ГОСТ Р 57580: безопасность банковских операций

С 2021 года информационная безопасность финансовых организаций должна соответствовать требованиям ГОСТ Р 57580. Обязывают положения № 672-П, 683-П, 684-П и приказ Минкомсвязи № 321.

Называется новый ГОСТ так: «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». В названии обозначена главная задача ГОСТ Р 57580 — сделать денежные операции в банке или другой финансовой организации безопасными. Также ссылка на ГОСТ Р 57580 есть в приказе № 321, который предписывает учитывать требования стандарта при внедрении Единой биометрической системы в банках.

Соответствовать требованиям ГОСТ Р 57580 (далее ГОСТ) непросто. В стандарте приведено более 400 требований — далеко не все из них понятны, некоторые просто очень сложно выполнить. Для сравнения, в положении № 382-П менее 170 требований.

В этом посте расскажем об основных положениях ГОСТ, о том, как проводится оценка соответствия стандарту, а также о некоторых пунктах, которые вызывают вопросы у специалистов по ИБ.

Как устроен ГОСТ

Стандарт разбит на две части:

ГОСТ Р 57580.1 – 2017, где указаны требования и меры по обеспечению ИБ;
ГОСТ Р 57580.2 – 2018, в котором объясняется порядок работ при проведения оценки соответствия, как ФО должна отчитываться перед регулятором, а также описаны сами оценки и методы расчета итоговых результатов.

ГОСТ Р 57580.1 – 2017 определяет три уровня защиты, которому должны соответствовать ФО: «минимальный», «стандартный» и «усиленный». Для большей части ФО, в том числе для банков, актуален «стандартный» уровень. «Усиленному» обязаны соответствовать системно-значимые банки (вроде ВТБ или Сбербанка) и клиринговые центры.

Кто должен соответствовать ГОСТ

Кредитные ФО — банки и небанковские кредитные организации.
Некредитные ФО: ПИФы, МФО, НПФ, страховые компании, рейтинговые агентства, бюро кредитных историй и пр.
Операторы и участники платежных систем.
Клиринговые (расчетные) центры.

[text_with_btn btn=»Узнать больше» link=»/ru-ru/services/info-security/conformity-assessment-gost-57580r/» btn_size=»small»]Пройти оценку соответствия ГОСТ Р 57580[/text_with_btn]

Как внедрять ГОСТ

Предварительно рекомендуется составить модель угроз. Она должна учитывать все возможные угрозы для банковских операций; при этом лучше ориентироваться на базу ФСТЭК. После можно приступать к выполнению требований, которые, напомним, перечислены в ГОСТ Р 57580.1-2017.

На рисунке ниже — примерные сроки выполнения требований ГОСТ.

Следующий этап — проверка того, насколько эффективно внедрены меры по обеспечению ИБ. Для этого привлекается «проверяющая организация», то есть компания-аудитор с лицензией ФСТЭК, которая проводит оценку соответствия требованиям стандарта. Аудитор руководствуется ГОСТ Р 57580.2 – 2018. Самооценка в ГОСТ не предусмотрена.

Особенности проведения оценки соответствия ГОСТ Р 57580

В плане организации процесса оценка по ГОСТ практически идентична оценке соответствия положению № 382-П. Основное отличие: в разделе № 7 (8 процессов) нет такого понятия как «частичное соответствие»; при оценке используемых мер ФО получает «единицу» (соответствие) или «ноль» (несоответствие). В разделах 8 и 9 предусмотрена оценка 0,5.

В новом стандарте также нет корректирующих коэффициентов, которые, например, в 382-П снижали итоговую оценку при увеличении количества несоответствий. Вместо корректирующих коэффициентов в ГОСТ введены штрафы (их, конечно, выписывает регулятор, а не аудитор).

[important title=»» type=»empty»] Финансовые организации обязаны провести оценку соответствия ГОСТ до конца 2020 года. [/important]

В ходе работ аудитор сначала выбирает объекты и ресурсы доступа, которые требуется оценивать. К первым относятся, например, банкоматы и платежные терминалы, серверное оборудование, сети, СХД. К ресурсам — базы данных, веб-сайты, виртуальные машины, почтовые сервисы.

Полноценный аудит включает подробное обследование на месте: проверку бизнес-процессов и процессов ИБ, проверку внутренней нормативной документации и модели угроз. Также проверяющая организация опрашивает сотрудников ФО, изучает какие СЗИ используются, их конфигурацию, а также конфигурацию объектов ИТ-инфраструктуры.

Далее вычисляются показатели итоговой оценки и готовится отчет по форме, который определен в ГОСТ Р 57580.2 — 2018.

Темные места

УЗП.21 — требование, по которому администраторы не могут одновременно управлять и учетными записями, и правами субъектов доступа. То есть один и тот же администратор не может создать учетную запись и сразу предоставить ей любые права — это может сделать только другой администратор. В теории мера небесполезная, но по факту она сильно затрудняет работу сисадминов.
СМЭ.6 требует от ФО организовать отдельную инфраструктуру для тестирования ПО. Проблема в том, что у многих ФО, где нет собственного отдела разработки и не применяется стандарт PCI DSS. Но тестовая среда при этом должна быть — согласно Положению 382-П. Понятно, что многие ФО это требование попросту игнорируют.
СМЭ.20 — пространное требование, которое говорит о том, что у ФО должно быть два почтовых сервера. Один — внутренний, второй — внешний. Редкие банки реализуют подобное на практике, потому что это значительно усложняет ИТ-инфраструктуру и ее обслуживание. К тому же это дополнительные расходы на оборудование и ПО. Еще регулятор говорит о необходимости репликации писем между серверами, но не поясняет, как должна быть реализована эта репликация.
ЗУД.7 требует, чтобы интернет-трафик проходил до конечного удаленного пользователя через VPN-соединение с ФО. Для подключений сотрудников эта мера оправдана, а для администратора — вряд и: контролировать это тяжело, потому что администраторы не управляют конечными устройствами пользователей. VPN, конечно, можно настроить перед аудиторской проверкой, но после — спокойно свернуть.

В новом ГОСТ встречаются требования, которые не совсем понятны. Есть и такие, которые просто очень сложно выполнить на практике. Приведем примеры.

ГОСТ Р 57580 на практике (вебинар)

Заключение

Наша практика аудитов по ГОСТ Р 57580 показывает, что средний уровень оценки соответствия у ФО довольно низкий: 0,25–0,3; это притом, что к 2021 году оценка должна быть не ниже 0,7, а к 2023 — 0,85. Низкие результаты показывают даже те организации, которые успешно прошли оценку по 382-П, тоже непростому документу в плане соответствия его требованиям.

Кто-то из руководителей ФО может усомниться: стоит ли «возня» с ГОСТ того, чтобы тратить на нее силы и ресурсы? Думаем, да. Организации, которые не соблюдают требования стандарта, регулятор может оштрафовать (до 0,1% от уставного капитала), приостановить их деятельность или, например, заменить руководство.

Если все-таки оценка соответствия ГОСТ Р 57580 для вас актуальна, аудиторы ITGLOBAL.COM готовы помочь с ее успешным прохождением. Вы можете задать нам любые вопросы, которые касаются процесса проведения оценки, сроков и стоимости.