ГОСТ Р 57580.2-2018

ГОСТ Р 57580.2-2018

Безопасность финансовых (банковских) операций, защита информации финансовых организаций

Описание ГОСТ Р 57580.2-2018

Объекты:

  • Кредитные организации (КО), филиалы иностранных банков, зарегистрированные на территории Российской Федерации.
  • Некредитные финансовые организации (НФО) осуществляющие следующие виды деятельности:
    • профессиональных участников рынка ценных бумаг;
    • управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
    • специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
    • акционерных инвестиционных фондов;
    • клиринговую деятельность;
    • деятельность по осуществлению функций центрального контрагента;
    • деятельность организатора торговли;
    • деятельность центрального депозитария;
    • репозитарную деятельность;
    • деятельность субъектов страхового дела;
    • негосударственных пенсионных фондов;
    • микрофинансовых организаций;
    • кредитных потребительских кооперативов;
    • жилищных накопительных кооперативов;
    • сельскохозяйственных кредитных потребительских кооперативов;
    • деятельность оператора инвестиционной платформы;
    • ломбардов;
    • оператора финансовой платформы;
    • операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
    • операторов обмена цифровых финансовых активов.

Самое главное:

ГОСТ Р 57580.2-2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1-2017, применяемых финансовой организацией для реализации требований к обеспечению ЗИ, установленных нормативными актами Банка России.

Используемые термины:

Оценка соответствия защиты информации – процесс оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1, выполняемой проверяющей организацией.

Проверяющая организация – организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ).

Проверяющая группа – группа, состоящая из сотрудников проверяющей организации, а также (при необходимости) иных лиц, уполномоченных проверяющей организацией проводить оценку соответствия защиты информации финансовой организации.

Проверяемая организация – финансовая организация, в отношении которой проводится оценка соответствия защиты информации.

Структура ГОСТ Р 57580.2-2018:

ГОСТ Р 57580.2-2018 состоит из следующих разделов, которые необходимо учитывать в рамках проведения оценки соответствия и оформления:

Раздел 6 содержит описание общей методологии оценки соответствия ЗИ.

Раздел 7 содержит:

  • требования к методике оценки соответствия ЗИ;
  • описание методологии определения итоговой оценки соответствия ЗИ.

Раздел 8 содержит требования к оформлению результатов оценки соответствия ЗИ.

В приложении А приведена форма листов для сбора свидетельств оценки соответствия ЗИ, которые оформляются как приложения к отчету по результатам оценки соответствия ЗИ.

В приложении Б приведен примерный перечень нарушений ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам.

В приложении В приведены формы таблиц оценок, которые оформляются как приложения к отчету по результатам оценки соответствия ЗИ.

Общие положения ГОСТ Р 57580.2-2018:

В область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств (далее при совместном упоминании - АС). Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1. Количество и выборку проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ, определяет проверяющая организация самостоятельно с учетом предложений проверяемой организации и обеспечения достоверности итоговой оценки соответствия ЗИ.

Проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ предоставляет проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

Оценку соответствия ЗИ осуществляют по следующим направлениям:

  • выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 7);
  • полнота реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 8);
  • обеспечение ЗИ на этапах жизненного цикла АС финансовой организации (ГОСТ Р 57580.1-2017, раздел 9).

Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, осуществляют отдельно для следующих процессов ЗИ:

  • процесс 1 «Обеспечение защиты информации при управлении доступом»;
  • процесс 2 «Обеспечение защиты вычислительных сетей»;
  • процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»;
  • процесс 4 «Защита от вредоносного кода»;
  • процесс 5 «Предотвращение утечек информации»;
  • процессе 6 «Управление инцидентами защиты информации»;
  • процесс 7 «Защита среды виртуализации»;
  • процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».

Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 1 «Обеспечение защиты информации при управлении доступом» осуществляют отдельно для следующих подпроцессов системы ЗИ:

  • «Управление учетными записями и правами субъектов логического доступа»;
  • «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;
  • «Защита информации при осуществлении физического доступа»;
  • «Идентификация, классификация и учет ресурсов и объектов доступа».

Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 2 «Обеспечение защиты вычислительных сетей» осуществляют отдельно для следующих подпроцессов системы ЗИ:

  • «Сегментация и межсетевое экранирование вычислительных сетей»;
  • «Выявление вторжений и сетевых атак»;
  • «Защита информации, передаваемой по вычислительным сетям»;
  • «Защита беспроводных сетей».

Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 6 «Управление инцидентами защиты информации» осуществляют отдельно для следующих подпроцессов системы ЗИ:

  • «Мониторинг и анализ событий защиты информации»;
  • «Обнаружение инцидентов защиты информации и реагирование на них».

Оценку полноты реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации, осуществляют отдельно для каждого из процессов ЗИ, указанных в 6.3, по следующим направлениям:

  • направление 1 «Планирование процесса системы защиты информации» (см. ГОСТ Р 57580.1-2017, подраздел 8.2);
  • направление 2 «Реализация процесса системы защиты информации» (см. ГОСТ Р 57580.1-2017, подраздел 8.3);
  • направление 3 «Контроль процесса системы защиты информации» (см. ГОСТ Р 57580.1-2017, подраздел 8.4);
  • направление 4 «Совершенствование процесса системы защиты информации» (см. ГОСТ Р 57580.1-2017, подраздел 8.5).

Оценку ЗИ на этапах жизненного цикла АС финансовой организации осуществляют в случаях распространения (в соответствии с требованиями нормативных актов Банка России) области применения ГОСТ Р 57580.1 на АС, используемые финансовой организацией для выполнения отдельных видов бизнес-процессов или технологических процессов.

Для оценки полноты реализации процессов системы ЗИ используют следующую качественную модель оценивания:

а) нулевой уровень соответствия: организационные и технические меры процесса системы ЗИ не реализуются или реализуются в единичных случаях. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;

б) первый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно и/или эпизодически. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;

в) второй уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ установлены в единичных случаях. Реализация организационных и технических мер процесса системы ЗИ осуществляется на усмотрение исполнителя. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ практически не осуществляются;

г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;

д) четвертый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ;

е) пятый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации реализованы постоянный контроль и необходимое своевременное совершенствование реализации организационных и технических мер процесса системы ЗИ.

Оценку соответствия процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют в соответствии со следующим общим подходом.

Оценку, характеризующую выбор финансовой организацией каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (раздел 7), ЕМЗИ определяют путем использования следующих числовых значений:

  • 0 - не выбрана (при отсутствии у проверяемой организации свидетельств выбора);
  • 1 - выбрана (при предъявлении проверяемой организацией свидетельств выбора).

Значения оценок заносят в формы, приведенные в таблицах В.1-В.8 (приложение В), для каждого из процессов системы ЗИ.

Оценку, характеризующую полноту реализации каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (раздел 8), Е МОУ определяют путем использования следующих числовых значений:

  • 0 - полностью не реализуется;
  • 0,5 - реализуется не в полном объеме;
  • 1,0 - реализуется в полном объеме.

Значения оценок заносят в формы, приведенные в таблицах В.10-В.13 (приложение В), для каждого направления ЗИ системы организации и управления ЗИ и каждого процесса системы ЗИ.

Оценку, характеризующую реализацию каждой из организационных и технических мер ЗИ, применяемых на этапах жизненного цикла АС и установленных в ГОСТ Р 57580.1-2017 (раздел 9), ЕМАС определяют путем использования следующих числовых значений:

  • 0 - полностью не реализуется;
  • 0,5 - реализуется не в полном объеме;
  • 1,0 - реализуется в полном объеме.

Значения оценок заносят в форму, приведенную в таблице В.9 (приложение В).

Перед определением оценок ЕМЗИ, ЕМОУ и ЕМАС для соответствующих процессов (подпроцессов) системы ЗИ и направлений ЗИ проверяющей группой совместно с проверяемой организацией может быть определен перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ).

В перечень неоцениваемых областей оценки соответствия ЗИ могут быть включены организационные и технические меры ЗИ:

  • непосредственно связанные с информационными технологиями, не используемыми в проверяемой организации;
  • реализация которых не является необходимой для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации. При этом проверяющая группа должна проверить актуальность и обоснованность действующей модели угроз и нарушителей безопасности информации проверяемой организации.

Перечень неоцениваемых областей оценки соответствия ЗИ с обоснованием их исключения из области оценки соответствия ЗИ включают в отчет по результатам оценки соответствия ЗИ.

В случае, если в соответствии с ГОСТ Р 57580.1-2017 (пункт 6.4) вместо организационных и технических мер ЗИ, предусмотренных ГОСТ Р 57580.1, применяют иные (компенсирующие) меры ЗИ, при определении оценок Е МЗИ, Е МОУ и Е МАС для соответствующих процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют оценку компенсирующих мер в соответствии с 6.10.1-6.10.3.

Обоснование применения компенсирующих мер ЗИ включают в отчет по результатам оценки соответствия ЗИ.

Оценку соответствия ЗИ следует основывать на свидетельствах, в качестве основных источников которых рекомендуется использовать:

  • документы проверяемой организации и иные материалы проверяемой организации в бумажном или электронном виде и, при необходимости, документы третьих лиц, относящиеся к обеспечению ЗИ финансовой организации и находящиеся в распоряжении проверяемой организации;
  • устные высказывания сотрудников проверяемой организации в процессе проводимых опросов в области оценки соответствия ЗИ;
  • результаты наблюдений членов проверяющей группы за процессами системы ЗИ и деятельностью сотрудников проверяемой организации в области оценки соответствия ЗИ;
  • параметры конфигураций и настроек технических объектов информатизации и средств ЗИ;
  • технические и программные средства сбора свидетельств полноты реализации мер ЗИ (анализ электронных журналов регистрации, анализ фактических настроек, анализ уязвимостей, проведение тестирования на проникновение и т.п.).

Выбор конкретных источников свидетельств при проведении оценки соответствия ЗИ осуществляет проверяющая организация (проверяющая группа) с учетом предложений проверяемой организации и обеспечения максимальной достоверности оценки соответствия ЗИ.

При проведении оценки соответствия ЗИ сотрудники проверяющей организации (проверяющая группа) при сборе свидетельств выбора и реализации финансовой организацией организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1 по согласованию с проверяемой организацией могут использовать технические и программные средства для анализа параметров конфигураций, фактических настроек и электронных журналов регистрации технических объектов информатизации и средств ЗИ, а также результаты анализа уязвимостей и проведения тестирования на проникновение.

Проверку параметров конфигураций, фактических настроек и электронных журналов регистрации технических объектов информатизации и средств ЗИ проверяемой организации, а также результатов анализа уязвимостей и проведения тестирования на проникновение осуществляют в присутствии уполномоченных сотрудников проверяемой организации.

Полученные свидетельства и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств оценки процессов системы ЗИ и направлений ЗИ, форма которых приведена в приложении А. При заполнении листов для сбора свидетельств необходимо указать ссылки на соответствующие документы и иные материалы проверяемой организации или документы третьих лиц, результаты опроса сотрудников проверяемой организации, результаты наблюдений членов проверяющей группы, а также результаты работы технических и программных средств в соответствии с 6.14. Результаты опроса должны быть подтверждены подписями члена (членов) проверяющей группы и опрашиваемого сотрудника (сотрудников) проверяемой организации.

Таблица качественной оценки уровня соответствия процессов системы ЗИ:

E iУровень соответствия
E i = 0Нулевой
0 < E i ≤ 0,5Первый
0,5 < E i ≤ 0,7Второй
0,7 < E i ≤ 0,85Третий
0,85 < E i ≤ 0,9Четвертый
0,9 < E i ≤ 1Пятый

ГОСТ Р 57580.1–2018 устанавливает требования к оформлению результатов оценки соответствия защиты информации.

В том числе отчет должен содержать следующие данные:

  • сведения о проверяющей организации;
  • сведения о руководителе и членах проверяющей группы;
  • сведения о проверяемой организации;
  • сведения о заказчике оценки соответствия ЗИ;
  • цель оценки соответствия ЗИ;
  • сроки проведения оценки соответствия ЗИ;
  • область оценки соответствия ЗИ;
  • перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
  • обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
  • краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ;
  • числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
  • подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки соответствия ЗИ;
  • неразрешенные разногласия между проверяющей группой и проверяемой организацией;
  • перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;
  • сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ;
  • опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
  • опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

К отчету по результатам оценки соответствия ЗИ прилагаются и являются его неотъемлемой частью заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки, по форме, приведенной в приложении А

Приложение А

Форма листов для сбора свидетельств оценки соответствия ЗИ

Процесс (подпроцесс) системы ЗИ, направление ЗИ

_____________________________________________________________________

Условное обозначение и номер меры ЗИ Источники свидетельств оценки соответствия ЗИ (документы, результаты опроса или наблюдений) Ф.И.О. и должность сотрудника (сотрудников) проверяемой организации, предоставившего (предоставивших) свидетельства оценки соответствия ЗИ Подписи члена (членов) проверяющей группы и сотрудника (сотрудников) проверяемой организации   Дата  
     
     
     
     
     
     
     
     
     
     
     

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией