Что необходимо знать про ГОСТ 57580

ГОСТ 57580.1 – это стандарт, определяющий уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации. Наши эксперты ответили на самые распространенные вопросы о данном стандарте защиты информации.

Определена ли методика оценки соответствия (аудита) по ГОСТу 57580?

В ГОСТ определены понятия проверяющей организации и проверяемой организации. Помимо этого, отдельно указан раздел, содержащий возможные разногласия – что исключено при самооценке.

В то же время, согласно требованиям ЦБ, банки и НФО должны до 30.11.19 провести самооценку по методике, определенной самим ЦБ, ссылающейся на требования ГОСТ. В частности, выполнение требований по процессам защиты информации. По данной методике нет необходимости документировать свидетельства и оформлять полный отчет, но необходимо учитывать все меры обеспечения безопасности.

Таким образом, полная самооценка по ГОСТ не может быть проведена, исходя из методики самого ГОСТ. Самооценка может быть проведена лишь по урезанным методикам либо для понимания реального состояния ИБ.

Каким должен быть план реализации требований ГОСТ 57580.1?

Первый этап — это проведение самооценки либо стороннего GAP-анализа, позволяющего выявить текущий уровень соответствия. До конца ноября 2019 года.

Во-вторых, совершенствование системы ИБ. До середины 2020 года.

И, наконец, оценка соответствия с привлечением стороннего аудитора. До конца 2020 года.

Какие основные этапы включает в себя процедура проведения оценки соответствия ГОСТ 57580?

Выбор подрядной организации;
Определение области оценки – сегменты, подлежащие аудиту;
Инвентаризация состава сегментов в части технических, программных составляющих оцениваемой инфраструктуры, применяемых средств защиты;
Обмен уточняющими запросами и ответами о реализованных технических и организационных мерах защиты информации;
Собственно оценка;
Оформление и согласование отчета.

Какие документы нужны для оценки соответствия ГОСТ 57580?

Однозначного ответа на данный вопрос не существует. В организациях могут применяться совершенно разные иерархии документов. Однозначно потребуются документы, регламентирующие: управление доступом, сетевую безопасность, контроль целостности, антивирусную защиту, защиту от утечек, управление инцидентами, защиту средств виртуализации и мобильных устройств. По каждому из перечисленных процессов защиты необходимо раскрыть направления планирования, реализации, контроля и совершенствования системы ИБ. Какими документами это будет сделано – не имеет значения.

Какие требования выдвигает ГОСТ 57580.2-2018 к оформлению результатов оценки соответствия защиты информации финансовой организации в соответствии с требованиями ГОСТ 57580?

Требования к оформлению содержатся в разделе 8 ГОСТ 57580.2. Стандарт содержит подробный перечень информации, которая в обязательном порядке должна быть включена в отчет. Необходимо дополнительно обратить внимание, что ГОСТ 57580.2 предъявляет требования к электронным документам, которые прилагаются к отчету, в частности, для каждого электронного документа, файла данных должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.

Может ли финансовая организация подпадать под разные уровни защищенности?

Согласно ГОСТ 57580, финансовая организация может иметь один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации в зависимости от вида деятельности и объема финансовых операций, размера организации, значимости организации для национальной платежной системы и отечественного финансового рынка. Это значит, что финансовая организация может подпадать под разные уровни защищенности?

Уровень защищенности определяется конкретным нормативным документом, требующим соответствия ГОСТ. На текущий момент, разные контуры защиты может иметь, например, системно значимый банк (платежная инфраструктура имеет усиленный уровень защиты), имеющий сегмент единой биометрической системы (стандартный уровень защиты).

Как определить уровень защищенности по ГОСТу 57580.1?

Уровень защищенности определяется не по ГОСТ, а по документу, требующему соответствовать его критериям. На данный момент это положения Банка России 672-П, 683-П, 757-П и приказ №321 Минкомсвязи. В документах однозначно указано, кому и в каком сегменте следует выбирать тот или иной уровень.

Видео по ГОСТ 57580