ГОСТ 57580.1 и методика оценки ГОСТ 57580.2

Национальные стандарты ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», разработанные в 2017-2018 г., послужили логическим продолжением многолетней деятельности Банка России в сфере обеспечения информационной безопасности.

ГОСТ Р 57580.1-2017 определяет базовый состав организационных и технических мер, которые должны выполняться финансовыми организациями (кредитными организациями, некредитными финансовыми организациями, участниками Национальной платежной системы, участниками Единой биометрической системы), ГОСТ Р 57580.2-2018 – методику проведения оценки соответствия, требования к предоставлению отчетности в ЦБ РФ по итогам проведения аудита, формулы расчета уровня соответствия. ГОСТ Р 57580.2-2018 предназначен для использования юридическими лицами, осуществляющими оценку соответствия.

Требование обеспечения уровня защиты информации в соответствии с ГОСТ 57580.1-2017 включено в Положения Банка России №683-П, №684-П, №747-П.

Технические и организационные меры защиты информации

ГОСТ 57580.1-2017 определяет уровни защиты информации:

• минимальный – 3 уровень;
• стандартный – 2 уровень;
• усиленный – 1 уровень;

на основании которых определяется базовый состав мер безопасности.

Меры безопасности, в свою очередь, разделяются на организационные и технические.

Техническая мера защиты информации: Мера защиты информации, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем. Иными словами, это мера, которая обеспечивается применением информационных технологий.

Организационная мера защиты информации: Мера, не являющаяся технической мерой защиты информации, предусматривающая установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта
информатизации и (или) иных связанных с ним объектов.

ГОСТ допускает замену организационных мер – техническими мерами. В свое время при невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителя безопасности информации.

Оценка соответствия по ГОСТ 57580.2-2018

Приведенные в ГОСТ 57580.1-2017 меры защиты информации разделены на 3 категории, в пределах которых также выделены подгруппы (процессы, подпроцессы, направления):

• требования к системе защиты информации;
• требования к организации и управлению защитой информации;
• требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.

В ходе проведения оценки соответствия производится оценка каждой меры в процессе, по соответствующей шкале оценки с использованием следующих числовых значений:

• 0 — мера не выбрана (при отсутствии у проверяемой организации свидетельств выбора);
• 1 — мера выбрана (при предъявлении проверяемой организацией свидетельств выбора).

Значения оценок заносятся в форму, приведенные в таблицах В.1-В.8
(Приложения В) ГОСТ 57580.2-2018.

Оценку, характеризующую полноту реализации каждой из организационных и технических мер, направленных на обеспечение защиты информации (иными словам направления) определяют путем использования следующих числовых значений:

• 0 — полностью не реализуется;
• 0,5 — реализуется не в полном объеме;
• 1,0 — реализуется в полном объеме.

Значения оценок заносят в формы, приведенные в таблицах В.10 — В.13 (приложение В) ГОСТ 57580.2-2018, для каждого направления ЗИ системы организации и управления ЗИ и каждого процесса системы ЗИ.

Оценку, характеризующую реализацию каждой из организационных и технических мер ЗИ, применяемых на этапах жизненного цикла, АС и  установленных  в  ГОСТ  Р  57580.1—2017  (раздел 9), определяют путем использования следующих числовых значений:

• 0 — полностью не реализуется;
• 0,5 — реализуется не в полном объеме;
• 1,0 — реализуется в полном объеме.

Значения оценок заносят в форму, приведенную в таблице В.9 (приложение В) ГОСТ 57580.2-2018.

Числовые значения оценки вычисляют отдельно по каждому из процессов (подпроцессов) как среднеарифметическое значение. Числовые значения за направления по каждому из процессов вычисляются аналогично. Числовое значение оценки соответствия каждого процесса системы ЗИ вычисляют по формуле, отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение числовой оценки и суммы числовых значений оценок направлений с учетом их весовых коэффициентов.

Сроки соответствия ГОСТ 57580

Финансовые организации должны осуществлять защиту информации в соответствии с ГОСТ 57580.1-2017 с момента вступления в силу Положений Банка России №683-П, №684-П, №672-П, №747-П, однако:

• согласно абзацу первому подпункта 9.2 Положения №683-П Банки должны обеспечить проведение оценки соответствия уровню не ниже третьего согласно ГОСТ 57580.2-2018 с 1 января 2021 г.;
• согласно пунктам 5 и 6 Положения 684-П некредитные финансовые организации должны обеспечить проведение оценки соответствия с 1 января 2021 г., согласно пункту 8 – обеспечить должный уровень соответствия согласно ГОСТ 57580.2-2018 с 1 января 2022 г.;
• согласно абзацам 1-4 пункта 20 Положения №672-П Банки должны обеспечить проведение оценки соответствия с 1 июля 2021 г., согласно абзацу 5 пункта 20 – обеспечить уровень соответствия не ниже четвертого согласно ГОСТ 57580.2-2018 с 1 января 2023 г. Положение Банка России 672-П отменено вводом в действие положения № 747-П;
• согласно абзацам 1-4 пункта 19 Положения №747 участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны обеспечить проведение оценки соответствия с 1 июля 2021 г.; согласно абзацу 5 пункта 19 – обеспечить уровень соответствия не ниже четвертого согласно ГОСТ 57580.2-2018 с 1 января 2023 г.;
• согласно пункту 5 Приложения 3 Приказа №321 Минкомсвязи России Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют второму (стандартному) уровню защиты информации по ГОСТ Р 57580.1-2017.

Несоблюдение данных требований может привести к санкциям со стороны Банка России – предписаниям, штрафам, смене должностных лиц, приостановке деятельности финансовой организации и даже отзыву лицензии.