Что такое ГОСТ 57580?

Данные требования применяются финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Центрального Банка России.

Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы.

Согласно статье 76.1 Федерального закона “О Центральном банке Российской Федерации (Банке России)” некредитными финансовыми организациями являются профессиональные участники рынка ценных бумаг, УК инвестиционных, паевых инвестиционных и негосударственных пенсионных фондов, клиринговая деятельность, деятельность организатора торговли, деятельность центрального депозитария, деятельность субъектов страхового дела, микрофинансовые организации и прочие.

Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Центрального Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах.

Первая редакция данного стандарта, определяющая требования к обеспечению безопасности финансового сектора, вступила в силу 1 января 2018 года, с 1 сентября того же года вступил в силу ГОСТ Р 57580.2-2018, включающий методику оценки соответствия организации вышеуказанным требованиям.

Каковы основные положения ГОСТ 57580?

Деятельности любой финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Данный риск является объективной реальностью, устранить его не представляется возможным на данный момент времени.

Понизить же вышеупомянутый риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить ряд определенных мер по защите данной информации.

Итак, основными целями настоящего стандарта являются:

• определение уровней защиты информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации, применяемых финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Центрального Банка России
• достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска

• обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями

Уровень защиты информации по ГОСТ 57580

Данный ГОСТ выделяет три уровня защиты информации: минимальный, стандартный и усиленный.

В финансовой организации формируются контуры безопасности, для которых может быть установлен разный уровень защиты информации.

Вышеуказанный уровень для каждого конкретного контура безопасности устанавливается нормативными актами Центрального Банка России.

Требования к уровню безопасности устанавливаются на основе оценки следующих параметров организации: вида деятельности организации, объема финансовых операций, категории (размера) организации и значимости конкретной организации для финансового рынка и национальной платежной системы в целом.

Защита информации ГОСТ 57580: основные меры для финансовых организаций в области информационной безопасности

В пункте 6.1 настоящего стандарта (ГОСТ 57580) обозначена необходимость обеспечить:

• • • идентификацию и учет объектов информатизации, в том числе автоматизированных систем, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Центрального Банка России, устанавливающих обязательность применения его положений
    • применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией мер защиты информации, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации
    • применение выбранных финансовой организацией мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации
    • применение выбранных финансовой организацией мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла автоматизированной системы и приложений
    • оценку остаточного операционного риска (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Центрального Банка России

Так же в рассматриваемом стандарте упоминается, что, в случае невозможности технической реализации отдельных выбранных мероприятий по защите информации, а также с учетом экономической целесообразности на этапах уточнения базового состава мероприятий могут разрабатываться иные компенсирующие меры.

Данные меры направлены на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации.

Основой для реализации правильного и эффективного способа минимизации возможных финансово неприемлемых для вышеупомянутой организации операционных рисков, связанных с нарушением безопасности информации, являются принятые и контролируемые руководством финансовой организации документы.

ГОСТ 57580 регламентирует определенные требования к системе защиты информации и базовому составу мер по ее обеспечению, таких как:

• • 1. Обеспечение защиты информации при управлении доступом
    2. Обеспечение защиты вычислительных сетей
    3. Контроль целостности и защищенности информационной инфраструктуры
    4. Защита от вредоносного кода
    5. Предотвращение утечек информации
    6. Управление инцидентами защиты информации
    7. Защита среды виртуализации
    8. Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Указанные группы мер определяются ГОСТом как “процессы”, внутри которых выделяются “подпроцессы”.

Какова область применения ГОСТ 57580 по защите информации?

Данный стандарт разработан с целью развития и укрепления банковской системы Российской федерации, развитие и обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и достаточного уровня защиты информации.

Сами по себе ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018 не определяют область своего применения в конкретных организациях.

Область применения определятся нормативными актами Банка России. В частности требования соответствия ГОСТу прописаны в:

• Положение №683-П Банка России. Подробнее в статье «Приведение в соответствие и оценка по 683-П для банка»
• Положение №684-П Банка России. Подробнее в статье «Приведение в соответствие и оценка по 684-П для НФО»
• Положение №719-П Банка России. Подробнее в статье «Оценка соответствия по 719-П»

Базовый состав организационных и технический мер защиты информации определен в ГОСТе 57580.1, и соответственно, способ проверки соответствия (методика оценки соответствия) определена в ГОСТе 57580.2.

ГОСТ 57580.2-2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер в соответствии с требованиями ГОСТ 57580.

В область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а так же услуг по осуществлению перемещений денежных средств частными и юридическими лицами.

Для оценки полноты соответствия системы защиты информации существующему ГОСТу приняты уровни соответствия, от нулевого к пятому (где пятый – процессы реализуются в полном объеме на постоянной основе).

Заключение

ГОСТ 57580 содержит широкий спектр требований и рекомендаций по осуществлению мер по организации защиты информации и финансовых операций кредитными и некредитными организациями.

Меры системы организации и управления защитой информации применяются на системных уровнях инфраструктуры и на этапах жизненного цикла автоматизированных систем и приложений для осуществления финансовых операций.

Целями регулирования и контроля данных мер является обеспечение устойчивого развития финансового рынка, управление рисками, противодействие кризисным ситуациям, защита прав и интересов участников процесса на финансовых рынках.

Область оценки соответствия информационной безопасности ГОСТу определяется нормативными актами Центрального Банка России и подлежит согласованию на объектах заказчика. По результатам работ по оценке соответствия разрабатываются рекомендации по совершенствованию обеспечения информационной безопасности в соответствии с требованиями национального стандарта ГОСТ Р 57580.

По результатам аудита (оценки соответствия) информационной безопасности существующим стандартам составляется подробный отчет, являющийся собственностью проверяемой организации. Отчет должен содержать полные, четкие и достаточные записи о соответствии мер по защите информации установленным данным ГОСТом стандартам. Требования к вышеуказанному отчету содержатся в разделе 8 ГОСТ 57580.2.