07.03.2017

Обзор нового ГОСТа ЦБ по защите информации

Поймал себя на мысли, что уходящий декабрь был очень активен в части выпуска различных нормативных актов и их проектов и я просто упустил из ввиду, что я не написал про проект нового ГОСТа Банка России по информационной безопасности, который, в соответствии с ранее озвученными планами, должен стать обязательным. Решил исправить сие досадное недоразумение и пробежаться по проекту нового ГОСТа. В него возможно еще будут вноситься изменения, но ключевые положения останутся неизменными.

Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.

Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.

Стандарт определяет три уровня защиты информации:
  • уровень 3 – минимальный
  • уровень 2 – стандартный
  • уровень 1 – усиленный.

Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:
  • вида деятельности финансовой организации,
  • состава реализуемых бизнес-процессов и (или) технологических процессов
  • объема финансовых операций
  • размера организации
  • отнесения финансовой организации к категории малых предприятий и микропредприятий
  • значимости финансовой организации для финансового рынка и национальной платежной системы.
Как можно было заметить в 5-й редакции СТО БР ИББС, тему ПДн ЦБ перестал драйвить и попросту отсылает всех к 21-му приказу ФСТЭК. Так и в ГОСТе - никаких отдельных защитных мер для ПДн нет. ЦБ просто соотносит уровни защиты нового ГОСТа и уровни защищенности ПДн ЦБ:



Еще одной новацией для ЦБ, но привычной для читаталей документов ФСТЭК, стал алгоритм выбора защитных мер. Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает:
  • выбор базового состава мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам ИС, реализуемым ИТ, особенностям функционирования ИС
  • уточнение (включает дополнение или исключение)
  • дополнение адаптированного базового набора мер по обеспечению безопасности дополнительными мерами, установленными иными нормативными актами.


Обратите внимание, теперь не будет закрытого и неизменного списка защитных мер, как это прописано в СТО БР ИББС или в 382-П или в иных документах Банка России. Теперь этот перечень будет зависеть от множества факторов - для каждого случая будут установлены уровни защиты, а их реализация будет базироваться на новом ГОСТе. Получится вполне дифференцированный подход.

Структура нового ГОСТа будет следующей:
  • Область применения, нормативные ссылки, термины и определения, сокращения, назначение и структура стандарта
  • Общие положения
  • Требования к системе защиты информации
  • Требования к организации и управлению защитой информации
  • Требования по защите информации на этапах жизненного цикла автоматизированных систем
  • Приложение А – Модель угроз и нарушителей
  • Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
  • Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа
И вновь обращаю ваше внимание на 3-5 пункты. Если СТО БР ИББС состоял из множества документов, то новый ГОСТ один. Поэтому все требования по ИБ включены в один документ, но разбиты на 3 большие части - сами меры защиты, меры по управлению и требования к жизненному циклу.

Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):
  • Обеспечение защиты информации при управлении доступом
    • управление учетными записями и правами субъектов логического доступа 
    • идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа
    • защита информации при осуществлении физического доступа
    • идентификация, классификация и учет ресурсов и объектов доступа
  • Обеспечение защиты вычислительных сетей
    • сегментация и межсетевое экранирование вычислительных сетей
    • выявление сетевых вторжений и атак
    • защита информации, передаваемой по вычислительным сетям
    • защита беспроводных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Антивирусная защита
  • Предотвращение утечек информации, защита машинных носителей информации (МНИ)
  • Управление инцидентами защиты информации
    • мониторинг и анализ событий защиты информации
    • обнаружение инцидентов защиты информации и реагирование на них
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Фрагмент блока требований по управлению доступом
Блок управления состоит из четырех компонентов:
  • Планирование системы защиты информации
  • Реализация системы защиты информации
  • Контроль реализация системы защиты информации
  • Совершенствование реализация системы защиты информации.

Фрагмент блока требований к планированию системы защиты информации
Ну и блок требований к жизненному циклу защиты информации:

Фрагмент блока требований к жизненному циклу
Вот такая картина получается. Достаточно гибкий подход, как мне кажется. И ни слова про оценку соответствия или отправку в ГУБЗИ ее результатов. Правда, пока неясной (для меня) остается судьба самого СТО БР ИББС. Там остаются документы, положения которых не вошли и врядли войдут в состав нового ГОСТа. Например, свежий СТО 1.3 по сбору доказательств для расследования инцидентов. Возможно из них сделают то, что называется "рекомендация по стандартизации" с соответствующей их регистрацией в Росстандарте (как это сделано в ТК26). Посмотрим...

ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.

4 коммент.:

Valery Estekhin комментирует...

Есть ли в проекте нового ГОСТа упоминание необходимости наличия службы ИБ в кредитной организации?

Алексей Лукацкий комментирует...

А этот вопрос не для ГОСТа. Он останется на уровне положений ЦБ, того же 382-П

Роман Каримов комментирует...

А можно как-нибудь ознакомиться с проектом нового ГОСТа?

Алексей Лукацкий комментирует...

Он доступен членам ПК1 ТК122