте разделены на группы из восьми процессов.

Помимо этого, для каждого процесса предусмотрены дополнительные меры в рамках направления «Организация и управление защитой информации», которое построено по принципу цикла Деминга или PDCA (Plan-Do-Check-Act). В стандарте соответствующие этапы цикла именуются, как: Планирование, Реализация, Контроль, Совершенствование.

Состав обязательных мер отличается в зависимости от одного из трех уровней защиты информации. Требования по соответствию финансовой организации определенному уровню защиты отражены в пунктах Положений 683-П, 757-П. Меры защиты информации отличаются по способу реализации: организационные или технические. Наиболее полный набор мер определен для усиленного уровня защиты информации, поэтому далее материал статьи опирается именно на него, чтобы охватить весь спектр возможных технических решений.

Первый процесс «Обеспечение защиты информации при управлении доступом» включает в себя наибольшее количество мер защиты информации из стандарта. В нем описаны меры по идентификации, аутентификации сотрудников (РД), управлению учетными записями, управлению правами доступа (УЗП). Меры из данного процесса можно закрыть такими средствами, как: Identity Management (IdM)-системы, Privileged Access Management (PAM)-системы и средства защиты от несанкционированного доступа (СЗИ от НСД). IdM-системы, PAM-системы и СЗИ от НСД перекрывают значительную часть мер из ГОСТ Р 57580.1–2017 в подгруппах УЗП и РД, а также часть мер по идентификации и учету ресурсов доступа. Решения класса IdM нацелены на автоматизацию и построение централизованного процесса управления учетными записями пользователей из разных информационных систем. К таким решениям относятся, например, Oracle Identity Manager, IBM Security Identity Manager, One Identity Manager. PAM-системы решают задачу защиты критичных ресурсов от несанкционированных действий привилегированных пользователей. Компания Траст Технолоджиз предлагает своим Заказчикам PAM решения Indeed Privileged Access Manager и Fudo PAM. Более подробно ознакомится со списком мер, которые закрываются с внедрением PAM-систем, можно перейдя по ссылке. СЗИ от НСД предназначены для предотвращения или существенного затруднения доступа к защищаемой информации. Таким средством является, например, Secret Net Studio от Кода безопасности. В ГОСТ также имеются меры по двухфакторной аутентификации (2FA) сотрудников. В качестве средств двухфакторной аутентификации применяются как более простые системы, такие как токены совместно с локальными средствами защиты на конечных узлах, так и более глобальные с созданием единой точки управления и защиты доступа, такие как Indeed Access Manager или SafeNet Authentication Service.

Меры защиты информации из второго процесса "Обеспечение защиты вычислительных сетей" направлены на осуществление межсетевого экранирования, сегментации внутренних сетей (СМЭ), а также обеспечение защиты информации, передаваемой через внешние сети (ЗВС) и выявление сетевых атак, нацеленных на финансовые организации (ВСА). Средства для защиты сетей внедрены и активно применяются во многих организациях. К ним относятся и межсетевые экраны уровня L3, L7 модели OSI, и IDS/IPS системы, и VPN-шлюзы. Межсетевые экраны закрывают основные меры из подгруппы СМЭ. Средства IDS/IPS предназначены для выполнения мер в подгруппе ВСА. Меры в подгруппе ЗВС возможно закрыть внедрением решений, в которых применяется технология VPN.   Лидерами на рынке средств защиты сети являются такие компании, как Check Point, Fortinet, PaloAlto. Из отечественных решений представлены: АПКШ «Континент», ПАК «С-Терра Шлюз» и КШ «КриптоПро NGate».

К процессу "Контроль целостности и защищенности информационной инфраструктуры" относятся меры по контролю отсутствия известных уязвимостей защиты информации (меры ЦЗИ.1-ЦЗИ.11), контролю размещения, хранения и обновления ПО (меры ЦЗИ.12-ЦЗИ.19), а также меры по  контролю состава и целостности ПО (меры ЦЗИ.20-ЦЗИ.26). Меры из первой подгруппы и выборочно из двух других закрывают сканеры уязвимостей, например Max Patrol 8 от Positive Technologies или Rapid7 Nexpose. Меры из второй подгруппы может закрыть построенный в организации процесс управления обновлениями ПО или Patch Management. Как и в случае с другими процессами, для процесса управления обновлениями существуют средства автоматизации, такие как Ivanti Patch Management.  Для выполнения мер из третьей подгруппы применяются средства защиты от НСД и/или решения класса Endpoint Protection, к примеру Kaspersky Endpoint Security. Помимо мер ЦЗИ.12-ЦЗИ.19, Endpoint клиенты позволяют закрыть ряд требований из первого, четвертого и пятого процессов. 

В процессе “Защиты от вредоносного кода” применяется подход по выстраиванию эшелонированной защиты от вредоносного кода на разных уровнях инфраструктуры. На уровне конечных узлов должны применяться Endpoint антивирусные решения, в частности от Лаборатории Касперского, Dr.Web, Trend Micro. Для уровня контроля межсетевого трафика и почтовых отправлений применяются как отдельные шлюзы безопасности, так и модули в составе комплексных систем по типу Next Generation Firewall (NGFW). Такие решения есть у Checkpoint, Fortinet, и ряда других разработчиков средств защиты информации. 

В рамках процесса "Предотвращение утечек информации" отражены меры, которые можно разделить на две подгруппы: меры, регламентирующие контроль передачи конфиденциальной информации через отчуждаемые носители и меры, регламентирующие контроль передачи конфиденциальной информации через внешнюю сеть. Для контроля передачи информации через отчуждаемые носители могут применяться, упомянутые ранее, средства защиты от НСД/Endpoint Protection. Для комплексной защиты от утечки конфиденциальной информации используются DLP-системы. Однако у DLP-систем есть ряд особенностей работы, связанных с качеством распознавания языка конечного пользователя. 

На российском рынке DLP широко представлены компании SearchInform, Zecurion, Falcongaze.

Процесс "Управление инцидентами защиты информации" включают в себя меры по мониторингу и анализу событий защиты информации и меры по обнаружению и реагированию на инциденты защиты информации. Под мониторингом событий защиты информации подразумевается анализ событий от различных источников: ПО, сетевые устройства, средства защиты и пр. Для того, чтобы закрыть требования ГОСТ, должны применяться средства централизованного сбора данных о событиях защиты информации, а именно решения класса SIEM. К таким продуктам относятся, например, MaxPatrol SIEM от Positive Technologies или FortiSIEM от Fortinet. Для эффективного реагирования и расследования инцидентов ИБ в организации должен быть правильно выстроен процесс управления инцидентами. Данный процесс поможет упростить и автоматизировать отдельный класс систем под названием IRP (Incident Response Platform). IRP-системы позволяют выполнять операции по сбору дополнительной информации об инцидентах, осуществлять экстренные действия по реагированию и устранению последствий. Такое решение есть, к примеру, у компании Security Vision. Помимо этого, к защитным средствам для процесса управления инцидентами относятся системы класса NTA (Network Traffic Analysis). С их помощью можно выполнять анализ сетевого трафика внутри инфраструктуры организации на предмет подозрительной активности, а также проводить ретроспективный анализ для помощи в расследовании инцидентов. Решения Positive Technologies NAD и Cisco Steathwatch относятся к таким системам.

Процесс «Защита среды виртуализации» вносит дополнительные меры защиты, характерные только для виртуальной инфраструктуры. Они должны применяться совместно с прочими мерами стандарта из других процессов: мерами по антивирусной защите, по защите от НСД, по межсетевому экранированию на уровне L3, L7. Для комплексной защиты сред виртуализации существуют специализированные средства, такие как vGate от Кода Безопасности или решения, предназначенные для защиты облачной инфраструктуры и сред контейнеризации, например Check Point CloudGuard или Red Hat OpenShift.

Последний процесс "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств" включает в себя меры по защите информации от раскрытия и модификации при осуществлении удаленного доступа, меры по защите внутренних вычислительных сетей при осуществлении удаленного доступа и меры  по защите информации от раскрытия и модификации при ее обработке и хранении на мобильных устройствах.  Для выполнения мер из первой подгруппы, удаленные пользователи должны подключаться через защищенный VPN канал. Меры из второй подгруппы закрываются двухфакторной аутентификацей пользователей после установления защищенного соединения.  Третья подгруппа мер обязывает устанавливать антивирусные Endpoint клиенты на корпоративные мобильные устройства. Помимо этого, в ГОСТ предусматривается применение решений класса MDM (Mobile Device Management). MDM позволяют управлять и защищать мобильные устройства разного типа, от ноутбуков до смартфонов. Лидерами на рынке MDM решений являются Mobile Iron и VMware Workspace ONE.

В разделе “Организация и управление защитой информации” также отражены меры, которые возможно закрыть техническими средствами. В частности, в нем представлены меры по обучению и повышению квалификации сотрудников организации в части информационной безопасности. Данные меры закрываются внедрением специальных систем по автоматизации процесса обучения и контроля полученных навыков, такой как у компании Phishman. Помимо этого, в разделе имеются меры по учету объектов и ресурсов доступа, которые дублируются также в первом процессе. В решении такой задачи помогут системы инвентаризации ИТ-активов. К примеру, у компании Ivanti есть ряд решений для автоматизации данного процесса.

ГОСТ Р 57580.1–2017 описывает общие подходы и требования к построению системы информационной безопасности в финансовых организациях. Выбор конкретных мер защиты остается за владельцем информационной системы. Ниже приведена сводная таблица решений, которые возможно применять для обеспечения должного уровня безопасности.

Смотрите также