Внедрение организационных и технических мер ГОСТ Р 57580.1-2017 в кредитной организации с универсальной лицензией на осуществление банковских операций

Степанов В.В.

Выпускник группы MBA CSO-29

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Более десяти лет государство и отраслевой регулятор в лице Банка России, проводят политику повышения уровня информационной безопасности в финансовых организациях. Новые виды угроз и рост мошеннических действий в банковской сфере с использованием цифровых технологий, требуют адекватного ответа в виде усиления процессов обеспечения информационной безопасности в операционной деятельности Банка. Среди основополагающих документов можно выделить комплекс документов СТО БР ИББС, Доктрину информационной безопасности Российской Федерации, где впервые упоминается о критической информационной инфраструктуре РФ, к которой отнесены в том числе кредитные организации, 161-ФЗ, 187-ФЗ, Положение Банка России № 382-П и иные нормативные документы Банка России, ФСТЭК, ФСБ.

Одними из нововведений являются:

• Национальный стандарт Российской Федерации «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». - ГОСТ 57580.1-2017, введенный в действие 01 января 2018 года;
• Национальный стандарт Российской Федерации «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». - ГОСТ 57580.2-2018, введенный в действие 01 сентября 2018 года и регламентирующие их применение Положения Банка России № 672-П «О требованиях к защите информации в платежной системе Банка России» от 09 января 2019 года и № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» от 17 апреля 2019 года.
• Положение Банка России № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" от 08 апреля 2020 года, регламентирующее в том числе управление риском информационной безопасности, входящего в операционный риск. Положение Банка России № 716-П через ссылки на Положение Банка России № 683-П обязывает финансовые организации к выполнению требований ГОСТ 57580.1-2017.

Таким образом выполнение требований ГОСТ 57580.1-2017 прямым образом влияет на объем резервирования капитала на покрытие потерь от реализации операционного риска.

Основным нововведением ГОСТ 57580.1-2017 стало разделение требований по объему организационных и технических мер защиты информации на три уровня – усиленный, стандартный и минимальный. Применение уровня защиты информации к конкретной финансовой организации регламентируется п. 3.1 Положения №683-П вступающим в силу с 01 января 2021 года. ГОСТ 57580.1-2017 регламентирует требования по защите информации, большинство которых необходимо выполнять с помощью технических мер. Многие банки среднего размера, при планировании расходов на ИБ длительное время откладывали мероприятия по внедрению рекомендованных комплексом документов СТО БР ИББС технических мер защиты, находясь под финансовой нагрузкой от выполнения обязательных требований (например, дорогостоящее подключение к ЕБС c учетом требований методических рекомендации Банка России от 14 февраля 2019 г. № 4-МР). Стоит отметить, что расходы на информационную безопасность практически всегда воспринимаются бизнесом как невозвратные инвестиции и при планировании бюджетов часто оптимизируются в сторону значительного снижения.

В аттестационной работе рассмотрены способы выполнения организационных и технических мер защиты информации, приведенные в ГОСТ 57580.1-2017 на примере финансовой организации с универсальной лицензией, реализующей стандартный (второй) уровень защиты информации. Перечислены основные типы источников угроз безопасности информации и способы противодействия, ставшие возможными после внедрения организационных и технических мер защиты информации, регламентированных ГОСТ 57580.1-2017.

Внедрение организационных и технических мер, предусмотренных ГОСТ 57580.1-2017 нужно начать с аудита бизнес процессов и информационной инфраструктуры финансовой организации, для определения текущего состояния системы. Для аудита нужно использовать ГОСТ 57580.2-2018, на основе текущего состояния требуется определить целевое состояние системы для соответствия третьему уровню защиты информации к 01 января 2021 года и приступить к реализации организационных мер ГОСТ 57580.1-2017, параллельно тестируя решения для выполнения технических мер.

Во многих финансовых организациях организационные меры ГОСТ 57580-2017 приняты в том или ином объеме. Некоторые внутренние нормативные документы частично перекрывают действия друг друга, а самих документов может быть множество, что не всегда удобно для их использования и актуализации. Выполнение требований ГОСТ 57580.1-2017 позволяет не только актуализировать действующие внутренние нормативные документы, но и структурировать большую их часть в соответствии с его требованиями. Так для внедрения организационных и технических мер в соответствии с требованиями к системе защиты информации, приведенных в ГОСТ 57580.1-2017 можно в соответствии с перечисленными процессами разработать и утвердить:
1 – Политику обеспечения защиты информации при управлении доступом;
2 – Политику защиты вычислительных сетей;
3 – Политику контроля целостности и защищенности информационной инфраструктуры;
4 – Политику защиты от вредоносного кода;
5 – Политику предотвращения утечек информации;
6 – Политику управления инцидентами защиты информации;
7 – Политику защиты среды виртуализации;
8 – Политику защиты информации при осуществлении удаленного доступа с использованием мобильных устройств;
9 - Политику организации и управления защитой информации;
10 - Политику защиты информации на этапах жизненного цикла автоматизированных систем и приложений.

Во всех политиках необходимо утвердить выполнение требований ГОСТ 57580.1-2017. Учитывая обновленные требования, следует также актуализировать Политику информационной безопасности финансовой организации. Для подпроцессов каждой из политик нужно разработать и утвердить Положения, регламенты и инструкции для эксплуатационного, технического персонала и пользователей. Разработку и утверждение новых нормативных документов следует вести поэтапно, одновременно отменяя ставшие неактуальными документы. Утверждение внутренних нормативных документов создает базу для внедрения технических мер.

Для соответствия требованиям ГОСТ 57580.1-2017 в части выполнения технических мер, каждая финансовая организация выбирает решения исходя из средств, которые в текущей экономической ситуации бизнес готов вложить в обеспечение защиты информации. В небольших финансовых организациях такая проблема стоит особенно остро. Регламентируемые ГОСТ 57580.1-2017 технические меры защиты информации в той или иной степени уже внедрены в финансовых организациях. Сертифицированные ФСТЭК межсетевые экраны с СОВ, эшелонированную антивирусную защиту и средства защиты от НСД многие банки начали внедрять еще десять лет назад, но внедрение решений, регламентированных ГОСТ57580.1-2017 - SIEM, DLP, защиту среды виртуализации и мобильных (переносных) устройств откладывалось на будущее из-за высокой стоимости внедрения и необходимости увеличения штатной численности работников подразделений информационной безопасности и информационных технологий. В аттестационной работе даны рекомендации по выбору решений для выполнения технических мер защиты информации, основные типы источников угроз безопасности информации и контрмеры, ставшие возможными после применения организационных и технических мер защиты информации ГОСТ 57580.1-2017.

В результате моделирования действий внешних, внутренних нарушителей, комбинированных источников угроз, когда внешний и внутренний нарушитель действуют в сговоре, неблагоприятных событий техногенного характера, отказов и сбоев в работе ресурсов и объектов доступа - выполнение организационных и технических мер ГОСТ 57-580.1-2017 позволяет значительно повысить уровень защиты информации в финансовых организациях.