ГОСТ Р 57580: безопасность банковских операций
С 2021 года информационная безопасность финансовых организаций должна соответствовать требованиям ГОСТ Р 57580. Обязывают положения № 672-П, 683-П, 684-П и приказ Минкомсвязи № 321.
Называется новый ГОСТ так: «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». В названии обозначена главная задача ГОСТ Р 57580 — сделать денежные операции в банке или другой финансовой организации безопасными. Также ссылка на ГОСТ Р 57580 есть в приказе № 321, который предписывает учитывать требования стандарта при внедрении Единой биометрической системы в банках.
Соответствовать требованиям ГОСТ Р 57580 (далее ГОСТ) непросто. В стандарте приведено более 400 требований — далеко не все из них понятны, некоторые просто очень сложно выполнить. Для сравнения, в положении № 382-П менее 170 требований.
В этом посте расскажем об основных положениях ГОСТ, о том, как проводится оценка соответствия стандарту, а также о некоторых пунктах, которые вызывают вопросы у специалистов по ИБ.
Как устроен ГОСТ
Стандарт разбит на две части:
- ГОСТ Р 57580.1 – 2017, где указаны требования и меры по обеспечению ИБ;
- ГОСТ Р 57580.2 – 2018, в котором объясняется порядок работ при проведения оценки соответствия, как ФО должна отчитываться перед регулятором, а также описаны сами оценки и методы расчета итоговых результатов.
ГОСТ Р 57580.1 – 2017 определяет три уровня защиты, которому должны соответствовать ФО: «минимальный», «стандартный» и «усиленный». Для большей части ФО, в том числе для банков, актуален «стандартный» уровень. «Усиленному» обязаны соответствовать системно-значимые банки (вроде ВТБ или Сбербанка) и клиринговые центры.
Кто должен соответствовать ГОСТ
- Кредитные ФО — банки и небанковские кредитные организации.
- Некредитные ФО: ПИФы, МФО, НПФ, страховые компании, рейтинговые агентства, бюро кредитных историй и пр.
- Операторы и участники платежных систем.
- Клиринговые (расчетные) центры.
Как внедрять ГОСТ
Предварительно рекомендуется составить модель угроз. Она должна учитывать все возможные угрозы для банковских операций; при этом лучше ориентироваться на базу ФСТЭК. После можно приступать к выполнению требований, которые, напомним, перечислены в ГОСТ Р 57580.1-2017.
На рисунке ниже — примерные сроки выполнения требований ГОСТ.
Следующий этап — проверка того, насколько эффективно внедрены меры по обеспечению ИБ. Для этого привлекается «проверяющая организация», то есть компания-аудитор с лицензией ФСТЭК, которая проводит оценку соответствия требованиям стандарта. Аудитор руководствуется ГОСТ Р 57580.2 – 2018. Самооценка в ГОСТ не предусмотрена.
Особенности проведения оценки соответствия ГОСТ Р 57580
В плане организации процесса оценка по ГОСТ практически идентична оценке соответствия положению № 382-П. Основное отличие: в разделе № 7 (8 процессов) нет такого понятия как «частичное соответствие»; при оценке используемых мер ФО получает «единицу» (соответствие) или «ноль» (несоответствие). В разделах 8 и 9 предусмотрена оценка 0,5.
В новом стандарте также нет корректирующих коэффициентов, которые, например, в 382-П снижали итоговую оценку при увеличении количества несоответствий. Вместо корректирующих коэффициентов в ГОСТ введены штрафы (их, конечно, выписывает регулятор, а не аудитор).
В ходе работ аудитор сначала выбирает объекты и ресурсы доступа, которые требуется оценивать. К первым относятся, например, банкоматы и платежные терминалы, серверное оборудование, сети, СХД. К ресурсам — базы данных, веб-сайты, виртуальные машины, почтовые сервисы.
Полноценный аудит включает подробное обследование на месте: проверку бизнес-процессов и процессов ИБ, проверку внутренней нормативной документации и модели угроз. Также проверяющая организация опрашивает сотрудников ФО, изучает какие СЗИ используются, их конфигурацию, а также конфигурацию объектов ИТ-инфраструктуры.
Далее вычисляются показатели итоговой оценки и готовится отчет по форме, который определен в ГОСТ Р 57580.2 — 2018.
Темные места
- УЗП.21 — требование, по которому администраторы не могут одновременно управлять и учетными записями, и правами субъектов доступа. То есть один и тот же администратор не может создать учетную запись и сразу предоставить ей любые права — это может сделать только другой администратор. В теории мера небесполезная, но по факту она сильно затрудняет работу сисадминов.
- СМЭ.6 требует от ФО организовать отдельную инфраструктуру для тестирования ПО. Проблема в том, что у многих ФО, где нет собственного отдела разработки и не применяется стандарт PCI DSS. Но тестовая среда при этом должна быть — согласно Положению 382-П. Понятно, что многие ФО это требование попросту игнорируют.
- СМЭ.20 — пространное требование, которое говорит о том, что у ФО должно быть два почтовых сервера. Один — внутренний, второй — внешний. Редкие банки реализуют подобное на практике, потому что это значительно усложняет ИТ-инфраструктуру и ее обслуживание. К тому же это дополнительные расходы на оборудование и ПО. Еще регулятор говорит о необходимости репликации писем между серверами, но не поясняет, как должна быть реализована эта репликация.
- ЗУД.7 требует, чтобы интернет-трафик проходил до конечного удаленного пользователя через VPN-соединение с ФО. Для подключений сотрудников эта мера оправдана, а для администратора — вряд и: контролировать это тяжело, потому что администраторы не управляют конечными устройствами пользователей. VPN, конечно, можно настроить перед аудиторской проверкой, но после — спокойно свернуть.
В новом ГОСТ встречаются требования, которые не совсем понятны. Есть и такие, которые просто очень сложно выполнить на практике. Приведем примеры.
ГОСТ Р 57580 на практике (вебинар)
Заключение
Наша практика аудитов по ГОСТ Р 57580 показывает, что средний уровень оценки соответствия у ФО довольно низкий: 0,25–0,3; это притом, что к 2021 году оценка должна быть не ниже 0,7, а к 2023 — 0,85. Низкие результаты показывают даже те организации, которые успешно прошли оценку по 382-П, тоже непростому документу в плане соответствия его требованиям.
Кто-то из руководителей ФО может усомниться: стоит ли «возня» с ГОСТ того, чтобы тратить на нее силы и ресурсы? Думаем, да. Организации, которые не соблюдают требования стандарта, регулятор может оштрафовать (до 0,1% от уставного капитала), приостановить их деятельность или, например, заменить руководство.
Если все-таки оценка соответствия ГОСТ Р 57580 для вас актуальна, аудиторы ITGLOBAL.COM готовы помочь с ее успешным прохождением. Вы можете задать нам любые вопросы, которые касаются процесса проведения оценки, сроков и стоимости.