В данной статье мы разберём все необходимые аспекты, которые помогут получить объективную оценку защищённости по требованиям Банка Росси.

Не так давно Банк России перешёл на нормативные акты нового типа. В части требований по защите информации которых (далее ЗИ), они ссылаются на требования ГОСТ 57580.1. Также ими установлены требуемые уровни защиты информации и уровни соответствия защиты информации.

В этих двух почти одинаково звучащих понятиях многие зачастую путаются. Уровень защиты информации определяет состав организационных и технических мер защиты информации. В ГОСТ Р 57580.1 определены три уровня защиты информации: минимальный (уровень 3), стандартный (уровень 2) и усиленный (уровень 1).

Уровень соответствия защиты информации определяет, в какой степени финансовая организация реализовала организационные и технические меры защиты информации. В ГОСТ Р 57580.2 установлено пять уровней соответствия. В соответствии с требованиями нормативных актов Банка России в итоге финансовые организации должны обеспечить уровень соответствия не ниже четвёртого.

Актуальные нормативные акты Банка России по защите информации:

Во многих организациях возникают вопросы: когда же надо соответствовать. При этом зачастую ссылаются на письма Банка России в которых определены сроки проведения оценки соответствия. Здесь важно различать два аспекта: когда соответствовать и когда проводить оценку. В своих разъяснениях Банк России определяет допустимые сроки проведения оценки соответствия, но сроки обеспечения Банком того или иного уровня соответствия остаются неизменными относительно требований его нормативных актов. Например, уже сейчас кредитные организации должны обеспечивать третий уровень соответствия. В рамках комплексных или тематических проверок Банк России может проверить реализацию отдельных требований и при их невыполнении выдать предписания по устранению несоответствий. Мы считаем, что с оценкой соответствия лучше не затягивать, поскольку к установленному сроку все аудиторы на рынке будут перегружены работой, так как многие организации будут делать всё в последний день, из-за чего вы можете долго ожидать своей очереди или получить некачественную оценку. Кроме того, представляется целесообразным сначала выполнить предварительную оценку, понять своё состояние защищённости. Далее реализовать недостающие меры и уже после этого провести оценку соответствия, результаты которой потом предоставить Банку России.

Перед заключением договора на оценку соответствия требованиям целесообразно обратить внимание на ряд аспектов, которые могут повлиять на состав заказываемых работ.

На начало 2022 года, например, для кредитных организаций, будет действовать несколько нормативных актов, которые требуют соответствия стандарту Банка России. Рассмотрим минимальную область оценки ГОСТ Р 57580.1:

683-П, 719-П

747-П

Правила платёжных систем, отличных от платёжной системы Банка России (при включении их владельцами в них соответствующих требований):

Приказ Минкомсвязи России от 25.06.2018 №321

Как видим, для кредитных организаций область оценки требованиям ГОСТ Р 57580.1 в области действия №683-П и №719-П, как правило, одинакова.

Предваряя дальнейшие наши рассуждения хочется пояснить, что ряд мер ГОСТ Р 57580.1 ориентирован на конкретный объект (систему), например, требования управления доступом должны быть реализованы и, в ходе оценки соответствия, проверены в каждой входящей в объект оценки системе. А ряд мер ориентирован на организацию процесса в рамках всей организации, например, управление инцидентами защиты информации. .

Исходя из этого, при небольшом объекте оценки, например, объект положения № 747-П, много трудозатрат всё равно уйдёт на оценку мер, ориентированных на организацию процесса в рамках всей организации. Потому оценку требованиям ГОСТ Р 57580.1 в области действия, Положения №747-П отдельно проводить экономически нецелесообразно.

Исходя из опыта, целесообразно заказывать комплексную оценку требованиям ГОСТ Р 57580.1 сразу в области действия №683-П, №719-П, №747-П, Приказа Минкомсвязи России от 25.06.2018 №321, что позволит снизить затраты на оценку соответствия по сравнению с заключением отдельных договоров по каждому из этих нормативных актов. Результаты такой оценки соответствия могут быть предъявлены в рамках отчётности перед Банком России.

В ряде конкурсов, в которых мы участвуем, организаторы пытаются включить в область оценки по ГОСТ процессинг. Мы считаем, что включать его в область оценки по ГОСТ нецелесообразно, поскольку он относится к объектам платёжных систем Visa, MasterCard, МИР. Правилами этих платёжных систем установлены требования к системе оценки, применяются другие профессиональные стандарты. Поэтому мы советуем уделить особое внимание этому вопросу во время выбора области оценки, т.к. от этого зависит цена работы. Также вы можете обратиться к нам за консультацией, что включать или не включать в требуемую вам область оценки.

Что ещё включить в состав работ

В состав работ целесообразно включить оценку реализации технологических мер защиты информации и требований к применению СКЗИ.

Большинство банков уже 2 года получают сообщения от Банка России с требованием представить результаты самооценки по положению № 683-П. Для этих мер не установлены требования проводить оценку соответствия силами сторонних организаций. Однако, если у вас нет собственных ресурсов провести подобную оценку, вы можете заказать данную услугу у нас.

Как добиться необходимого уровня соответствия

Банки привыкли, что требования положения № 382-П можно было реализовать на бумаге. Однако такой подход неприемлем для требований ГОСТ Р 57580.1.

В отличие от положения № 382-П, ГОСТ регламентирует способ реализации меры защиты информации (технический и организационный) и аудитор должен проверить, внедрены ли средства защиты информации, реализующие соответствующие технические меры ЗИ.

Какие системы в идеале необходимы для обеспечения четвёртого уровня защиты информации:

После прослушивания вебинаров ряда консультантов по вопросам соответствия требованиям ГОСТ Р 57580.1 у банков возникает ощущение, что технические меры ЗИ можно заменить компенсирующими организационными мерами, либо исключить их, разработав соответствующую модель угроз.

Хотелось бы отметить, что состав мер ЗИ ГОСТ Р 57580.1 сформирован исходя из типового ландшафта угроз, характерных для финансовых организаций. Можно с высокой степенью вероятности утверждать, что исключение каких-либо мер ЗИ или замена на организационные, приведёт к возрастанию риска ИБ относительно ситуации, когда эта мера была бы реализована с применением технических средств. Такая ситуация противоречит методологии ГОСТ Р 57580.1.

Давайте рассмотрим простой вариант. Типовое рассуждение: «внедрение SIEM дорогое удовольствие, и я буду вручную просматривать журналы событий, мне этого будет достаточно». Однако, просмотр событий вручную, во-первых, будет делаться не в режиме on-line, во-вторых, просмотр журнала событий вручную — очень трудоёмкая задача, требующая большой концентрации внимания и высокой компетенции. Такой подход не позволит коррелировать события из журналов различных средств.

Таким образом, второй вариант никак не сможет в той же мере минимизировать риски ИБ, как вариант с применением SIEM, т.к. SIEM при должной настройке позволит выявлять атаки практически в режиме on-line. То есть, условие, что компенсирующая мера должна минимизировать риски в той же мере, что и основная, не выполняется.

Другой способ попытки соответствия, к которому пытаются прибегнуть компании – создание модели угроз. Они делают это в надежде получить перечень актуальных и неактуальных угроз, дабы сэкономить при введении средств ЗИ, сосредоточившись только на самых важных проблемах. То есть такая модель угроз фактически определяет остаточные риски после применения неких средств защиты информации.

Однако здесь кроется много подводных камней. Как правило, неактуальность угрозы обосновывается наличием тех или иных защитных мер. И здесь возникает вопрос тот же, что и при выборе компенсирующих мер. Обеспечивается ли применяемыми мерами тот же уровень рисков защиты информации, что и при применении мер ГОСТ Р 57580.1.

Банковский ГОСТ Р нацелен на оснащение организации «джентельменским набором» технических средств, необходимыми для защиты от угроз, как внутренних, так и внешних.

Учитывая, что внедрение мер защиты информации вносит только 50% в значение оценки соответствия (в соответствии с методикой ГОСТ Р 57580.2), только внедрение технических средств без организации должного управления процессами защиты информации не позволит достичь требуемого уровня соответствия. Не стоит забывать о документировании процессов защиты информации и всех применяемых мер, полноценном охвате защитными мерами всех объектов информационной инфраструктуры, входящих в регулируемые области, организации контроля и совершенствования защиты информации.

Таким образом, одним из недорогих приёмов с помощью которого можно повысить оценку соответствия является приведение внутренней нормативной базы в соответствие с требованиями нормативных актов Банка России по обеспечению ЗИ и ГОСТ Р 57580.2.

Какие же действия необходимо выполнить с внутренними нормативными документами для достижения необходимого уровня требований:

Дополнительные организационные аспекты, на которые необходимо обратить внимание:

Для реализации требований ГОСТА необходимо плодотворное взаимодействие подразделений ИТ и ИБ по внедрению требований, их реализации и контролю. Должна усиливаться функция контроля Службы ИБ соответствующими средствами. Необходимо подключение всех средств защиты к средствам контроля. Служба ИБ должна обеспечивать контроль всего и вся. Администраторы средств ИБ должны пройти соответствующее обучение. Сотрудники должны пройти общие курсы осведомлённости. Все программы, решения и даже переписки по внедрению средств ЗИ должны быть задокументированы, включая решения о не внедрении средств.

Аутсорсинг ИТ или ЗИ

Использование аутсорсинга ИТ или ЗИ не снимает с кредитных организаций ответственности за ущерб, причинённый клиентам банка от действий со стороны злоумышленника.

Поэтому при выборе поставщика услуг важно понимать, насколько хорошо у поставщика услуг организована деятельность по защите информации.

Перед заключением договора целесообразно тем или иным образом выяснить, насколько качественно этот поставщик обеспечивает защиту информации как в отношении своих информационных активов, так и информационных активов своих клиентов. Для этого могут быть применены способы от опросного листа до независимого аудита поставщика услуг.

Перед оформлением договора важно продумать все моменты, связанные с предоставлением вам поставщиком услуг информации как относительно качества предоставляемой услуги, включая обеспечение защиты информации, так и относительно предоставление поставщиком информации, необходимой вам для выполнения регуляторных требований.

С точки зрения выполнения регуляторных требований, в договор можно включить как требование выполнения поставщиком услуг периодической независимой оценки соответствия, так и детальные требования защиты информации, требование об участии поставщика услуг в процессе оценки соответствия и предоставлении оценщику всей необходимой информации.

В первом случае при проведении оценки соответствия вы предоставляете отчёт проверяющей организации, отчёт от поставщика услуги, а во втором привлекаете его специалистов к проводимой вами оценке соответствия.

Тема соответствия требованиям Банка России по ГОСТ Р 57580.1 затрагивает всевозможные области защиты информации. Специалисты компании «Перспективный мониторинг» имеют большой опыт и необходимые квалификации для проведения соответствующих работ. Вы всегда можете обратиться к нам за помощью и получить понятные комментарии по вашему проекту.