Сервисы
Managed IT
Решения
Security
Собственная разработка
Партнерам
О компании

ГОСТ Р 57580: безопасность банковских операций

С 2021 года информационная безопасность финансовых организаций должна соответствовать требованиям ГОСТ Р 57580. Обязывают положения № 672-П, 683-П, 684-П и приказ Минкомсвязи № 321.

Называется новый ГОСТ так: «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». В названии обозначена главная задача ГОСТ Р 57580 — сделать денежные операции в банке или другой финансовой организации безопасными. Также ссылка на ГОСТ Р 57580 есть в приказе № 321, который предписывает учитывать требования стандарта при внедрении Единой биометрической системы в банках.

Соответствовать требованиям ГОСТ Р 57580 (далее ГОСТ) непросто. В стандарте приведено более 400 требований — далеко не все из них понятны, некоторые просто очень сложно выполнить. Для сравнения, в положении № 382-П менее 170 требований.

В этом посте расскажем об основных положениях ГОСТ, о том, как проводится оценка соответствия стандарту, а также о некоторых пунктах, которые вызывают вопросы у специалистов по ИБ.

Как устроен ГОСТ

Стандарт разбит на две части:

ГОСТ Р 57580.1 – 2017 определяет три уровня защиты, которому должны соответствовать ФО: «минимальный», «стандартный» и «усиленный». Для большей части ФО, в том числе для банков, актуален «стандартный» уровень. «Усиленному» обязаны соответствовать системно-значимые банки (вроде ВТБ или Сбербанка) и клиринговые центры.

Кто должен соответствовать ГОСТ

[text_with_btn btn=”Узнать больше” link=”/ru-ru/services/info-security/conformity-assessment-gost-57580r/” btn_size=”small”]Пройти оценку соответствия ГОСТ Р 57580[/text_with_btn]

Как внедрять ГОСТ

Предварительно рекомендуется составить модель угроз. Она должна учитывать все возможные угрозы для банковских операций; при этом лучше ориентироваться на базу ФСТЭК. После можно приступать к выполнению требований, которые, напомним, перечислены в ГОСТ Р 57580.1-2017.

На рисунке ниже — примерные сроки выполнения требований ГОСТ.

Следующий этап — проверка того, насколько эффективно внедрены меры по обеспечению ИБ. Для этого привлекается «проверяющая организация», то есть компания-аудитор с лицензией ФСТЭК, которая проводит оценку соответствия требованиям стандарта. Аудитор руководствуется ГОСТ Р 57580.2 – 2018. Самооценка в ГОСТ не предусмотрена.

Особенности проведения оценки соответствия ГОСТ Р 57580

В плане организации процесса оценка по ГОСТ практически идентична оценке соответствия положению № 382-П. Основное отличие: в разделе № 7 (8 процессов) нет такого понятия как «частичное соответствие»; при оценке используемых мер ФО получает «единицу» (соответствие) или «ноль» (несоответствие). В разделах 8 и 9 предусмотрена оценка 0,5.

В новом стандарте также нет корректирующих коэффициентов, которые, например, в 382-П снижали итоговую оценку при увеличении количества несоответствий. Вместо корректирующих коэффициентов в ГОСТ введены штрафы (их, конечно, выписывает регулятор, а не аудитор).

[important title=”” type=”empty”] Финансовые организации обязаны провести оценку соответствия ГОСТ до конца 2020 года. [/important]

В ходе работ аудитор сначала выбирает объекты и ресурсы доступа, которые требуется оценивать. К первым относятся, например, банкоматы и платежные терминалы, серверное оборудование, сети, СХД. К ресурсам — базы данных, веб-сайты, виртуальные машины, почтовые сервисы.

Полноценный аудит включает подробное обследование на месте: проверку бизнес-процессов и процессов ИБ, проверку внутренней нормативной документации и модели угроз. Также проверяющая организация опрашивает сотрудников ФО, изучает какие СЗИ используются, их конфигурацию, а также конфигурацию объектов ИТ-инфраструктуры.

Далее вычисляются показатели итоговой оценки и готовится отчет по форме, который определен в ГОСТ Р 57580.2 — 2018.

Темные места

В новом ГОСТ встречаются требования, которые не совсем понятны. Есть и такие, которые просто очень сложно выполнить на практике. Приведем примеры.

ГОСТ Р 57580 на практике (вебинар)

Заключение

Наша практика аудитов по ГОСТ Р 57580 показывает, что средний уровень оценки соответствия у ФО довольно низкий: 0,25–0,3; это притом, что к 2021 году оценка должна быть не ниже 0,7, а к 2023 — 0,85. Низкие результаты показывают даже те организации, которые успешно прошли оценку по 382-П, тоже непростому документу в плане соответствия его требованиям.

Кто-то из руководителей ФО может усомниться: стоит ли «возня» с ГОСТ того, чтобы тратить на нее силы и ресурсы? Думаем, да. Организации, которые не соблюдают требования стандарта, регулятор может оштрафовать (до 0,1% от уставного капитала), приостановить их деятельность или, например, заменить руководство.

Если все-таки оценка соответствия ГОСТ Р 57580 для вас актуальна, аудиторы ITGLOBAL.COM готовы помочь с ее успешным прохождением. Вы можете задать нам любые вопросы, которые касаются процесса проведения оценки, сроков и стоимости.