ГОСТ Р 57580.1-2017
Действующая редакция
с 8 августа 2017
Описание ГОСТ Р 57580.1-2017
Объекты:
- Кредитные организации (КО), филиалы иностранных банков, зарегистрированные на территории Российской Федерации.
- Некредитные финансовые организации (НФО) осуществляющие следующие виды деятельности:
- 1) профессиональных участников рынка ценных бумаг;
- 2) управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
- 3) специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
- 4) акционерных инвестиционных фондов;
- 5) клиринговую деятельность;
- 6) деятельность по осуществлению функций центрального контрагента;
- 7) деятельность организатора торговли;
- 8) деятельность центрального депозитария;
- 8.1) репозитарную деятельность;
- 9) деятельность субъектов страхового дела;
- 10) негосударственных пенсионных фондов;
- 11) микрофинансовых организаций;
- 12) кредитных потребительских кооперативов;
- 13) жилищных накопительных кооперативов;
- 14) сельскохозяйственных кредитных потребительских кооперативов;
- 14.1) деятельность оператора инвестиционной платформы;
- 15) ломбардов;
- 16) оператора финансовой платформы;
- 17) операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
- 18) операторов обмена цифровых финансовых активов.
Когда необходимо выполнять требования:
На текущий момент все объекты, указанные выше должны обеспечивать реализацию мер в соответствии с положениями Банка России 757-П, 802-П, 821-П, 833-П, 851-П.
Самое главное:
ГОСТ Р 57580.1-2017 устанавливает базовый состав мер защиты информации, применимых к совокупности объектов информатизации, в том числе автоматизированным системам, используемым финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств.
Используемые термины:
Меры защиты информации – организационные (в том числе управленческие) и технические меры, применяемые для защиты информации и обеспечения доступности АС.
Техническая мера защиты информации – мера защиты информации, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.
Организационная мера защиты информации – мера, не являющаяся технической мерой защиты информации, предусматривающая установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и (или) иных связанных с ним объектов.
Система защиты информации – совокупность мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации, процессов применения указанных мер защиты информации, ресурсного и организационного обеспечения, необходимого для применения указанных мер защиты информации.
Система организации и управления защитой информации – совокупность мер защиты информации, применение которых направлено на обеспечение полноты и качества защиты информации, предназначенных для планирования, реализации, контроля и совершенствования процессов системы защиты информации.
Объект информатизации финансовой организации (объект информатизации) – совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов финансовой организации, используемых для предоставления финансовых услуг.
Технологический процесс финансовой организации (технологический процесс) – набор взаимосвязанных операций с информацией и (или) объектами информатизации, используемых при функционировании финансовой организации и (или) необходимых для предоставления финансовых услуг.
Объект доступа – объект информатизации, представляющий собой аппаратное средство, средство вычислительной техники и (или) сетевое оборудование, в том числе входящие в состав АС финансовой организации.
Примечание – в составе основных типов объектов доступа рекомендуется как минимум рассматривать:
- автоматизированные рабочие места (АРМ) пользователей;
- АРМ эксплуатационного персонала;
- серверное оборудование;
- сетевое оборудование;
- системы хранения данных;
- аппаратные модули безопасности (HSM);
- устройства печати и копирования информации;
- объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы).
Ресурс доступа – объект информатизации, представляющий собой совокупность информации и программного обеспечения (ПО) обработки информации.
Примечание – в составе основных типов ресурсов доступа рекомендуется как минимум рассматривать:
- АС;
- базы данных;
- сетевые файловые ресурсы;
- виртуальные машины, предназначенные для размещения серверных компонентов АС;
- виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала;
- ресурсы доступа, относящиеся к сервисам электронной почты;
- ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интранет и Интернет.
Контур безопасности – совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).
Уровень защиты информации – определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации.
Физический доступ к объекту доступа (физический доступ) – доступ к объекту доступа, включая доступ в помещение, в котором расположен объект доступа, позволяющий осуществить физическое воздействие на него.
Логический доступ к ресурсу доступа (логический доступ) – Доступ к ресурсу доступа, в том числе удаленный, реализуемый с использованием вычислительных сетей, позволяющий, в том числе без физического доступа, осуществить доступ к защищаемой информации или выполнить операции по обработке защищаемой информации.
Субъект доступа – работник финансовой организации или иное лицо, осуществляющий физический и (или) логический доступ, или программный сервис, осуществляющий логический доступ.
Примечание – в составе основных типов субъектов доступа в настоящем стандарте как минимум рассматриваются следующие:
- пользователи – субъекты доступа, в том числе клиенты финансовой организации, осуществляющие доступ к объектам и (или) ресурсам доступа с целью использования финансовых услуг, предоставляемых информационной инфраструктурой финансовой организации;
- эксплуатационный персонал – субъекты доступа, в том числе представители подрядных организаций, которые решают задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием технических мер защиты информации;
- технический (вспомогательный) персонал – субъекты доступа, в том числе представители подрядных организаций, решающие задачи, связанные с обеспечением эксплуатации объектов доступа, для выполнения которых не требуется осуществление логического доступа, или выполняющие хозяйственную деятельность и осуществляющие физический доступ к объектам доступа без цели их непосредственного использования;
- программные сервисы – процессы выполнения программ в информационной инфраструктуре, осуществляющие логический доступ к ресурсам доступа.
Авторизация – проверка, подтверждение и предоставление прав логического доступа при осуществлении субъектами доступа логического доступа.
Идентификация – присвоение для осуществления логического доступа субъекту (объекту) доступа уникального признака (идентификатора); сравнение при осуществлении логического доступа предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов.
Аутентификация – проверка при осуществлении логического доступа принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
Регистрация событий защиты информации (регистрация) – фиксация данных о совершенных субъектами доступа действиях или данных о событиях защиты информации.
Учетная запись – логический объект (информация), существующий в пределах одного или нескольких ресурсов доступа и представляющий субъекта доступа в его (их) пределах.
Техническая учетная запись – учетная запись, используемая для осуществления логического доступа программными сервисами.
Права логического доступа – набор действий, разрешенных для выполнения субъектом доступа над ресурсом доступа с использованием соответствующей учетной записи.
Роль логического доступа (роль) – заранее определенная совокупность функций и задач субъекта доступа, для выполнения которых необходим определенный набор прав логического доступа.
Роль защиты информации – заранее определенная совокупность функций и задач субъекта доступа, в том числе работника финансовой организации, связанных с применением организационных и (или) технических мер защиты информации.
Легальный субъект доступа – субъект доступа, наделенный финансовой организацией полномочиями на осуществление физического и (или) логического доступа.
Аутентификационные данные – данные в любой форме и на любом носителе, известные или принадлежащие легальному субъекту доступа - легальному владельцу аутентификационных данных, или данные, которыми обладает легальный субъект доступа, используемые для выполнения процедуры аутентификации при осуществлении логического доступа.
Компрометация аутентификационных данных – событие, связанное с возникновением возможности использования аутентификационных данных субъектом, не являющимся легальным владельцем указанных аутентификационных данных.
Фактор аутентификации – блок данных, используемых при аутентификации субъекта или объекта доступа.
Примечания
1 Факторы аутентификации подразделяются на следующие три категории:
- что-то, что субъект или объект доступа знает, например, пароли легальных субъектов доступа, ПИН-коды;
- что-то, чем субъект или объект доступа обладает, например, данные, хранимые на персональных технических устройствах аутентификации: токенах, смарт-картах и иных носителях;
- что-то, что свойственно субъекту или объекту доступа, например, биометрические данные физического лица - легального субъекта доступа.
Однофакторная аутентификация – аутентификация, для осуществления которой используется один фактор аутентификации.
Многофакторная аутентификация – аутентификация, для осуществления которой используются два и более различных факторов аутентификации.
Двухсторонняя аутентификация – метод аутентификации объектов и ресурсов доступа, обеспечивающий взаимную проверку принадлежности предъявленных объектом (ресурсом) доступа идентификаторов при их взаимодействии.
Событие защиты информации – идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный (потенциальный) инцидент защиты информации.
Инцидент защиты информации – одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов, технологических процессов финансовой организации и (или) нарушить безопасность информации.
Примечания
1 В составе типов инцидентов защиты информации рекомендуется как минимум рассматривать:
- несанкционированный доступ к информации;
- нарушение в обеспечении защиты информации, включая нарушение работы технических мер защиты информации, появление уязвимостей защиты информации;
- нарушение требований законодательства Российской Федерации, в том числе нормативных актов Банка России, внутренних документов финансовой организации в области обеспечения защиты информации;
- нарушение регламентированных сроков выполнения процедур и операций в рамках предоставления финансовых услуг;
- нарушение установленных показателей предоставления финансовых услуг;
- нанесение финансового ущерба финансовой организации, ее клиентам и контрагентам;
- выполнение операций (транзакций), приводящих к финансовым последствиям финансовой организации, ее клиентов и контрагентов, осуществление переводов денежных средств по распоряжению лиц, не обладающих соответствующими полномочиями, или с использованием искаженной информации, содержащейся в соответствующих распоряжениях (электронных сообщениях).
Управление инцидентами защиты информации – деятельность по своевременному обнаружению инцидентов защиты информации, адекватному и оперативному реагированию на них, направленная на минимизацию и (или) ликвидацию негативных последствий от инцидентов защиты информации для финансовой организации и (или) ее клиентов, а также на снижение вероятности повторного возникновения инцидентов защиты информации.
Группа реагирования на инциденты защиты информации; ГРИЗИ – действующая на постоянной основе группа работников финансовой организации и (или) иных лиц, привлекаемых ею, которая выполняет регламентированные в финансовой организации процедуры реагирования на инциденты защиты информации.
Информация конфиденциального характера – информация, для которой в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России, и (или) внутренними документами финансовой организации обеспечивается сохранение свойства конфиденциальности.
Утечка информации – неконтролируемое финансовой организацией распространение информации конфиденциального характера.
Защита информации от утечки – защита информации, направленная на предотвращение - неконтролируемого финансовой организацией распространения информации конфиденциального характера.
Серверные компоненты виртуализации – совокупность гипервизора, технических средств, необходимых для функционирования гипервизора, технических средств, предназначенных для управления и администрирования гипервизора, ПО, предназначенного для предоставления доступа к виртуальным машинам с АРМ пользователей (например, брокер соединений).
Базовый образ виртуальной машины – образ виртуальной машины, используемый в качестве первоначального образа при запуске (загрузке) виртуальной машины.
Текущий образ виртуальной машины – образ виртуальной машины в определенный (текущий) момент времени ее функционирования.
Информационный обмен между виртуальными машинами – межпроцессорное взаимодействие, а также сетевые информационные потоки между виртуальными машинами, в том числе реализуемые средствами гипервизора и виртуальными вычислительными сетями.
Система хранения данных виртуализации (система хранения данных) – совокупность технических средств, предназначенных для хранения данных, используемых при реализации виртуализации, в том числе образов виртуальных машин и данных, обрабатываемых виртуальными машинами.
Защита от вредоносного кода на уровне гипервизора – способ реализации защиты от вредоносного кода виртуальных машин с использованием программных средств защиты от вредоносного кода, функционирующих как отдельные виртуальные машины на уровне гипервизора, без непосредственной установки агентов на защищаемые виртуальные машины.
Централизованное управление техническими мерами защиты информации – управление средствами и системами, реализующими технические меры защиты информации, множественно размещаемыми на АРМ пользователей и эксплуатационного персонала.
Примечание – в составе функций централизованного управления рассматриваются:
- автоматизированные установка и обновление ПО технических мер защиты информации, получаемых из единого (эталонного) источника;
- автоматизированное обновление сигнатурных баз в случае их использования, получаемых из единого (эталонного) источника, с установленной периодичностью;
- автоматизированное установление параметров настроек технических мер защиты информации, получаемых из единого (эталонного) источника;
- контроль целостности ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз при осуществлении их автоматизированной установки и (или) обновлении;
- контроль целостности единого (эталонного) источника ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
- централизованный сбор данных регистрации о событиях защиты информации, формируемых техническими мерами защиты информации.
Удаленный доступ работника финансовой организации (удаленный доступ) – логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей финансовых организаций.
Ресурс персональных данных – база данных или иная совокупность персональных данных (ПДн) многих субъектов ПДн, объединенных общими целями обработки, обрабатываемых финансовой организацией с использованием или без использования объектов информатизации, в том числе АС.
Структура ГОСТ Р 57580.1-2017:
ГОСТ Р 57580.1-2017 состоит из следующих разделов, которые необходимо учитывать объектам при реализации мер защиты информации:
- Раздел 6 содержит описание общей методологии применения финансовыми организациями требований к содержанию базового состава мер защиты информации, определенного в ГОСТ Р 57580.1–2017, а также определение уровней защиты информации, реализуемых финансовой организацией.
- Раздел 7 содержит для каждого из уровней защиты информации требования к содержанию базового состава мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации (требования к системе защиты информации).
- Разделы 8 и 9 ГОСТ Р 57580.1–2017 содержат для каждого из уровней защиты информации требования к содержанию базового состава мер защиты информации, направленных на обеспечение должной полноты и качества реализации системы защиты информации (требования к системе организации и управлению защитой информации), включая требования к содержанию базового состава мер по обеспечению защиты информации на этапах жизненного цикла АС и приложений.
- В приложении А приведено описание основных положений базовой модели угроз и нарушителей финансовых организаций.
- В приложении Б приведены состав и содержание рекомендуемых организационных мер, связанных с обработкой финансовой организацией персональных данных.
- В приложении В приведен перечень событий защиты информации, потенциально связанных с НСД и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа.
Общие положения ГОСТ Р 57580.1-2017:
При реализации мер ГОСТ Р 57580.1–2017 объектам важно учитывать, что при идентификации и учете объектов информатизации финансовой организации должны рассматриваться, как минимум, следующие основные уровни информационной инфраструктуры:
а) системные уровни:
- уровень аппаратного обеспечения;
- уровень сетевого оборудования;
- уровень сетевых приложений и сервисов;
- уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;
- уровень операционных систем, систем управления базами данных, серверов приложений;
б) уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.
Выбор и применение финансовой организацией мер защиты информации включает:
- выбор мер защиты информации, требования к содержанию базового состава которых установлены в разделе 7 ГОСТ Р 57580.1–2017;
- адаптацию (уточнение) при необходимости выбранного состава и содержания мер защиты информации с учетом модели угроз и нарушителей безопасности информации финансовой организации и структурно-функциональных характеристик объектов информатизации, в том числе АС, включаемых в область применения ГОСТ Р 57580.1–2017;
- исключение из базового состава мер, не связанных с используемыми информационными технологиями;
- дополнение при необходимости адаптированного (уточненного) состава и содержания мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
- применение для конкретной области адаптированного (уточненного) и дополненного состава мер защиты информации в соответствии с положениями разделов 8 и 9 ГОСТ Р 57580.1–2017.
При невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации (уточнения) базового состава мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации.
В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации.
Применение компенсирующих мер защиты информации должно быть направлено на обработку операционного риска, связанного с реализацией тех же угроз безопасности информации, на нейтрализацию которых направлены меры из базового состава мер защиты информации ГОСТ Р 57580.1–2017, не применяемые финансовой организацией в связи с невозможностью технической реализации и (или) экономической целесообразностью.
Снижение операционного риска, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Полнота и качество применения мер защиты информации достигается планированием, реализацией, проверкой и совершенствованием системы защиты информации, осуществляемыми в рамках системы организации и управления защитой информации, а также применением мер защиты информации на этапах жизненного цикла АС и приложений.
Оценка остаточного операционного риска, связанного с неполным или некачественным применением мер защиты информации, входящих в систему защиты информации, осуществляется в соответствии с процедурой, определенной требованиями нормативных актов Банка России, на основе оценки показателей соответствия реализации системы защиты информации финансовой организации требованиям разделов 7, 8 и 9 ГОСТ Р 57580.1–2017.
Оценку показателей соответствия реализации системы защиты информации финансовой организации требованиям, установленным в разделах 7, 8 и 9 ГОСТ Р 57580.1–2017, следует осуществлять в соответствии с методикой, приведенной в соответствующем национальном стандарте.
ГОСТ Р 57580.1–2017 определяет три уровня защиты информации:
- уровень 3 - минимальный;
- уровень 2 - стандартный;
- уровень 1 - усиленный.
В финансовой организации формируются один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации.
Уровень защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
Требования к системе защиты информации (раздел 7)
Раздел 7 ГОСТ Р 57580.1–2017 устанавливает требования к содержанию базового состава мер защиты информации для следующих процессов (направлений) защиты информации:
а) процесс 1 «Обеспечение защиты информации при управлении доступом»:
- управление учетными записями и правами субъектов логического доступа;
- идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа;
- защита информации при осуществлении физического доступа;
- идентификация, классификация и учет ресурсов и объектов доступа;
б) процесс 2 «Обеспечение защиты вычислительных сетей»:
- сегментация и межсетевое экранирование вычислительных сетей;
- выявление сетевых вторжений и атак;
- защита информации, передаваемой по вычислительным сетям;
- защита беспроводных сетей;
в) процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»;
г) процесс 4 «Защита от вредоносного кода»;
д) процесс 5 «Предотвращение утечек информации»;
е) процесс 6 «Управление инцидентами защиты информации»:
- мониторинг и анализ событий защиты информации;
- обнаружение инцидентов защиты информации и реагирование на них;
ж) процесс 7 «Защита среды виртуализации»;
и) процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».
Требования к организации и управлению защитой информации
Направление 1 «Планирование процесса системы защиты информации»
В рамках направления «Планирование» финансовая организация обеспечивает определение (пересмотр):
- области применения процесса системы защиты информации;
- состава применяемых (а также не применяемых) мер защиты информации из числа мер, определенных в разделах 7, 8 и 9 ГОСТ Р 57580.1–2017;
- состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определенных в разделах 7, 8 и 9 ГОСТ Р 57580.1–2017, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
- порядка применения мер защиты информации в рамках процесса системы защиты информации.
Реализация деятельности в рамках направления «Планирование» осуществляется на основе политики финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации, а также при необходимости на основе результатов деятельности в рамках направления «Совершенствование».
Направление 2 «Реализация процесса системы защиты информации»
Деятельность в рамках направления «Реализация» выполняется по результатам выполнения направлений «Планирование» и (или) «Совершенствование» (см. 8.2 и 8.5 ГОСТ Р 57580.1–2017 соответственно).
В рамках направления «Реализация» финансовая организация обеспечивает:
- должное применение мер защиты информации;
- определение ролей защиты информации, связанных с применением мер защиты информации;
- назначение ответственных лиц за выполнение ролей защиты информации;
- доступность реализации технических мер защиты информации;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации;
- обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение мер защиты информации;
- повышение осведомленности (инструктаж) работников финансовой организации в области защиты информации.
Направление 3 «Контроль процесса системы защиты информации»
Деятельность в рамках направления «Контроль» должна обеспечивать достаточную уверенность в том, что применение мер защиты информации осуществляется надлежащим образом и соответствует политике финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации.
Применяемые финансовой организацией меры защиты информации должны обеспечивать контроль:
- области применения процесса системы защиты информации;
- должного применения мер защиты информации в рамках процесса системы защиты информации;
- знаний работников финансовой организации в части применения мер защиты информации.
Направление 4 «Совершенствование процесса системы защиты информации»
Деятельность в рамках направления «Совершенствование» выполняется на основе результатов проведения мероприятий по обнаружению инцидентов защиты информации и реагированию на них, обнаружению недостатков в обеспечении защиты информации в рамках направления «Контроль», а также в случаях изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы защиты информации, целевых показателей величины допустимого остаточного операционного риска (риск-аппетита).
Применяемые финансовой организацией меры в рамках направления «Совершенствование» должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации. При этом непосредственная деятельность по совершенствованию процесса защиты информации выполняется в рамках направления «Реализация» и при необходимости направления «Планирование».
Приложение А «Основные положения базовой модели угроз и нарушителей безопасности информации»
| № | Положения |
|---|---|
| А.1 | Основой для реализации финансовой организацией системы защиты информации являются разработанные и утвержденные модели угроз и нарушителей безопасности информации. Степень детализации содержимого моделей угроз и нарушителей безопасности информации может быть различна и определяется реальными потребностями финансовой организации. |
| А.2 | Модели угроз и нарушителей безопасности информации носят прогнозный характер и разрабатываются на основе опыта, знаний и практики финансовой организации. Чем точнее сделан прогноз в отношении актуальных для финансовой организации угроз безопасности информации, тем адекватнее и эффективнее будут планируемые и предпринимаемые усилия по обеспечению требуемого уровня защиты информации. При этом следует учитывать, что со временем угрозы, их источники и сопутствующие риски могут изменяться. Поэтому модели угроз и нарушителей безопасности информации следует периодически пересматривать, для чего в финансовой организации должны быть установлены и выполняться процедуры регулярного анализа необходимости их пересмотра. |
| А.3 | В случае отсутствия у финансовой организации потенциала, необходимого для самостоятельной разработки моделей угроз и нарушителей безопасности информации, указанные модели рекомендуется составлять с привлечением сторонних организаций, обладающих необходимым опытом, знаниями и компетенцией. При разработке моделей угроз и нарушителей безопасности информации необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго. Поэтому все критические операции в рамках бизнес-процессов и технологических процессов финансовой организации, где осуществляется любое взаимодействие субъектов доступа с объектами информатизации, должны особенно тщательно контролироваться. |
| А.4 | На каждом из уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, актуальные угрозы безопасности информации и их источники являются различными. |
| Одной из основных целей злоумышленника является осуществление НСД к информационным ресурсам на уровне АС и приложений, эксплуатируемых в рамках бизнес-процессов или технологических процессов финансовой организации, что более эффективно для злоумышленника и опаснее для финансовой организации, чем осуществление НСД через иные уровни, требующего специфических знаний, ресурсов и времени. | |
| Целью злоумышленника также может являться нарушение непрерывности предоставления финансовых услуг, осуществления бизнес-процессов или технологических процессов финансовой организации, например, посредством распространения вредоносного кода, целенаправленных компьютерных атак или нарушения правил эксплуатации на уровне аппаратного обеспечения. | |
| А.5 | Основными типами источников угроз безопасности информации являются: |
| неблагоприятные события техногенного характера; | |
| сбои и отказы в работе объектов и (или) ресурсов доступа; | |
| зависимость процессов эксплуатации объектов информатизации от иностранных поставщиков или провайдеров услуг; | |
| внутренние нарушители безопасности информации - лица, в том числе работники финансовой организации и работники подрядных организаций, реализующие угрозы безопасности информации с использованием легально предоставленных им прав логического или физического доступа; | |
| внешние нарушители безопасности информации - лица, в том числе работники финансовой организации, реализующие угрозы безопасности информации без использования легально предоставленных прав логического или физического доступа, а также субъекты, не являющиеся работниками финансовой организации, реализующие целенаправленные компьютерные атаки, в том числе с целью личного обогащения или блокирования штатного функционирования бизнес-процессов или технологических процессов финансовой организации. | |
| А.6 | К числу наиболее актуальных источников угроз на уровне аппаратного обеспечения, уровне сетевого оборудования и уровне сетевых приложений и сервисов относятся следующие: |
| сбои и отказы в работе объектов доступа; | |
| внутренние нарушители безопасности информации [эксплуатационный, вспомогательный (технический) персонал], осуществляющие целенаправленное деструктивное воздействие на объекты доступа; | |
| зависимость процессов эксплуатации объектов доступа от иностранных поставщиков или провайдеров услуг; | |
| внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации; | |
| внешние нарушители безопасности информации, организующие DoS, DDoS и иные виды компьютерных атак; | |
| комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие совместно и (или) согласованно. | |
| А.7 | К числу наиболее актуальных источников угроз на уровне серверных компонентов виртуализации, программных инфраструктурных сервисов, операционных систем, систем управления базами данных и серверов приложений относятся следующие: |
| внутренние нарушители безопасности информации (эксплуатационный персонал), осуществляющие целенаправленные деструктивные воздействия на ресурсы доступа; | |
| внутренние нарушители безопасности информации (эксплуатационный персонал), реализующие угрозы безопасности информации с использованием легально предоставленных прав логического доступа; | |
| сбои и отказы в работе ПО; | |
| зависимость процессов эксплуатации ресурсов доступа, ПО от иностранных поставщиков или провайдеров услуг; | |
| внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации; | |
| комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие в сговоре. | |
| А.8 | К числу наиболее актуальных источников угроз на уровне АС и приложений, эксплуатируемых в рамках бизнес-процессов и технологических процессов финансовой организации, относятся следующие: |
| внутренние нарушители безопасности информации (пользователи и эксплуатационный персонал АС и приложений), реализующие угрозы безопасности информации с использованием легально предоставленных прав логического доступа; | |
| внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации; | |
| зависимость процессов эксплуатации АС и приложений от иностранных поставщиков или провайдеров услуг; | |
| комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие в сговоре. | |
| А.9 | Наибольшими возможностями для нанесения ущерба финансовой организации обладают ее собственные работники. В этом случае содержанием деятельности нарушителя является прямое нецелевое использование предоставленных прав физического и (или) логического доступа. При этом он будет стремиться к сокрытию следов своей деятельности. |
| Внешний нарушитель безопасности информации, как правило, имеет сообщника (сообщников) внутри финансовой организации. При условии должного соблюдения требований к защите информации, в том числе требований к содержанию базового состава, составу мер защиты информации, установленных настоящим стандартом, соблюдения принципа "знать своего работника", реализация угроз внешними нарушителями безопасности информации, действующими самостоятельно, без соучастников внутри финансовой организации, значительно затруднена. |
Приложение Б «Состав и содержание организационных мер, связанных с обработкой финансовой организацией персональных данных»
| № | Положения | |
|---|---|---|
| Б.1 | Цели обработки ПДн должны быть документально установлены и утверждены руководством финансовой организации. | |
| Б.2 | В финансовой организации должна быть установлена необходимость осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн и организована деятельность по своевременному направлению указанного уведомления в соответствии с требованиями [8]. | |
| Б.3 | В финансовой организации должны быть установлены критерии отнесения АС к информационным системам персональных данных (ИСПДн). | |
| Б.4 | В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета ресурсов ПДн, в том числе учета ИСПДн. Для каждого ресурса ПДн должно быть обеспечено: | - установление цели обработки ПДн; |
| - установление и соблюдение сроков хранения ПДн и условий прекращения их обработки; | ||
| - определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн); | ||
| - выполнение процедур учета количества субъектов ПДн, в том числе субъектов ПДн, не являющихся работниками финансовой организации; | ||
| - выполнение ограничения обработки ПДн достижением цели обработки ПДн; | ||
| - соответствие содержания и объема обрабатываемых ПДн установленным целям обработки; | ||
| - точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки ПДн; | ||
| - выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн в случае, если получение такого согласия необходимо в соответствии с требованиями [8]; | ||
| - выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам в случае, если получение такого согласия необходимо в соответствии с требованиями [8]; | ||
| - прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных [8], в том числе при отзыве субъектом ПДн согласия на обработку его ПДн. | ||
| Б.5 | В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обезличивания в сроки, установленные [8], в следующих случаях: В случае отсутствия возможности уничтожения ПДн либо обезличивания ПДн в течение срока, установленного [8], финансовая организация обеспечивает их блокирование с последующим обеспечением уничтожения ПДн. Уничтожение ПДн производится не позднее шести месяцев со дня их блокирования. | - по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между финансовой организацией и субъектом ПДн); |
| - отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией банковской системы РФ и субъектом ПДн); | ||
| - если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки; | ||
| - выявления неправомерной обработки ПДн, осуществляемой финансовой организацией или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки ПДн невозможно; | ||
| - выявления неправомерной обработки ПДн без согласия субъекта ПДн. | ||
| Б.6 | В финансовой организации должна быть определена, выполняться и контролироваться политика в отношении обработки ПДн, а также в случае необходимости установлены порядки обработки ПДн для отдельных ресурсов ПДн. Для ресурсов ПДн, обрабатываемых в АС, в том числе ИСПДн, порядок обработки ПДн может являться частью эксплуатационной документации на АС и разрабатываться на этапе создания (модернизации) АС. Указанные документы: | - определяют процедуры предоставления доступа к ПДн; |
| - определяют процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн; | ||
| - определяют процедуры уничтожения, обезличивания либо блокирования ПДн в случае необходимости выполнения таких процедур; | ||
| - определяют процедуры обработки обращений субъектов ПДн (их законных представителей) для случаев, предусмотренных Федеральным законом «О персональных данных», в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (их законных представителей) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки; | ||
| - определяют процедуры обработки запроса уполномоченного органа по защите прав субъектов ПДн; | ||
| - определяют процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам; | ||
| - определяют процедуры передачи ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками финансовой организации, имеющими доступ к ПДн; | ||
| - определяют процедуры передачи ПДн третьим лицам; | ||
| - определяют процедуры работы с материальными носителями ПДн; | ||
| - определяют процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн в сроки, установленные [8]; | ||
| - определяют необходимость применения типовых форм документов для осуществления обработки ПДн и процедуры работы с ними. Под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, используемая финансовой организацией с целью сбора ПДн. | ||
| Б.7 | Финансовая организация должна опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных. | |
| Б.8 | В финансовой организации должно быть установлено, в каких случаях необходимо получение согласия субъектов ПДн, при этом форма и порядок получения согласия субъектов ПДн должны быть регламентированы. | |
| Б.9 | В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета лиц, имеющих доступ к ПДн. Документ, определяющий перечень лиц, имеющих доступ к ПДн, утверждается руководителем финансовой организации. | |
| Б.10 | Обработка ПДн работниками финансовой организации должны осуществляться только с целью выполнения их должностных обязанностей. | |
| Б.11 | В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры ознакомления работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и внутренними документами финансовой организации, содержащими требования по обработке и обеспечению безопасности ПДн в части, касающейся их должностных обязанностей. | |
| Б.12 | В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета помещений, в которых осуществляется обработка ПДн, а также доступа работников и иных лиц в помещения, в которых ведется обработка ПДн. | |
| Б.13 | При работе с МНИ ПДн должно быть обеспечено выполнение содержания, предусмотренного мерами ПУИ.20, ПУИ.21, ПУИ.22, ПУИ.24 и ПУИ.26 таблицы 31, а также: | - обособление ПДн от иной информации, в частности путем фиксации их на отдельных МНИ ПДн, в специальных разделах или на полях форм документов (при обработке ПДн на бумажных носителях); |
| - хранение ПДн, цели обработки которых заведомо несовместимы, на отдельных МНИ; | ||
| - регистрация и учет мест хранения МНИ ПДн с фиксацией категории обрабатываемых персональных данных (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн), включая раздельное хранение ресурсов ПДн, обработка которых осуществляется с различными целями; | ||
| - установление и выполнение порядка гарантированного уничтожения (стирания) информации с МНИ ПДн. | ||
| Б.14 | Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. | |
| Б.15 | Общедоступные источники ПДн создаются и публикуются финансовой организацией только для цели выполнения требований законодательства Российской Федерации. В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры публикации ПДн в общедоступных источниках ПДн. | |
| Б.16 | Поручение обработки ПДн третьему лицу (далее - обработчик) должно осуществляться на основании договора. В указанном договоре должны быть определены перечень действий (операций) с ПДн, которые будут совершаться обработчиком, и цели обработки, должна быть установлена обязанность обработчика обеспечивать безопасность ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности ПДн. При поручении обработки ПДн обработчику финансовая организация должна получить согласие субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации. | |
| Б.17 | В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры, выполняемые в случаях необходимости осуществления трансграничной передачи ПДн. | |
| Б.18 | В финансовой организации должно быть назначено лицо, ответственное за организацию обработки ПДн. Полномочия лица, ответственного за организацию обработки ПДн, а также его права и обязанности должны быть установлены руководством финансовой организации. | |
Приложение В «Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа»
| № | Перечень событий |
|---|---|
| В.1 | Действия и (или) операции по созданию, удалению, копированию ресурсов доступа. |
| В.2 | Действия и (или) операции по созданию, удалению, блокированию, разблокированию учетных записей. |
| В.3 | Действия и (или) операции по изменению (предоставлению) прав логического доступа. |
| В.4 | Действия и (или) операции по подключению СВТ к вычислительным сетям финансовой организации. |
| В.5 | Действия и (или) операции по запуску программных процессов. |
| В.6 | Действия и (или) операции при осуществлении логического доступа. |
| В.7 | Факты выявления уязвимостей защиты информации. |
| В.8 | Факты выявления вредоносного кода и (или) мобильного кода. |
| В.9 | Факты выявления попыток осуществления вторжений и сетевых атак. |
| В.10 | Факты выявления атак типа "отказ в обслуживании". |
| В.11 | Действия и (или) операции, направленные на изменение правил сегментации и межсетевого экранирования вычислительных сетей финансовой организации. |
| В.12 | Действия и (или) операции по изменению параметров настроек технических мер защиты информации, параметров настроек системного ПО, влияющих на обеспечение защиты информации. |
| В.13 | Факты выявления нарушений и сбоев в работе технических мер защиты информации. |
| В.14 | Факты выявление нарушений и сбоев в установлении (обновлении) ПО и параметров настроек технических мер защиты информации, их сигнатурных баз (в случае их использования). |
| В.15 | Факты выявления нарушений и сбоев в установлении (обновлении) системного ПО и параметров его настроек, влияющих на обеспечение защиты информации. |
| В.16 | Действия и (или) операции по изменению состава ПО АРМ пользователей и эксплуатационного персонала, в том числе запускаемого автоматически при загрузке операционных систем. |
| В.17 | Действия и (или) операции по изменению состава ПО серверного оборудования. |
| В.18 | Факты выявления нарушений целостности ПО АС на АРМ пользователей и эксплуатационного персонала. |
| В.19 | Факты выявления нарушений доверенной загрузки операционных систем АРМ пользователей и эксплуатационного персонала. |
| В.20 | Факты выявления нарушений целостности эталонных копий ПО, в том числе при осуществлении их распространения и (или) обновления. |
| В.21 | Факты выявления смены и (или) компрометации аутентификационных данных, используемых для доступа к серверному и сетевому оборудованию. |
| В.22 | Действия и (или) операции со средствами криптографической защиты информации и ключевой информацией. |
| В.23 | Действия и (или) операции по использованию разблокированных коммуникационных портов. |
| В.24 | Действия и (или) операции по передаче информации с использованием электронной почты. |
| В.25 | Действия и (или) операции при осуществлении доступа к ресурсам сети Интернет. |
| В.26 | Действия и (или) операции при осуществлении доступа к серверным компонентам виртуализации виртуальными машинами, логическими разделами или томами. |
| В.27 | Факты выявления нарушений при доверенной загрузке виртуальных машин. |
| В.28 | Действия и (или) операции при администрировании системы хранения данных. |
| В.29 | Действия и (или) операции по использованию подконтрольных мобильных устройств. |
Некоторые возможные риски несоблюдения ГОСТ Р 57580.1-2017:
Несоблюдение ГОСТ Р 57580.1-2017 создает значительные операционные, финансовые и репутационные риски для финансовых организаций, включая возможные инциденты с утечками данных, простоями и потерями клиентов.
1. Финансовые и операционные риски
Реализация информационных угроз приводит к несанкционированным переводам средств без согласия клиентов, нарушению непрерывности услуг и прямым убыткам для организации, причастных сторон и клиентов; это также увеличивает нагрузку на капитал из-за существенных потерь.
2. Регуляторные и репутационные последствия
Отсутствие реализации мер ГОСТ Р 57580.1–2017 в соответствии с требованиями положения Банка России 757-П, 802-П, 821-П, 851-П может повлечь за собой нарушение законодательства РФ и потенциальные санкции от Банка России, включая отзыв лицензии, штрафы и оценку деловой репутации. Системные инциденты могут затронуть финансовую экосистему, вызывая потерю доверия и репутационные потери на рынке.
