Сложно ли Банкам соответствовать ГОСТ 57580?


Достаточно часто слышу от коллег, такую информацию, что ГОСТ Р 57580.1-2017 по безопасности финансовых (банковских) операций сильно сложнее для выполнения, чем СТО БР ИББС-1.0-2014 и старое 382-П. Высказываются тезисы что в ГОСТ появилось большое количество новых требований, которых не было ранее - приводит к получению низких оценок.

C другой стороны, при работе по ГОСТ 57580.1 у меня создалось впечатление что это более гибкий документ и имеет особенности, которые, наоборот, позволяют получить высокие оценки соответствия. На них и хотелось бы остановится в данной статье.

Во-первых, у Финансовой организации имеется возможность выбора мер защиты по аналогии с защитой ПДн и КИИ – базовый состав мер, это только отправная точка, далее меры можно адаптировать/исключать с учетом модели угроз, нарушителей и структурно-функциональных характеристик объектов. Также меры защиты могут быть заменены на компенсирующие, в случае технической невозможности их реализации или экономической целесообразности.
Например, если у вас есть историческая АС, в которую уже никогда не будут вносится изменения (новые функции безопасности), вы можете применить компенсирующие меры и получить высокую оценку соответствия. Аналогично если вам всё-таки необходима тестовая зона с реальными данными. Аналогично действуем с покупным ПО, которое не имеет возможности двухфакторной аутентификации для администраторов. В СТО БР ИББС или 382-П такой возможности выбора не было – приходилось выполнять все дословно либо получать низкие оценки соответствия.

Рекомендую всем ФО начинать с разработки Положения о применимости ГОСТ Р 57580.1-2017 (может называться и по-другому), в котором для каждого контура безопасности будет определен итоговый состав мер защиты (в том числе уточненные, исключённые и дополненные). Имеет смысл отметить меры, которые именно на ваших объекта не могут быть реализованы либо экономически нецелесообразны (вы точно знаете, что бюджет на них не будет выделен и можно те же угрозы нейтрализовать более эффективно) и в этом же документе привести обоснование применения компенсирующих мер.

Указанный выше анализ не получится провести без действующей Модели угроз и сопоставления между актуальными угрозами и мерами защиты (нужно при уточнении мер и обосновании компенсирующих мер).

Пожалуй, эти две качественно выполненные работы позволят в итоге получить высокие оценки соответствия ГОСТ Р 57580.

Во-вторых, в СТО БР ИББС и 382-П большая часть показателей оценивалась по наличию документов + степени выполнения (показатель категории 1). При оценке такого показателя, если в организации мера не была установлена в документах, то мы сразу получали 0. То есть, плохо документированные меры ИБ сразу приводили к очень низким оценкам соответствия.
В ГОСТ Р 57580 примерно половина мер защиты должна быть реализована путем применения только технических мер – меры типа “Т” (организационная часть при этом не оцениваются). Также ГОСТ позволяет заменить любую организационную “О” на техническую “Т” меру. 

Таким образом можно сказать, что ГОСТ Р 57580.1 – это стандарт для Техногиков. Если у вас крутая эффективная система защиты, все максимально автоматизировано, но при этом у вас слабая бумажная составляющая – вы все равно можете получить высочайшие оценки соответствия.
Во-третьих, в СТО БР ИББС и 382-П были корректирующие коэффициенты, которые сильно роняли общую оценку (на 15% и 30%) если какие-то меры были полностью не выполнены. В ГОСТ таких коэффициентов нет, поэтому полное невыполнение нескольких мер, оказывает слабое влияние на итоговую оценку. Вместо этого штрафы начисляются за нарушения защиты, выявленные в рамках аудита, но об этом в следующий раз.

Все это позволяет сделать вывод, что требования ГОСТ достаточно лояльны, гибки и ФО могут в первую очередь реализовывать те меры, которые считают наиболее эффективными и при этом получать высокие оценки соответствия.  

PS: Если эта тема интересна, дайте знать – можем отдельно обсудить новые требования. Некоторые из них действительно сложные и надо разбираться.   

PPS: В компании УЦСБ мы подготовили актуальный набор услуг, которые помогут с выполнением требований 683-П, 684-П и ГОСТ ГОСТ Р 57580.1. Обращайтесь если вам это интересно.


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...