Оценка соответствия ГОСТ 57580

Проведение аудита системы защиты информации по ГОСТ Р 57580 осуществляется в соответствии с методикой, которая изложена в стандарте ГОСТ Р 57580.2-2018.

На территории РФ ГОСТы, по умолчанию, являются рекомендательными. Тем не менее, обязательность их применения определятся законом, подзаконным актом или ведомственным документом регулирующего органа. В нашем случае регулятором является Банк России.

Регулятор выпустил документы 382-П, 684-П, 683-П, которые прошли Минюст, и именно в документах содержатся прямые ссылки на ГОСТ. Соответственно, де-факто ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 стали обязательными. Кроме того, применительно к единой биометрической системе имется 321 приказ Минкомсвязи, который также содержит ссылки на ГОСТ.

Для проведения оценки соответствия по ГОСТ 57580 необходимо привлекать стороннюю организацию, имеющую лицензию на техническую защиту конфиденциальной информации, причем данная организация должна соответствовать определению проверяющей организации (по ГОСТу):

3.2 проверяющая организация: Организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ).

Таким образом, аудитор, проводящий оценку не должен в момент проведения оценки оказывать услуги по защите информации, внедрять или сопровождать какие-либо системы по защите информации в проверяемой организации.

Ключевые положения ГОСТ 57580

Любая финансовая организация имеет определенные риски во время проведения денежных операций. Злоумышленники способны завладеть конфиденциальными данными, что может привести не только к подрыву репутации организации, но и нарушить стабильное функционирование банка. Основные задачи проведения оценки по ГОСТ 57580 заключаются в том, чтобы минимизировать финансовые риски.

В соответствии с настоящим стандартом определяется 3 уровня защищенности:

минимальный;
стандартный;
усиленный.

Применение того или иного уровня определятся ведомственными документами ЦБ. Основные требования защиты информации устанавливаются на основе оценивания следующих критериев: деятельность финансовой организации, объем финансовых операций, национальная платежная система и размер компании.

Для большинства банков и некредитных финансовых организаций определен - стандартный уровень защищенности.

Цена оценки приведения в соответствие ГОСТ 57580 также напрямую связана с указанными параметрами.

Как осуществляется процесс проведения оценки соответствия?

Процесс оценки достаточно объемный и трудоемкий. Ключевые особенности в ходе аудита выглядят следующим образом.

Взаимодействие с заказчиком
Оценка применения и полноты реализации мер
Согласование итоговой оценки с заказчиком

Основные свидетельства, которые используются для оценивания состояния системы защиты информации – это документы, результаты наблюдений и данные, предоставляемые в ходе взаимодействия с организацией.

В случае, когда невозможно обеспечить техническую реализацию требования по защите информации, могут приниматься компенсирующие меры. Задача заключается в том, чтобы обеспечить безопасность данных.

Оформление отчета по результатам аудита по ГОСТ Р 57580

В соответствии с установленным стандартом, в отчет входит следующая информация:

Область оценки
Результаты и заключение оценки
Копии предоставленных свидетельств

Помимо этого, в отчете указывается краткое описание проведенных работ.

Требования

В стандарте ГОСТ Р 57580 говорится о том, что должна осуществляться полноценная защита информации в направлениях:

обеспечения защиты при управлении доступом;
обеспечения защиты вычислительных сетей;
контроля целостности и защищенности информационной инфраструктуры;
защиты от вредоносного кода;
предотвращения утечек информации;
управления инцидентами;
защиты среды виртуализации;
защиты при удаленном доступе с использованием мобильных устройств.

Применительно к оценке единой биометрической системы по ГОСТу 57580 исключаются направления по мобильным устройствам (ибо существующие решения не обладают соответствующим функционалом).

Под объектом информатизации финансовой компании понимается совокупность ресурсов и объектов доступа, систем и средств обработки данных, включая АС. Описывать границы оценивания необходимо в виде списка ресурсов и объектов доступа. В соответствии с требованиями, к объектам относятся.

Автоматизированные рабочие места;
Сетевые устройства;
СКУД;
Аппаратные модули безопасности;
Серверные устройства;
Оборудование печати и копирования данных;
Системы хранения данных;
Общедоступные объекты (банкоматы, платежные терминалы).

Под ресурсами принято понимать:

Базы данных;
Сетевые ресурсы;
Виртуальные машины;
АС;
Почтовые сервисы;
Web-сервисы;
Ресурсы доступа к данным.

Финансовая компания во время аудита должна предоставить полноценную информацию проверяющей стороне.

Это одно из нововведений, т.к. в оценках по старым критериям, таким как СТО БР ИББС или 382-П такого положения не было. И в результате нельзя было однозначно установить был ли факт обмана со стороны аудитора или это проверяемая организация дала "неправильные" свидетельства.

Важно, что компания-аудитор самостоятельно принимает решение по поводу проверки объектов и ресурсов, выборки среди них необходимых для проведения аудита.

Особое внимание в процессе проведения выборки уделяется качеству имеющейся информации. Если проверяемая сторона предоставила неточные сведения, то это негативно отразится на проверке, что может дискредитировать всю оценку.

Заказать оценку соответствия ГОСТ Р 57580 вы можете прямо сейчас. Все что от вас требуется – это позвонить по указанному номеру телефона или отправить сообщение в форме обратной связи.

Автор статьи: Царев Евгений

Смотреть все статьи Смотреть комментарии

Вам будет интересно

Array ( [ID] => 10395 [post_author] => 3879 [post_date] => 2021-05-04 15:05:40 [post_date_gmt] => 2021-05-04 12:05:40 [post_content] =>

Положение 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» утверждено Банком России 17.04.2019 г.

Требования 683-П распространяются на кредитные организации, при этом согласно п. 3 Положения:

системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации;
все остальные кредитные организации должны реализовывать стандартный уровень защиты информации.

Положение 683-П и ГОСТ 57580

Согласно Положению 683-П, оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия".

Согласно п. 9.2 Положения кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ 57580.2-2018 с 1 января 2021 года, уровень соответствия не ниже четвертого в соответствии с ГОСТ 57580.2-2018 – с 1 января 2023 года. Кроме того, кредитные организации должны обеспечить проведение тестирования на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры на ежегодной основе, в соответствии с п. 3.2 Положения.

В соответствии с Положением 683-П, требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, включают в себя:

требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций;
требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении технологии обработки защищаемой информации;
иные требования к обеспечению защиты информации при осуществлении банковской деятельности (к применяемым СКЗИ, доведению информации до клиентов, регистрации инцидентов защиты информации, проведению оценки соответствия).

683-П и ОУД 4

Нововведением данного Положения стали требования к обеспечению использования для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет» сертифицированных в системе сертификации ФСТЭК на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 3. Компоненты доверия к безопасности». В отличие от Положения Банка России № 382-П от 09.06.2012 г., в котором требование проведения анализа уязвимостей по ОУД 4 определено в отношении только прикладного программного обеспечения автоматизированных систем и приложений, используемых для осуществления переводов денежных средств, данное Положение требует проведение анализа уязвимостей по ОУД 4 для автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет» для осуществления всех банковских операций.

Кто может проводить оценку соответствия 683-П?

Согласно п. 9 Положения кредитные организации должны обеспечить проведение оценки соответствия с привлечением сторонней организации, обладающей лицензией ФСТЭК, не реже одного раза в два года.

[post_title] => Обзор Положения 683-П [post_excerpt] => Положение 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» утверждено Банком России 17.04.2019 [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => 683-p [to_ping] => [pinged] => [post_modified] => 2021-12-24 10:11:49 [post_modified_gmt] => 2021-12-24 07:11:49 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10395 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 0 [robotsmeta] => [pod_item_id] => 10395 )

Обзор Положения 683-П

Array ( [ID] => 10385 [post_author] => 1 [post_date] => 2021-05-12 11:44:10 [post_date_gmt] => 2021-05-12 08:44:10 [post_content] =>

Краткий обзор 719-П

Итак, это произошло. Вышло положение на замену 382-П. Буковоко-цыфрки 719-П встает в один ряд с 684-П, 683-П, 716-П и пр. с которыми придется жить. Кому нужен более подробный обзор, прочитать можно по ссылке здесь.

Краткие замечания по новому положению:

Совершенно новая структура документа. Кстати, более логичная. Есть общие требования и отдельные главы для разных ролей в платежной системе.
Появились новые роли
1. Оператор услуг информационного обмена
2. Поставщики платежных приложений
Выделили банковских платежных агентов, осуществляющих операции платежного агрегатора (если очень грубо, это банковские платежные агенты, которые работает не с физиками, а с юриками). Т.е. он тоже банковский платежный агент, но требования к агрегаторам выше.
Выделили оператора услуг платежной инфраструктуры, оказывающего услуги системно значимым ПС. К ним требования также выше
Для участников платежных систем в полный рост встал ГОСТ 57580. Для «чистых» операторов платежных систем ГОСТ не нужен (ибо у «чистых» ОПС инфраструктуры нет). Для всех остальных, ГОСТ 57580 – обязателен.
Наконец-то стало понятно, для кого был придуман минимальный уровень защиты по ГОСТу – для банковских платежных агентов
Оценку по ГОСТу опять же делать придется всем. Хитрость есть только в проведении оценки соответствия банковскими платежными агентами, которые не являются агрегаторами. Требование проводить оценку есть п.3.8, но не уставлена периодичность и не установлен уровень соответствия. Т.е. делать надо, а в какие сроки и что нужно получить – непонятно.
Что касается всех остальных участников платежных систем – нужно и соответствовать ГОСТу по определенному уровню и делать внешнюю оценку соответствия лицензиатом ФСТЭК.
Непонятно зачем, но в положение вписали требование для банков соответствовать 683-П.
Пентесты должны делать тоже все.

С пентестами есть один примечательный момент. Общеизвестно что какой-то методики пентеста до сих пор нет и каждый делает как считает нужным. НО! В 719-П прямо указано, что критерий для пентеста банковскому платежному агенту определяет банк и в пункте 1.1. на этом заостряют наше внимание. По логике, если БПА придумывать ТЗ будет банк, то кто будет придумывать ТЗ для всех остальных (ОПДС, ОУПИ, ОУИО, ППП)? Видимо предполагается, что рано или поздно критерий для пентеста определит сам ЦБ.

Идем дальше

ОУД4 и сертификация, этой теме уделено много внимания. Если коротко, то любое прикладное ПО, которое используется в платежном процессе нужно либо оценивать по ОУД4, либо сертифицировать (131 приказ ФСТЭК). Прописано это настолько четко, что никаких спекуляций быть не может. Для интереса я попытался придумать технико-правовую конструкцию почему можно не ОУДировать или не сертифицировать. Не получилось. ОУД4 и сертификация – делать надо.
Криптография. Если коротко, то стратегически (с прописанными сроками вступления отдельных пунктов в силу) в платежном процессе будет применяться только сертифицированная криптография, включая иностранную.
Сроки. На все это дело отводится чуть больше года - до конца 2021 года (кроме СКЗИ – там отдельная история).

Со сроками оценок соответствия опять какая-то ерунда. Непонятно откуда отсчитывать те самые «не реже 1 раза в 2 года». Формально получается следующая история. Предположим, я банк, который делал предыдущую оценку по 382-П в январе 2020 года. Получается, что следующую оценку я должен был сделать в январе 2022 года. Но к тому моменту 382-П уже будет уже несколько дней как отменен (п.8.2. 719-П). Получается, что оценка, которую от меня требует ЦБ уже 719-П (по платежному процессу) я могу не делать еще 2 года. Получается перерыв в 4 года между оценкой по 382-П и ГОСТом (по платёжному процессу).
Теперь, чтобы сэкономить время читающим. Если вы маленький банк, который работает только в платежной системе Банка России, то Приложения 1 и 2 вообще не для вас. Вам достаточно разобраться в 719-П до 2 главы включительно.

[post_title] => Краткий обзор 719-П [post_excerpt] => Положение 719-П вышло на замену 382-П. Что нового и какие требования необходимо выполнять? [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => 719-p [to_ping] => [pinged] => [post_modified] => 2022-06-17 14:30:57 [post_modified_gmt] => 2022-06-17 11:30:57 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10385 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 0 [robotsmeta] => [pod_item_id] => 10385 )

Краткий обзор 719-П

Array ( [ID] => 10398 [post_author] => 3879 [post_date] => 2021-05-04 16:29:14 [post_date_gmt] => 2021-05-04 13:29:14 [post_content] =>

Банк России выпустил Положение №684-П, которое устанавливает обязательные для выполнения требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков для некредитных финансовых организаций. Кто такие некредитные финансовые организации? Согласно 86-ФЗ некредитными финансовыми организациями (далее – НФО) признаются профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, ломбарды, микрофинансовые организации и т.д. (все виды деятельности НФО определены в ст. 76.1 86-ФЗ).

Введение уровней защиты информации для НФО

Для типов НФО вводятся уровни защиты информации в соответствии с ГОСТ Р 57580.1 – усиленный, стандартный, а также выделяются организации, которые не реализуют указанные уровни защиты информации.

В п. 5.2 Положения 684-П определяются НФО, реализующие усиленный уровень защиты информации – это центральные контрагенты, центральный депозитарий.

В п. 5.3 определены НФО, которые реализуют стандартный уровень защиты информации (клиринговые организации, организаторы торговли, репозитарии и пр.).

Определение уровня защиты информации производится ежегодно не позднее первого рабочего дня календарного года. Если по каким-либо причинам уровень защиты информации в НФО не определен, то можно обратиться за помощью в определении уровня к организациям, которые специализируются на оказании услуг данного типа. Мы имеем довольно большой опыт работы с НФО, поэтому можно смело обращаться к нам за помощью.

Общие требования к НФО

После определения уровня, с требованиями Положения становится ясно, какие пункты Положения выполнять обязательно, а какие по решению самой организации. Однако стоит начать с проведения аудита по общим требованиям положения (даже если организация не реализует усиленный или стандартный уровни). Основные направления требований можно кратко описать следующим образом:

определяется информация, которую необходимо защищать: электронные сообщения, осуществленные НФО и их клиентами финансовые операции, криптографические ключи (подробно описано в п. 1)
если защищаемая информация содержит персональные данные, то защищать их необходимо в соответствии со 152-ФЗ (к слову, это достаточно большой объем требований, который необходимо выполнять, поэтому среди наших услуг можно найти аудит на соответствие 152-ФЗ);
НФО обязаны доводить до клиентов возможные риски возникновения несанкционированного доступа (НСД) с целью осуществления финансовых операций без согласия клиента, а также доводить информацию о мерах защиты от НСД;
если для защиты информации применяются средства криптографической защиты информации (СКЗИ), то необходимо выполнять требования технической документации СКЗИ, а также 63-ФЗ, 152-ФЗ, ПП-1119, Положения ПКЗ-2005, Приказ ФСБ №378.

Требования 684-П к НФО, реализующим усиленный или стандартный уровень защиты информации

Помимо требований, указанных выше, к НФО, реализующим усиленный или стандартный уровень защиты информации, предъявляются дополнительные требования, основные из которых:

проведение тестирования на проникновение и анализа уязвимостей (пентесты должны проводиться ежегодно, так как в ГОСТ 57580.1, который необходимо выполнять, есть требование о периодичности проведения тестирования);
проведение оценки соответствия ГОСТ 57580.1 обязательно с привлечением организации, имеющей лицензию на техническую защиту конфиденциальной информации (проверяющая организация);
для НФО с усиленным уровнем защиты информации оценка соответствия проводится не реже одного раза в год;
для НФО, реализующих стандартный уровень защиты информации, оценка проводится не реже одного раза в три года;
с 1 января 2022 года уровень соответствия должен быть не ниже третьего (выше 0,7);
с 1 июля 2023 года уровень соответствия должен быть не ниже четвертого (выше 0,85);
подписание электронных сообщений с целью обеспечения их целостности;
реализация технологических мер защиты информации;
регистрация событий и инцидентов защиты информации;
информирование Банка России о выявленных инцидентах защиты информации.

Стоит отметить, что пункты, связанные с проведением оценки соответствия, уже вступили в силу. То есть, если соответствие третьему уровню необходимо обеспечивать с 1 января 2022 года – это не значит, что и оценку нужно проводить с 2022 года. Приведение в соответствие и оценка – работа, которая может потребовать достаточно большое количество времени, поэтому лучше об этом позаботиться заранее.

Также стоит обратить внимание на требование, связанное с использованием ПО, сертифицированного в системе сертификации ФСТЭК или в отношении которого проведен анализ уязвимостей по требованиям ОУД 4. Для НФО, реализующих усиленный и стандартный уровень защиты информации, данное требование является обязательным. А для НФО, не попадающих под указанные уровни защиты, необходимо самостоятельно принять решение о необходимости использования такого ПО. Какое ПО попадает под это требование? Это прикладное ПО автоматизированных систем и приложений:

которое распространяется клиентам для совершения действий в целях осуществления финансовой операции;
которое обрабатывает защищаемую информацию при приеме электронных сообщений к исполнению с использованием сети Интернет.

Кто может проводить оценку соответствия 684-П?

Работы, связанные с проведением тестирования на проникновение, оценкой соответствия ГОСТ, проведения анализа уязвимостей по требованиям ОУД 4 в рамках выполнения требований Положения 684-П, требуют большого опыта работы с НФО в части знания бизнес-процессов и инфраструктуры организаций, а также требуют обладания рядом компетенций в области информационной технологий, информационной безопасности и юридической сфере.

[post_title] => Обзор Положения 684-П [post_excerpt] => Банк России выпустил Положение №684-П, которое устанавливает обязательные для выполнения требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков для некредитных финансовых организаций. [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => 684-p [to_ping] => [pinged] => [post_modified] => 2022-01-11 17:20:59 [post_modified_gmt] => 2022-01-11 14:20:59 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10398 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 0 [robotsmeta] => [pod_item_id] => 10398 )

Обзор Положения 684-П

Предоставлю подробную консультацию

Предложу актуальное и наиболее выгодное решение Вашей проблемы.