ГОСТ Р 57580.1-2017

ГОСТ Р 57580.1-2017.  Национальный стандарт Российской Федерации. «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»


Кого касается
  • кредитные организации;
  • некредитные финансовые организации;
  • субъекты национальной платежной системы.

Самое главное

ГОСТ P 57580.1-2017 определяет уровни защиты информации и соответствующие им требования к базовому составу мер защиты информации, которые применяются финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах.


Используемые термины

Меры защиты информации: Организационные (в том числе управленческие) и технические меры, применяемые для защиты информации и обеспечения доступности автоматизированной системы (АС).

Техническая мера защиты информации: Мера защиты информации, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.

Организационная мера защиты информации: Мера, не являющаяся технической мерой защиты информации, предусматривающая установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и (или) иных связанных с ним объектов.

Контур безопасности: Совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).

Инцидент защиты информации: Одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов, технологических процессов финансовой организации и (или) нарушить безопасность информации.

Краткое изложение

Развитие и укрепление банковской системы Российской Федерации, развитие и обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Банка России. Одним из основных условий реализации этих целей является обеспечение необходимого и достаточного уровня защиты информации в кредитных организациях, некредитных финансовых организациях РФ, а также субъектах национальной платежной системы (при совместном упоминании — финансовые организации).

В случаях наступления инцидентов защиты информации их негативные последствия в работе отдельных финансовых организаций могут привести к быстрому развитию системного кризиса банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы, нанести существенный ущерб интересам собственников и клиентов финансовых организаций. Поэтому для финансовых организаций угрозы безопасности информации представляют существенную опасность, а обеспечение защиты информации является для финансовых организаций одним из основополагающих аспектов их деятельности.

Для противостояния угрозам безопасности информации и их влиянию на операционный риск финансовым организациям следует обеспечить необходимый и достаточный уровень защиты информации, а также сохранять этот уровень при изменении условий как внутри, так и вне организаций.

Банк России в пределах своей компетенции, по согласованию с ФСБ России и ФСТЭК России, устанавливает в нормативных актах Банка России для финансовых организаций требования к обеспечению защиты информации при осуществлении банковской деятельности и деятельности в сфере финансовых рынков.

Основными целями ГОСТ Р 57580.1-2017 являются:
  • определение уровней защиты информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации;
  • достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска;
  • обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями.
ГОСТ Р 57580.1-2017 определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, которые применяются финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

Базовый состав мер защиты информации, применим к совокупности объектов информатизации, в том числе автоматизированным системам (АС), используемым финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств.

Для реализации требований стандарта финансовыми организациями важен 6 раздел документа, где содержатся:
  • описание общей методологии применения финансовыми организациями требований к содержанию базового состава мер защиты информации, определенного в настоящем стандарте;
  • определение уровней защиты информации, реализуемых финансовой организацией.
ГОСТ Р 57580.1-2017 определяет три уровня защиты информации:
  • уровень 3 — минимальный;
  • уровень 2 — стандартный;
  • уровень 1 — усиленный.
В финансовой организации формируются один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации.

Уровень защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
  • вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
  • объема финансовых операций;
  • размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
  • значимости финансовой организации для финансового рынка и национальной платежной системы.
В стандарте все меры защиты информации делятся на 3 группы:
  1. требования к системе защиты информации;
  2. требования к организации и управлению защитой информации;
  3. требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
Требования к системе защиты информации.

Процесс 1 «Обеспечение защиты информации при управлении доступом».
  • Управление учетными записями и правами субъектов логического доступа;
  • Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа;
  • Защита информации при осуществлении физического доступа;
  • Идентификация и учет ресурсов и объектов доступа.

Процесс 2 «Обеспечение защиты вычислительных сетей».
  • Сегментация и межсетевое экранирование вычислительных сетей;
  • Выявление вторжений и сетевых атак;
  • Защита информации, передаваемой по вычислительным сетям;
  • Защита беспроводных сетей.

Процесс 3 «Контроль целостности и защищенности информационной инфраструктуры».

Процесс 4 «Защита от вредоносного кода».

Процесс 5 «Предотвращение утечек информации».

Процесс 6 «Управление инцидентами защиты информации».
  • Мониторинг и анализ событий защиты информации;
  • Обнаружение инцидентов защиты информации и реагирование на них.
Процесс 7 «Защита среды виртуализации».

Процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».

Требования к организации и управлению защитой информации.

Направление 1 «Планирование процесса системы защиты информации».

Направление 2 «Реализация процесса системы защиты информации».

Направление 3 «Контроль процесса системы защиты информации».

Направление 4 «Совершенствование процесса системы защиты информации».

Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.

Базовый состав мер на этапе «Создание (модернизация) АС».
Базовый состав мер на этапе «Ввод в эксплуатацию АС».
Базовый состав мер на этапе «Эксплуатация (сопровождение) АС».
Базовый состав мер на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации АС».

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией

Оставьте заявку на  бесплатную консультацию