ГОСТ Р 57580.1-2017
ГОСТ Р 57580.1-2017. Национальный стандарт Российской Федерации. «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
Кого касается
- кредитные организации;
- некредитные финансовые организации;
- субъекты национальной платежной системы.
Самое главное
ГОСТ P 57580.1-2017 определяет уровни защиты информации и соответствующие им требования к базовому составу мер защиты информации, которые применяются финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.
Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах.
Используемые термины
Меры защиты информации: Организационные (в том числе управленческие) и технические меры, применяемые для защиты информации и обеспечения доступности автоматизированной системы (АС).
Техническая мера защиты информации: Мера защиты информации, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.
Организационная мера защиты информации: Мера, не являющаяся технической мерой защиты информации, предусматривающая установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и (или) иных связанных с ним объектов.
Контур безопасности: Совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).
Инцидент защиты информации: Одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов, технологических процессов финансовой организации и (или) нарушить безопасность информации.
Краткое изложение
Развитие и укрепление банковской системы Российской Федерации, развитие и обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Банка России. Одним из основных условий реализации этих целей является обеспечение необходимого и достаточного уровня защиты информации в кредитных организациях, некредитных финансовых организациях РФ, а также субъектах национальной платежной системы (при совместном упоминании — финансовые организации).
В случаях наступления инцидентов защиты информации их негативные последствия в работе отдельных финансовых организаций могут привести к быстрому развитию системного кризиса банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы, нанести существенный ущерб интересам собственников и клиентов финансовых организаций. Поэтому для финансовых организаций угрозы безопасности информации представляют существенную опасность, а обеспечение защиты информации является для финансовых организаций одним из основополагающих аспектов их деятельности.
Для противостояния угрозам безопасности информации и их влиянию на операционный риск финансовым организациям следует обеспечить необходимый и достаточный уровень защиты информации, а также сохранять этот уровень при изменении условий как внутри, так и вне организаций.
Банк России в пределах своей компетенции, по согласованию с ФСБ России и ФСТЭК России, устанавливает в нормативных актах Банка России для финансовых организаций требования к обеспечению защиты информации при осуществлении банковской деятельности и деятельности в сфере финансовых рынков.
Основными целями ГОСТ Р 57580.1-2017 являются:
- определение уровней защиты информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации;
- достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска;
- обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями.
Базовый состав мер защиты информации, применим к совокупности объектов информатизации, в том числе автоматизированным системам (АС), используемым финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств.
Для реализации требований стандарта финансовыми организациями важен 6 раздел документа, где содержатся:
- описание общей методологии применения финансовыми организациями требований к содержанию базового состава мер защиты информации, определенного в настоящем стандарте;
- определение уровней защиты информации, реализуемых финансовой организацией.
- уровень 3 — минимальный;
- уровень 2 — стандартный;
- уровень 1 — усиленный.
Уровень защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
- требования к системе защиты информации;
- требования к организации и управлению защитой информации;
- требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
Процесс 1 «Обеспечение защиты информации при управлении доступом».
- Управление учетными записями и правами субъектов логического доступа;
- Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа;
- Защита информации при осуществлении физического доступа;
- Идентификация и учет ресурсов и объектов доступа.
Процесс 2 «Обеспечение защиты вычислительных сетей».
- Сегментация и межсетевое экранирование вычислительных сетей;
- Выявление вторжений и сетевых атак;
- Защита информации, передаваемой по вычислительным сетям;
- Защита беспроводных сетей.
Процесс 3 «Контроль целостности и защищенности информационной инфраструктуры».
Процесс 4 «Защита от вредоносного кода».
Процесс 5 «Предотвращение утечек информации».
Процесс 6 «Управление инцидентами защиты информации».
- Мониторинг и анализ событий защиты информации;
- Обнаружение инцидентов защиты информации и реагирование на них.
Процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».
Требования к организации и управлению защитой информации.
Направление 1 «Планирование процесса системы защиты информации».
Направление 2 «Реализация процесса системы защиты информации».
Направление 3 «Контроль процесса системы защиты информации».
Направление 4 «Совершенствование процесса системы защиты информации».
Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
Базовый состав мер на этапе «Создание (модернизация) АС».
Базовый состав мер на этапе «Ввод в эксплуатацию АС».
Базовый состав мер на этапе «Эксплуатация (сопровождение) АС».
Базовый состав мер на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации АС».