Кратко про ГОСТ Р 57580.1-2017
10 Янв 2020
Надзорная практика по контролю и проверке исполнения требований Положения №382-П показала, что сотрудникам надзорного блока недостает знаний для проверки исполнения технических требований, включенных в Положение №382-П (много требований в него «перетекло» из стандарта Банка России СТО БР ИББС-1.0). В тоже время, исчерпывающие знания есть у участников рынка средств и услуг защиты информации – лицензиатов ФСТЭК России.
С принятием и введением в действие Федерального закона № 162-ФЗ «О стандартизации» появились законные основания за рамками области действия технических регламентов и действия статьи 5 (национальная оборона и национальная безопасность) № 184-ФЗ «О техническом регулировании» изложить техническую часть обязательных требований в форме национального стандарта. Включение на него ссылок в нормативных актах Банка России и определит, в какой части его требования обязательны и для кого.
Такое разделение требований позволяет в рамках действующего законодательства обеспечить подключение участников рынка средств и услуг защиты информации – лицензиатов ФСТЭК России – к работам по оценке соответствия в рамках опять же соответствующей системы оценки соответствия. Это позволило бы снять нагрузку с сотрудников надзорного блока Банка России по выполнению несвойственных им работ – контролю исполнения технических норм по защите информации, а более сконцентрироваться на содержательной стороне надзора – оценке системы управления бизнес-рисками финансовой организации и достаточности в свете этого у неё капитала, активов и пр.
Оценка соответствия требованиям ГОСТ 57580
Для целей обеспечения условий оценки соответствия требованиям ГОСТ Р 57580.1 был разработан и принят в марте 2018 года второй «сателлитный» национальный стандарт – ГОСТ Р 57580.2 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Основные его положения и способы использования будут рассмотрены позже в рамках соответствующих тем.
Для надлежащего контроля качества работ по оценке соответствия требованиям стандарта ГОСТ Р 57580.1 с использованием методики по ГОСТ Р 57580.2 должна быть создана соответствующая система добровольной сертификации (СДС). Обязательной она не может быть в соответствии с нормами законодательства. Процедуры и работы в рамках данной системы и могут обеспечить надлежащий контроль полноты и качества работ оценщиков – от аккредитации в этой системе, до анализа отчетов по оценке соответствия органом сертификации системы.
Сертификаты, выдаваемые в рамках такой СДС, должны включать исчерпывающую информацию для принятия решений в рамках оценки системы управления бизнес-рисками финансовой организации в части учета её рисков ИБ и ИТ-рисков (часто на практике это одно и то же) и достаточности в свете этого у неё капитала, активов и пр.
Правилами функционирования СДС могут быть определены следующие схемы подтверждения соответствия (сертификации):
- орган по сертификации проводит проверку результатов оценки соответствия с посещением (при необходимости) объекта оценки;
- орган по сертификации проводит проверку результатов оценки соответствия без посещения объекта оценки.
Также правилами функционирования СДС могут быть определены следующие схемы организации инспекционного контроля сертифицированного объекта сертификации:
- по решению ЦО Системы ОС проводит инспекционный контроль с посещением объекта оценки;
- по решению ЦО Системы ОС проводит инспекционный документарный контроль без посещения объекта оценки;
- инспекционный контроль не проводится.
Какой будет СДС под ГОСТ Р 57580.1 покажет время. Вернемся к рассмотрению основополагающего стандарта требований.
Цели ГОСТ Р 57580.1
Основными целями стандарта ГОСТ Р 57580.1 являются:
- определение уровней защиты информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации (далее при совместном упоминании — мер защиты информации), применяемых финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России;
- достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска (риск-аппетиту);
- обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями.
ГОСТ Р 57580.1 определяет требования к содержанию базового состава мер защиты информации, которые применяются финансовыми организациями для реализации требований к обеспечению защиты информации, и содержит:
- описание общей методологии применения финансовыми организациями требований к содержанию базового состава мер защиты информации;
- требования к содержанию базового состава мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации;
- требования к содержанию базового состава мер защиты информации, направленных на обеспечение должной полноты и качества реализации системы защиты информации;
- требования к содержанию базового состава мер по обеспечению защиты информации на этапах жизненного цикла АС и приложений;
- описание основных положений базовой модели угроз и нарушителей финансовых организаций;
- состав и содержание рекомендуемых организационных мер, связанных с обработкой финансовой организацией персональных данных;
- перечень событий защиты информации, потенциально связанных с НСД и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа.
Область применения ГОСТ 57580
Область применения ГОСТ Р 57580.1 охватывает следующие категории финансовые организации:
- кредитные организации;
- некредитные финансовые организации;
- субъекты национальной платежной системы.
Обязанность финансовых организаций применять меры защиты информации, определенные в ГОСТ Р 57580.1, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на указанный национальный стандарт.
Меры защиты информации, определяемые ГОСТ Р 57580.1, применяются к совокупности объектов информатизации, включая АС, используемых для выполнения бизнес-процессов и(или) технологических процессов, связанных с предоставлением следующих финансовых услуг:
- банковские услуги;
- услуги по осуществлению переводов денежных средств.
С точки зрения кредитных организаций область применения ГОСТ Р 57580.1 может охватывает деятельность следующих категорий кредитные организации:
- банк;
- банк с универсальной лицензией;
- банк с базовой лицензией;
- иностранный банк;
- небанковская кредитная организация.