ГОСТ Р 57580.2-2018
Описание ГОСТ Р 57580.2-2018
Объекты:
- Кредитные организации (КО), филиалы иностранных банков, зарегистрированные на территории Российской Федерации.
- Некредитные финансовые организации (НФО) осуществляющие следующие виды деятельности:
- профессиональных участников рынка ценных бумаг;
- управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
- специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
- акционерных инвестиционных фондов;
- клиринговую деятельность;
- деятельность по осуществлению функций центрального контрагента;
- деятельность организатора торговли;
- деятельность центрального депозитария;
- репозитарную деятельность;
- деятельность субъектов страхового дела;
- негосударственных пенсионных фондов;
- микрофинансовых организаций;
- кредитных потребительских кооперативов;
- жилищных накопительных кооперативов;
- сельскохозяйственных кредитных потребительских кооперативов;
- деятельность оператора инвестиционной платформы;
- ломбардов;
- оператора финансовой платформы;
- операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
- операторов обмена цифровых финансовых активов.
Самое главное:
ГОСТ Р 57580.2-2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1-2017, применяемых финансовой организацией для реализации требований к обеспечению ЗИ, установленных нормативными актами Банка России.
Используемые термины:
Оценка соответствия защиты информации – процесс оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1, выполняемой проверяющей организацией.
Проверяющая организация – организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ).
Проверяющая группа – группа, состоящая из сотрудников проверяющей организации, а также (при необходимости) иных лиц, уполномоченных проверяющей организацией проводить оценку соответствия защиты информации финансовой организации.
Проверяемая организация – финансовая организация, в отношении которой проводится оценка соответствия защиты информации.
Структура ГОСТ Р 57580.2-2018:
ГОСТ Р 57580.2-2018 состоит из следующих разделов, которые необходимо учитывать в рамках проведения оценки соответствия и оформления:
Раздел 6 содержит описание общей методологии оценки соответствия ЗИ.
Раздел 7 содержит:
- требования к методике оценки соответствия ЗИ;
- описание методологии определения итоговой оценки соответствия ЗИ.
Раздел 8 содержит требования к оформлению результатов оценки соответствия ЗИ.
В приложении А приведена форма листов для сбора свидетельств оценки соответствия ЗИ, которые оформляются как приложения к отчету по результатам оценки соответствия ЗИ.
В приложении Б приведен примерный перечень нарушений ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам.
В приложении В приведены формы таблиц оценок, которые оформляются как приложения к отчету по результатам оценки соответствия ЗИ.
Общие положения ГОСТ Р 57580.2-2018:
В область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств (далее при совместном упоминании - АС). Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1. Количество и выборку проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ, определяет проверяющая организация самостоятельно с учетом предложений проверяемой организации и обеспечения достоверности итоговой оценки соответствия ЗИ.
Проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ предоставляет проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.
Оценку соответствия ЗИ осуществляют по следующим направлениям:
- выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 7);
- полнота реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 8);
- обеспечение ЗИ на этапах жизненного цикла АС финансовой организации (ГОСТ Р 57580.1-2017, раздел 9).
Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, осуществляют отдельно для следующих процессов ЗИ:
- процесс 1 «Обеспечение защиты информации при управлении доступом»;
- процесс 2 «Обеспечение защиты вычислительных сетей»;
- процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»;
- процесс 4 «Защита от вредоносного кода»;
- процесс 5 «Предотвращение утечек информации»;
- процессе 6 «Управление инцидентами защиты информации»;
- процесс 7 «Защита среды виртуализации»;
- процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».
Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 1 «Обеспечение защиты информации при управлении доступом» осуществляют отдельно для следующих подпроцессов системы ЗИ:
- «Управление учетными записями и правами субъектов логического доступа»;
- «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;
- «Защита информации при осуществлении физического доступа»;
- «Идентификация, классификация и учет ресурсов и объектов доступа».
Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 2 «Обеспечение защиты вычислительных сетей» осуществляют отдельно для следующих подпроцессов системы ЗИ:
- «Сегментация и межсетевое экранирование вычислительных сетей»;
- «Выявление вторжений и сетевых атак»;
- «Защита информации, передаваемой по вычислительным сетям»;
- «Защита беспроводных сетей».
Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 6 «Управление инцидентами защиты информации» осуществляют отдельно для следующих подпроцессов системы ЗИ:
- «Мониторинг и анализ событий защиты информации»;
- «Обнаружение инцидентов защиты информации и реагирование на них».
Оценку полноты реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации, осуществляют отдельно для каждого из процессов ЗИ, указанных в 6.3, по следующим направлениям:
- направление 1 «Планирование процесса системы защиты информации» (см. ГОСТ Р 57580.1-2017, подраздел 8.2);
- направление 2 «Реализация процесса системы защиты информации» (см. ГОСТ Р 57580.1-2017, подраздел 8.3);
- направление 3 «Контроль процесса системы защиты информации» (см. ГОСТ Р 57580.1-2017, подраздел 8.4);
- направление 4 «Совершенствование процесса системы защиты информации» (см. ГОСТ Р 57580.1-2017, подраздел 8.5).
Оценку ЗИ на этапах жизненного цикла АС финансовой организации осуществляют в случаях распространения (в соответствии с требованиями нормативных актов Банка России) области применения ГОСТ Р 57580.1 на АС, используемые финансовой организацией для выполнения отдельных видов бизнес-процессов или технологических процессов.
Для оценки полноты реализации процессов системы ЗИ используют следующую качественную модель оценивания:
а) нулевой уровень соответствия: организационные и технические меры процесса системы ЗИ не реализуются или реализуются в единичных случаях. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;
б) первый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно и/или эпизодически. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;
в) второй уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ установлены в единичных случаях. Реализация организационных и технических мер процесса системы ЗИ осуществляется на усмотрение исполнителя. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ практически не осуществляются;
г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;
д) четвертый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ;
е) пятый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации реализованы постоянный контроль и необходимое своевременное совершенствование реализации организационных и технических мер процесса системы ЗИ.
Оценку соответствия процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют в соответствии со следующим общим подходом.
Оценку, характеризующую выбор финансовой организацией каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (раздел 7), ЕМЗИ определяют путем использования следующих числовых значений:
- 0 - не выбрана (при отсутствии у проверяемой организации свидетельств выбора);
- 1 - выбрана (при предъявлении проверяемой организацией свидетельств выбора).
Значения оценок заносят в формы, приведенные в таблицах В.1-В.8 (приложение В), для каждого из процессов системы ЗИ.
Оценку, характеризующую полноту реализации каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (раздел 8), Е МОУ определяют путем использования следующих числовых значений:
- 0 - полностью не реализуется;
- 0,5 - реализуется не в полном объеме;
- 1,0 - реализуется в полном объеме.
Значения оценок заносят в формы, приведенные в таблицах В.10-В.13 (приложение В), для каждого направления ЗИ системы организации и управления ЗИ и каждого процесса системы ЗИ.
Оценку, характеризующую реализацию каждой из организационных и технических мер ЗИ, применяемых на этапах жизненного цикла АС и установленных в ГОСТ Р 57580.1-2017 (раздел 9), ЕМАС определяют путем использования следующих числовых значений:
- 0 - полностью не реализуется;
- 0,5 - реализуется не в полном объеме;
- 1,0 - реализуется в полном объеме.
Значения оценок заносят в форму, приведенную в таблице В.9 (приложение В).
Перед определением оценок ЕМЗИ, ЕМОУ и ЕМАС для соответствующих процессов (подпроцессов) системы ЗИ и направлений ЗИ проверяющей группой совместно с проверяемой организацией может быть определен перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ).
В перечень неоцениваемых областей оценки соответствия ЗИ могут быть включены организационные и технические меры ЗИ:
- непосредственно связанные с информационными технологиями, не используемыми в проверяемой организации;
- реализация которых не является необходимой для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации. При этом проверяющая группа должна проверить актуальность и обоснованность действующей модели угроз и нарушителей безопасности информации проверяемой организации.
Перечень неоцениваемых областей оценки соответствия ЗИ с обоснованием их исключения из области оценки соответствия ЗИ включают в отчет по результатам оценки соответствия ЗИ.
В случае, если в соответствии с ГОСТ Р 57580.1-2017 (пункт 6.4) вместо организационных и технических мер ЗИ, предусмотренных ГОСТ Р 57580.1, применяют иные (компенсирующие) меры ЗИ, при определении оценок Е МЗИ, Е МОУ и Е МАС для соответствующих процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют оценку компенсирующих мер в соответствии с 6.10.1-6.10.3.
Обоснование применения компенсирующих мер ЗИ включают в отчет по результатам оценки соответствия ЗИ.
Оценку соответствия ЗИ следует основывать на свидетельствах, в качестве основных источников которых рекомендуется использовать:
- документы проверяемой организации и иные материалы проверяемой организации в бумажном или электронном виде и, при необходимости, документы третьих лиц, относящиеся к обеспечению ЗИ финансовой организации и находящиеся в распоряжении проверяемой организации;
- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов в области оценки соответствия ЗИ;
- результаты наблюдений членов проверяющей группы за процессами системы ЗИ и деятельностью сотрудников проверяемой организации в области оценки соответствия ЗИ;
- параметры конфигураций и настроек технических объектов информатизации и средств ЗИ;
- технические и программные средства сбора свидетельств полноты реализации мер ЗИ (анализ электронных журналов регистрации, анализ фактических настроек, анализ уязвимостей, проведение тестирования на проникновение и т.п.).
Выбор конкретных источников свидетельств при проведении оценки соответствия ЗИ осуществляет проверяющая организация (проверяющая группа) с учетом предложений проверяемой организации и обеспечения максимальной достоверности оценки соответствия ЗИ.
При проведении оценки соответствия ЗИ сотрудники проверяющей организации (проверяющая группа) при сборе свидетельств выбора и реализации финансовой организацией организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1 по согласованию с проверяемой организацией могут использовать технические и программные средства для анализа параметров конфигураций, фактических настроек и электронных журналов регистрации технических объектов информатизации и средств ЗИ, а также результаты анализа уязвимостей и проведения тестирования на проникновение.
Проверку параметров конфигураций, фактических настроек и электронных журналов регистрации технических объектов информатизации и средств ЗИ проверяемой организации, а также результатов анализа уязвимостей и проведения тестирования на проникновение осуществляют в присутствии уполномоченных сотрудников проверяемой организации.
Полученные свидетельства и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств оценки процессов системы ЗИ и направлений ЗИ, форма которых приведена в приложении А. При заполнении листов для сбора свидетельств необходимо указать ссылки на соответствующие документы и иные материалы проверяемой организации или документы третьих лиц, результаты опроса сотрудников проверяемой организации, результаты наблюдений членов проверяющей группы, а также результаты работы технических и программных средств в соответствии с 6.14. Результаты опроса должны быть подтверждены подписями члена (членов) проверяющей группы и опрашиваемого сотрудника (сотрудников) проверяемой организации.
Таблица качественной оценки уровня соответствия процессов системы ЗИ:
| E i | Уровень соответствия |
|---|---|
| E i = 0 | Нулевой |
| 0 < E i ≤ 0,5 | Первый |
| 0,5 < E i ≤ 0,7 | Второй |
| 0,7 < E i ≤ 0,85 | Третий |
| 0,85 < E i ≤ 0,9 | Четвертый |
| 0,9 < E i ≤ 1 | Пятый |
ГОСТ Р 57580.1–2018 устанавливает требования к оформлению результатов оценки соответствия защиты информации.
В том числе отчет должен содержать следующие данные:
- сведения о проверяющей организации;
- сведения о руководителе и членах проверяющей группы;
- сведения о проверяемой организации;
- сведения о заказчике оценки соответствия ЗИ;
- цель оценки соответствия ЗИ;
- сроки проведения оценки соответствия ЗИ;
- область оценки соответствия ЗИ;
- перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
- обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
- краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ;
- числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
- подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки соответствия ЗИ;
- неразрешенные разногласия между проверяющей группой и проверяемой организацией;
- перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;
- сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ;
- опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
- опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.
К отчету по результатам оценки соответствия ЗИ прилагаются и являются его неотъемлемой частью заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки, по форме, приведенной в приложении А
Приложение А
Форма листов для сбора свидетельств оценки соответствия ЗИ
Процесс (подпроцесс) системы ЗИ, направление ЗИ
_____________________________________________________________________
| Условное обозначение и номер меры ЗИ | Источники свидетельств оценки соответствия ЗИ (документы, результаты опроса или наблюдений) | Ф.И.О. и должность сотрудника (сотрудников) проверяемой организации, предоставившего (предоставивших) свидетельства оценки соответствия ЗИ | Подписи члена (членов) проверяющей группы и сотрудника (сотрудников) проверяемой организации | Дата |
|---|---|---|---|---|
