Главное про ГОСТ 57580

ГОСТ Р 57580.1-2017

Надзорная практика по контролю и проверке исполнения требований Положения №382-П показала, что сотрудникам надзорного блока недостает знаний для проверки исполнения технических требований, включенных в Положение №382-П (много требований в него «перетекло» из стандарта Банка России СТО БР ИББС-1.0). В тоже время, исчерпывающие знания есть у участников рынка средств и услуг защиты информации – лицензиатов ФСТЭК России.

С принятием и введением в действие Федерального закона № 162-ФЗ «О стандартизации» появились законные основания за рамками области действия технических регламентов и действия статьи 5 (национальная оборона и национальная безопасность) № 184-ФЗ «О техническом регулировании» изложить техническую часть обязательных требований в форме национального стандарта. Включение на него ссылок в нормативных актах Банка России и определит, в какой части его требования обязательны и для кого.

Такое разделение требований позволяет в рамках действующего законодательства обеспечить подключение участников рынка средств и услуг защиты информации – лицензиатов ФСТЭК России – к работам по оценке соответствия в рамках опять же соответствующей системы оценки соответствия. Это позволило бы снять нагрузку с сотрудников надзорного блока Банка России по выполнению несвойственных им работ – контролю исполнения технических норм по защите информации, а более сконцентрироваться на содержательной стороне надзора – оценке системы управления бизнес-рисками финансовой организации и достаточности в свете этого у неё капитала, активов и пр.

Для целей обеспечения условий оценки соответствия требованиям ГОСТ Р 57580.1 был разработан и принят в марте 2018 года второй «сателлитный» национальный стандарт – ГОСТ Р 57580.2 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Основные его положения и способы использования будут рассмотрены позже в рамках соответствующих тем.

Для надлежащего контроля качества работ по оценке соответствия требованиям стандарта ГОСТ Р 57580.1 с использованием методики по ГОСТ Р 57580.2 должна быть создана соответствующая система добровольной сертификации (СДС). Обязательной она не может быть в соответствии с нормами законодательства. Процедуры и работы в рамках данной системы и могут обеспечить надлежащий контроль полноты и качества работ оценщиков – от аккредитации в этой системе, до анализа отчетов по оценке соответствия органом сертификации системы.

Сертификаты, выдаваемые в рамках такой СДС, должны включать исчерпывающую информацию для принятия решений в рамках оценки системы управления бизнес-рисками финансовой организации в части учета её рисков ИБ и ИТ-рисков (часто на практике это одно и то же) и достаточности в свете этого у неё капитала, активов и пр.

Правилами функционирования СДС могут быть определены следующие схемы подтверждения соответствия (сертификации):

  • орган по сертификации проводит проверку результатов оценки соответствия с посещением (при необходимости) объекта оценки;
  • орган по сертификации проводит проверку результатов оценки соответствия без посещения объекта оценки.

Также правилами функционирования СДС могут быть определены следующие схемы организации инспекционного контроля сертифицированного объекта сертификации:

  • по решению ЦО Системы ОС проводит инспекционный контроль с посещением объекта оценки;
  • по решению ЦО Системы ОС проводит инспекционный документарный контроль без посещения объекта оценки;
  • инспекционный контроль не проводится.

Какой будет СДС под ГОСТ Р 57580.1 покажет время. Вернемся к рассмотрению основополагающего стандарта требований.

Основными целями стандарта ГОСТ Р 57580.1 являются:

  • определение уровней защиты информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации (далее при совместном упоминании — мер защиты информации), применяемых финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России;
  • достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска (риск-аппетиту);
  • обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями.

ГОСТ Р 57580.1 определяет требования к содержанию базового состава мер защиты информации, которые применяются финансовыми организациями для реализации требований к обеспечению защиты информации, и содержит:

  • описание общей методологии применения финансовыми организациями требований к содержанию базового состава мер защиты информации;
  • требования к содержанию базового состава мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации;
  • требования к содержанию базового состава мер защиты информации, направленных на обеспечение должной полноты и качества реализации системы защиты информации;
  • требования к содержанию базового состава мер по обеспечению защиты информации на этапах жизненного цикла АС и приложений;
  • описание основных положений базовой модели угроз и нарушителей финансовых организаций;
  • состав и содержание рекомендуемых организационных мер, связанных с обработкой финансовой организацией персональных данных;
  • перечень событий защиты информации, потенциально связанных с НСД и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа.

Область применения ГОСТ Р 57580.1 охватывает следующие категории финансовые организации:

  • кредитные организации;
  • некредитные финансовые организации;
  • субъекты национальной платежной системы.

Обязанность финансовых организаций применять меры защиты информации, определенные в ГОСТ Р 57580.1, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на указанный национальный стандарт.

Меры защиты информации, определяемые ГОСТ Р 57580.1, применяются к совокупности объектов информатизации, включая АС, используемых для выполнения бизнес-процессов и(или) технологических процессов, связанных с предоставлением следующих финансовых услуг:

  • банковские услуги;
  • услуги по осуществлению переводов денежных средств.

С точки зрения кредитных организаций область применения ГОСТ Р 57580.1 может охватывает деятельность следующих категорий кредитные организации:

  • банк;
  • банк с универсальной лицензией;
  • банк с базовой лицензией;
  • иностранный банк;
  • небанковская кредитная организация.