ГОСТ 57580 – лучшие практики ИБ для финансовых организаций?!
На прошлой
неделе совместно с коллегами провели очередной вебинар из серии «Безопасность
финансовых организаций», в этот раз с обзором ГОСТ Р 57580.1-2017.
В УЦСБ
много спецов которые могут рассказавать интересную и полезную информацию по
разным темам ИБ. В этой серии каждому эксперту предоставлялась возможность
выступить только по одной теме – соответственно мне досталась хорошая возможность
рассказать и пообщаться с вами про ГОСТ 57580.
В одной изпредыдущих статей я писал о том, что важно выбрать фреймворк для информационной
безопасности организации и далее использовать его в планировании, реализации
остальных активностей.
Для финансовых организаций РФ именно ГОСТ 57580 имеет возможность стать основой для создания эффективной системы защиты информации. Для того чтобы отнести стандарт к приоритетной из лучших практик есть следующие основания:
· Каталог из 408 мер защиты
Это в разы
больше, чем количество мер в иных каталогах (ISO 27001, NIST
CSF, приказы ФСТЭК 17/21/239). Больше не
всегда лучше, но в условиях отсутствия отдельных методических документов
отраслевых или регуляторов, “больше” дает более детальные и конкретные меры, что
полезно.
·
Единая терминология
При планировании,
реализации, оценке мер защиты, важно чтобы все участники работ однозначно понимали
требования и формулировке мер. В ГОСТ 57580 большой раздел выделен под термины
и определения, что очень помогает в применении стандарта.
·
Обвязка, которая поможет определить объекты защиты, определить требуемый уровень защиты, выбрать меры защиты и способы
их реализации
·
Методика оценки
Поможет
оценить выбор и реализацию мер защиты в организации, итоговый уровень
соответствия.
Используется
в поэтапном улучшении системы защиты
·
Рекомендации
по реализации отдельных мер
ГОСТ дополняют
(есть ссылки) отдельные РС БР ИББС:
o
PC
БР
ИББС-2.0-2007
o
PC
БР
ИББС-2.2-2009
o
PC
БР
ИББС-2.6-2014
o
PC
БР
ИББС-2.5-2014
o
PC
БР
ИББС-2.7-2015
o
PC
БР
ИББС-2.8-2015
o
PC БР
ИББС-2.9-2016
·
Разрабатывался
при участии ФО, учитывает национальные особенности ИБ
В
технический подкомитет входит более 100 компаний, большая часть из которых ФО
Не
противоречит приказам ФСТЭК и ФСБ
Не
удивлюсь если увижу, что ГОСТ 57580 применяется даже не финансовыми
организациями, также как раньше применялся СТО БР ИББС.
Выбор этого
стандарта не решит единолично всех ваших проблем и задач. Вам все также нужно
будет общаться с руководством, договариваться с ИТ, оценивать риски и угрозы, оценивать
затраты на ИБ, планировать, внедрять эффективные средства защиты. Но на каждом
из шагов ГОСТ возможно будет вам помогать.
Ранее я
уже писал про первые шаги по применению ГОСТ 57580. На недавнем вебинаре мы разобрали эти вопросы
более подробно, добавив также информацию по средствам защиты информации и встроенным
возможностям, а также регламентам и положениям, которые могут использоваться
для реализации мер защиты информации.
Видео и презентация вебинара доступны по ссылке.
PS: Также дополнил раздел FAQ вопросами и ответами с двух
последних вебинаров про анализ защищенности по ОУД 4 и про ГОСТ 57580. Интересно ваше мнение – востребован ли такой
формат?
Комментарии