ГОСТ 57580 – лучшие практики ИБ для финансовых организаций?!

На прошлой неделе совместно с коллегами провели очередной вебинар из серии «Безопасность финансовых организаций», в этот раз с обзором ГОСТ Р 57580.1-2017.

В УЦСБ много спецов которые могут рассказавать интересную и полезную информацию по разным темам ИБ. В этой серии каждому эксперту предоставлялась возможность выступить только по одной теме – соответственно мне досталась хорошая возможность рассказать и пообщаться с вами про ГОСТ 57580.   

В одной изпредыдущих статей я писал о том, что важно выбрать фреймворк для информационной безопасности организации и далее использовать его в планировании, реализации остальных активностей.

Для финансовых организаций РФ именно ГОСТ 57580 имеет возможность стать основой для создания эффективной системы защиты информации. Для того чтобы отнести стандарт к приоритетной из лучших практик есть следующие основания:

·        Каталог из 408 мер защиты

Это в разы больше, чем количество мер в иных каталогах (ISO 27001, NIST CSF, приказы ФСТЭК 17/21/239). Больше не всегда лучше, но в условиях отсутствия отдельных методических документов отраслевых или регуляторов, “больше” дает более детальные и конкретные меры, что полезно.   

·        Единая терминология

При планировании, реализации, оценке мер защиты, важно чтобы все участники работ однозначно понимали требования и формулировке мер. В ГОСТ 57580 большой раздел выделен под термины и определения, что очень помогает в применении стандарта.  

·        Обвязка, которая поможет определить объекты защиты, определить требуемый уровень защиты, выбрать меры защиты и способы их реализации

·        Методика оценки

Поможет оценить выбор и реализацию мер защиты в организации, итоговый уровень соответствия.

Используется в поэтапном улучшении системы защиты

·        Рекомендации по реализации отдельных мер

ГОСТ дополняют (есть ссылки) отдельные РС БР ИББС:

o   PC БР ИББС-2.0-2007

o   PC БР ИББС-2.2-2009

o   PC БР ИББС-2.6-2014

o   PC БР ИББС-2.5-2014

o   PC БР ИББС-2.7-2015

o   PC БР ИББС-2.8-2015

o   PC БР ИББС-2.9-2016

·        Разрабатывался при участии ФО, учитывает национальные особенности ИБ

В технический подкомитет входит более 100 компаний, большая часть из которых ФО

Не противоречит приказам ФСТЭК и ФСБ

Не удивлюсь если увижу, что ГОСТ 57580 применяется даже не финансовыми организациями, также как раньше применялся СТО БР ИББС.

Выбор этого стандарта не решит единолично всех ваших проблем и задач. Вам все также нужно будет общаться с руководством, договариваться с ИТ, оценивать риски и угрозы, оценивать затраты на ИБ, планировать, внедрять эффективные средства защиты. Но на каждом из шагов ГОСТ возможно будет вам помогать.

Ранее я уже писал про первые шаги по применению ГОСТ 57580.  На недавнем вебинаре мы разобрали эти вопросы более подробно, добавив также информацию по средствам защиты информации и встроенным возможностям, а также регламентам и положениям, которые могут использоваться для реализации мер защиты информации.      

Видео и презентация вебинара доступны по ссылке.


PS: Также дополнил раздел FAQ вопросами и ответами с двух последних вебинаров про анализ защищенности по ОУД 4 и про ГОСТ 57580.  Интересно ваше мнение – востребован ли такой формат?


Комментарии

Alarico Adalbert написал(а)…
Этот комментарий был удален администратором блога.
Charlotte Johnson написал(а)…
Этот комментарий был удален администратором блога.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

КИИ. ОКВЭД vs 187-ФЗ

Модель угроз безопасности клиента финансовой организации