26/03/2018

В августе 2017 года был издан приказ Росстандарта, вводящий в действие с 1 января 2018 года ГОСТ Р 57580.1-2017[1] – по-видимому, первый оригинальный (не являющийся гармонизированным международным стандартом) национальный стандарт по защите информации в организациях кредитно-финансовой сферы (далее – Стандарт). Его появление было ранее анонсировано в ряде выступлений представителей ГУБЗИ Банка России, в которых, кроме того, излагался общий замысел использования данного документа. Что представляет собой Стандарт и что ожидает банки, другие финансовые организации, а также поставщиков услуг в области защиты информации после его введения? Что можно и нужно предпринять?

1.     На стандарт будут ссылаться нормативные документы Банка России.

Предлагаемый порядок применения Стандарта изложен в его разделах 1 и 6. Так, в разделе 1 «Область применения» указано:

«Область применения настоящего стандарта, определяющая обязанность финансовых организаций применять меры защиты информации, реализующие один из уровней защиты информации для конкретной совокупности объектов информатизации, … устанавливается в нормативных актах Банка России путем включения нормативной ссылки на настоящий стандарт».

Таким образом, то, к каким объектам и какие меры защиты, описанные в Стандарте, применять, будет указано в нормативных актах Банка России, которые, возможно, появятся во второй половине 2018 года.

В более развернутом виде предлагаемый порядок применения Стандарта изложен в его разделе 6 «Общие положения». (Раздел 5 «Назначение и структура стандарта» отвечает своему названию только в отношении структуры).

2.     Предлагаемый порядок применения Стандарта

2.1 Уровни защиты информации. Вводятся три уровня защиты информации:

уровень 3 – минимальный;
уровень 2 – стандартный;
уровень 1 – усиленный.

2.2 Контуры (домены) безопасности. В финансовой организации формируется один или несколько контуров безопасности, для которых могут быть установлены разные уровни защиты информации.

2.3 Уровни защиты информации. Уровень  защиты  информации  финансовой  организации  для  конкретного контура  безопасности  устанавливается  нормативными  актами  Банка  России  на основе учета ряда факторов, указанных в Стандарте (определение того, как именно они будут учитываться – прерогатива ЦБ, финансовая организация будет вынуждена принять это как данность).

2.4 Выбор состава мер. Согласно Стандарту, выбор финансовой организацией мер защиты информации включает следующие шаги.

2.4.1 Выбор мер защиты информации из числа приведенных в разделах 7-9 Стандарта. Согласно изложенному, это делается, исходя из заданных в нормативных документах ЦБ требованиях к контурам безопасности и уровням защиты для них.

2.4.2 Адаптация, при необходимости, выбранного состава и содержания мер защиты информации с учетом модели угроз и нарушителей и структурно-функциональных характеристик объектов информатизации. В какой степени возможна данная адаптация, кто и как будет оценивать актуальность и адекватность модели угроз и соответствие ей адаптированных мер, пока неясно. Несмотря на то, что Стандарт включает Приложение А «Основные положения базовой модели угроз и нарушителей», данное Приложение, на наш взгляд, не позволяет ответить на указанные вопросы (содержательная часть Приложения представляет собой описание только источников угроз). В отношении учета «структурно-функциональных характеристик объектов информатизации» определенность еще меньше. Отсутствуют и обычные для Стандарта ссылки на грядущие нормативные документы Банка России.

Наряду с этим в разделе 6 Стандарта имеется подраздел 6.4, гласящий:

«При невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации (уточнения) базового состава мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации».

То есть на этапе адаптации, кроме модели угроз, можно учитывать еще (не)возможность технической реализации тех или иных мер, а также их экономическую (не)целесообразность(!).  Здесь, правда, есть некоторая неопределенность в обосновании применения компенсирующих мер.

По-видимому, Банк России, оставляя эти неопределенности, дает финансовым организациям (да и себе), некоторую свободу маневра, чтобы в ходе практического применения Стандарта уточнить эти положения. Пока можно только приветствовать заложенную в Стандарт возможность варьирования  состава и содержания мер защиты с учетом модели угроз и экономических соображений.

2.4.3 Исключение …мер, не связанных с используемыми информационными технологиями. Данное положение в силу очевидной разумности комментариев не требует.

2.4.4 Дополнение, при необходимости… мерами, обеспечивающими выполнение требований к защите информации, установленных нормативно-правовыми актами. Очевидное требование соответствовать правовым нормам, даже если их нет в Стандарте.

3.     Структура требований к мерам защиты информации

Требования к составу мер защиты информации, приведенные в Стандарте, структурированы следующим образом.

Раздел 7 «Требования к системе защиты информации» содержит 343 меры, объединенные в 8 процессов защиты информации. Раздел 8 «Требования к организации и управлению защитой информации» содержит 37 мер, составляющие 4 направления защиты информации. В разделе 9 «Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений» приведено 28 мер, процессы и направления здесь не выделяются.

Все меры (итого их 408) имеют трехуровневую градацию в соответствии с уровнем защиты информации, соответствие которому необходимо обеспечить.

Уровень отражается в способе реализации меры. Их предусмотрено три:

неприменение;
реализация путем применения организационной меры;
реализация путем применения технической меры.

Организационные меры можно заменять техническими (но не наоборот).

Более того, в п.6.11 Стандарта указано:

«Финансовой организации рекомендуется обеспечивать автоматизацию предоставляемых финансовых услуг, бизнес-процессов, технологических процессов и (или) обработку защищаемой информации с использованием АС и приложений…

Обязанность обеспечения финансовой организацией автоматизации бизнес-процессов, технологических процессов и (или) обработки защищаемой информации только с применением АС устанавливается требованиями нормативных актов Банка России».

В приведенных ссылках просматривается общая идея – более высокая степень защищенности связана с более высоким уровнем автоматизации и использованием технических мер вместо организационных. При этом в отношении определенных процессов и обработки информации Банк России может обязать финансовую организацию автоматизировать их.

4.     Оценка соответствия положениям Стандарта

4.1 Используемый понятийный аппарат.

Согласно Стандарту, оценка соответствия, точнее, несоответствия его положениям называется «оценкой остаточного операционного риска (финансового эквивалента возможных потерь), вызванных неполным или некачественным выбором и применением мер защиты информации, требования к содержанию базовому состава которых установлены в разделах 7, 8, 9 настоящего стандарта» (далее – Оценка). Таким образом, речь идет не об остаточном операционном риске вообще, а о той его части, которая связана с (не)применением мер защиты информации, предусмотренных Стандартом. В отличие от терминологии, применяемой в Комплексе стандартов Банка России СТО БР ИББС и других стандартах, например серии ISO 27ххх, здесь изменен акцент – речь идет не о соответствии/несоответствии требованиям рассматриваемого стандарта, а об остаточном риске после применения мер в том виде, как это сделано.

4.2 Схема выполнения Оценки

Согласно Стандарту, Оценка осуществляется в соответствии с процедурой, определенной требованиями нормативных актов Банка России, на основе «оценки показателей соответствия реализации системы защиты информации финансовой организации требованиям Стандарта». В свою очередь, оценку показателей соответствия реализации системы защиты информации финансовой организации требованиям Стандарта следует осуществлять в соответствии с методикой, приведенной в «соответствующем национальном стандарте».

Таким образом, согласно Стандарту Оценка производится в два этапа – сначала с помощью методики из «соответствующего национального стандарта» оцениваются определенные там показатели, затем из этих показателей согласно процедуре, определенной нормативным актом Банка России, получается собственно оценка остаточного операционного риска (финансового эквивалента возможных потерь).

На момент написания данной статьи проект упомянутого «соответствующего национального стандарта»[2] разработан и проходит в установленном порядке экспертизу и утверждение.

После Оценки происходит обработка остаточного операционного риска в  соответствии  с  процедурой,  определенной  требованиями  нормативных актов Банка России.

Итак, общая процедура использования Стандарта выглядит следующим образом. (Таблица 1).

В соответствии с актами Банка России

В соответствии с ГОСТ Р 57580.1 

В соответствии с ГОСТ ГОСТ Р 57580.2 

1. Определение области применения

2. Выделение контуров ИБ

3. Установление уровней защиты для контуров

4. Применение мер защиты информации

5. Оценка показателей соответствия реализации мер

6. Оценка остаточного операционного риска и его обработка

Таблица 1

 
5 Выводы и предложения

Приведенный краткий обзор Стандарта показывает, что в практике его будущего применения, несмотря на заложенную в порядок его использования директивность, имеется определенный простор для  творчества.

Есть возможность использования моделей угроз, и для выбора моделей имеется достаточная свобода.

Формулировки многих мер защиты допускают варианты их конкретной реализации.

Поскольку одной из основных целей данного стандарта является «достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска (риск-аппетиту)», то можно считать, что финансовым организациям предоставлена определенная свобода в выборе риск-аппетита, разработки модели угроз и выборе подхода к оценке рисков.

Как отмечалось выше, имеется возможность выполнять «адаптацию (уточнение), при необходимости, выбранного состава и содержания мер защиты информации с учетом модели угроз и нарушителей безопасности информации финансовой организации и структурно-функциональных характеристик объектов информатизации, в том числе АС».

Как известно, одним из решений по инкапсуляции описания угроз (рисков), требований к мерам и средствам защиты для противодействию угрозам (снижения рисков), нормативных требований, требований по достижению уверенности в корректности реализации мер и средств защиты, обоснованию необходимости и достаточности предлагаемых мер для противодействия описанным угрозам  является использование заданий по безопасности (ЗБ) и профилей защиты (ПЗ) для продуктов ИТ и автоматизированных систем, описанных в стандартах ГОСТ Р ИСО/МЭК 15408[3] (известных как «Общие критерии») и ГОСТ Р ИСО/МЭК ТО 19791-2008[4], являющемся дополнением к «Общим критериям».

Для определения возможности применимости «Общих критериев» и ГОСТ Р ИСО/МЭК ТО 19791-2008 целесообразно подготовить проекты пакетов требований безопасности для включения в будущие ПЗ, изложив требования Стандарта в терминах «Общих критериев». В условиях необходимости подготовки нормативных документов Банка России, регламентирующих целый ряд аспектов применения Стандарта, разработка таких документов может стать одним из направлений взаимодействия профессионального сообщества и регулятора в вопросах практического применения Стандарта и повышения защищенности и киберустойчивости

[1] ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.

[2] Предполагаемое обозначение – ГОСТ Р 57580.2

[3] ГОСТ Р ИСО/МЭК 15408-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

ГОСТ Р ИСО/МЭК 15408-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности.

ГОСТ Р ИСО/МЭК 15408-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности.

[4] ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.