04 марта 2019
Новые требования к защите информации финансовых организаций
В прошлом году произошли значимые изменения в нормативной базе кредитно-финансового сектора (часть из них мы затронули ранее). Что ожидает банки и другие финансовые организации в области защиты информации?
C 1 января 2018 года вступил в силу ГОСТ Р 57580.1−2017, который определяет требования к обеспечению безопасности организаций финансового сектора, а с 1 сентября того же года вступил в силу ГОСТ Р 57580.2−2018, включающий методику оценки соответствия организации данным требованиями. Вдобавок, в конце прошлого года были опубликованы два проекта положения центрального банка для кредитных и некредитных финансовых организаций, которые в свою очередь устанавливают упомянутые ГОСТы в качестве обязательных к исполнению документов. Но давайте обо всем по порядку.
ГОСТ Р 57580.1-2017
Документ устанавливает состав организационных и технических мер, которые должны быть внедрены в финансовой организации. Определены три уровня защиты информации. Уровень для организации определяется в зависимости от ее размеров и направления деятельности. Структура схожа с приказами ФСТЭК № 17, 21, 31, а с прошлого года с появлением законодательства в области критической информационной инфраструктуры (КИИ) еще и приказом ФСТЭК № 239.
Что касается мер защиты, то они разделены на три блока:
- Блок требований к системе защиты. Выделяются следующие процессы защиты: управление доступом, сетевая защита, контроль защищенности, защита от вредоносного кода, предотвращение утечек, управление инцидентами, защита среды виртуализации и защита мобильных устройств.
- Блок управления системой защиты. Выделяются следующие направления защиты: планирование, реализация, контроль и совершенствование процесса системы защиты.
- Блок требований к защите информации на этапах жизненного цикла систем.
Документ содержит такое важное понятие, как контур безопасности. Требования предъявляются не ко всей организации целиком, а к конкретным контурам безопасности, для которых может быть установлен разный уровень защиты информации.
Вообще ГОСТ представляет собой достаточно гибкий механизм выбора мер защиты, который основывается на построении модели угроз и модели нарушителя, оценке возможности и необходимости технологической реализации конкретных мер, дополнении мер с учетом требований других стандартов и использовании механизма компенсирующих мер.
При таком гибком подходе важным моментом является определение остаточного операционного риска, который, фактически, является одним из критериев оценки эффективности выполнения базового состава мер.
ГОСТ Р 57580.2−2018
Документ определяет методику оценки соответствия системы защиты информации организации требованиям
ГОСТа Р 57580.1−2017.
ГОСТа Р 57580.1−2017.
Оценка соответствия защиты информации должна производиться независимой организацией, обладающей лицензией на деятельность по ТЗКИ. Отметим, что ГОСТ строго разделяет понятия проверяющей организации и организации, осуществляющей услуги по приведению системы защиты в соответствии с требованиями. Это должны быть две разные компании.
В документе подробно описывается, каким образом должна проходить процедура оценки соответствия защиты информации. Что касается самих расчетов, то они производятся по всем трем блокам требований защиты, установленных в ГОСТе 57580.1−2017, и позволяют учитывать специфику реализации конкретных требований в конкретной инфраструктуре.
В документе подробно описывается, каким образом должна проходить процедура оценки соответствия защиты информации. Что касается самих расчетов, то они производятся по всем трем блокам требований защиты, установленных в ГОСТе 57580.1−2017, и позволяют учитывать специфику реализации конкретных требований в конкретной инфраструктуре.
Также в документе детально описан состав формируемого отчета по защите информации. Порядок и срок предоставления отчета будут представлены в отдельном нормативном акте.
Проекты положения Банка России для кредитных и некредитных организаций
Следующая пара важных документов - это проекты Положений Центробанка России «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности» и «Об установлении обязательных для некредитных организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков».
Ключевыми моментами данных положений является установление критериев определения требуемого уровня защиты информации в соответствии с 3-х уровневой градацией ГОСТа 57 580.1−2017, как для кредитных, так и для некредитных организаций.
Дополнительно документ регламентирует применение прикладного программного обеспечения, сертифицированного по требованиям к уровню оценочного доверия в соответствии с ГОСТ Р ИСО/МЭК 15 408−3-2013. И если для участников НПС, в отношении программного обеспечения участвующего при переводе денежных средств, это было уже установлено в рамках изменений положения Банка России 382-П, то для кредитных и некредитных организаций, не подпадающих под требования 382-П, это становится новым требованием.
Кроме того, такая же ситуация обстоит и с тестированием на проникновение: данные проекты также дублируют изменения положения Банка России 382-П, и теперь все кредитные и некредитные организации обязаны проводить ежегодные анализ уязвимостей и тестирование на проникновение.
Другим важным моментом документов являются даты вступления в силу выполнения требований ГОСТов. Так, ГОСТ Р 57 580.1−2017 вступает в силу с 1 января 2020 года, а ГОСТ Р 57 580.2−2018 с 1 января 2021 года.
Несмотря на то, что проекты положения Банка России для кредитных и некредитных организаций еще не утверждены, с высокой долей вероятности они будут приняты в ближайшее время, поэтому стоит задуматься о реализации требований. Как минимум, стоит провести предварительный аудит с укрупненной оценкой предстоящих работ по исполнению требований в этом году.
Георгий Морозов
Менеджер по сопровождению корпоративных клиентов, Акрибия
Менеджер по сопровождению корпоративных клиентов, Акрибия
Другие публикации по теме