ГОСТ Р 57580.1-2017
ГОСТ Р 57580.1-2017 — это национальный стандарт Российской Федерации, устанавливающий требования к защите информации (ЗИ) при обработке данных в автоматизированных системах (АС) организаций банковской системы Российской Федерации. Полное наименование документа: «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Стандарт введён в действие с 1 января 2018 года, разработан Техническим комитетом по стандартизации ТК 122 «Стандартизация финансовых операций» и утверждён приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) № 1590-ст от 20 декабря 2017 года.
История разработки и контекст
Необходимость создания единого отраслевого стандарта по защите информации в финансовом секторе возникла в середине 2010-х годов. До его появления регулятором в лице Банка России применялись разрозненные нормативные акты, а также рекомендации в области информационной безопасности (ИБ). Основными предпосылками стали рост числа кибератак на финансовые организации, увеличение объёмов безналичных расчётов и цифровизация банковских услуг.
Разработка стандарта велась с учётом международных практик, в частности стандарта ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также методических документов Федеральной службы по техническому и экспортному контролю (ФСТЭК России). В отличие от зарубежных аналогов, ГОСТ Р 57580.1-2017 был адаптирован под специфику российского законодательства и структуру банковской системы, включая требования к криптографической защите, сертифицированным средствам ЗИ и аттестации объектов информатизации.
Область применения
Стандарт распространяется на все организации, осуществляющие банковские операции и иную деятельность на основании лицензии Банка России, а также на некредитные финансовые организации (НФО), поднадзорные Центральному банку. К ним относятся:
- кредитные организации (банки, небанковские кредитные организации);
- страховые компании;
- профессиональные участники рынка ценных бумаг;
- негосударственные пенсионные фонды;
- микрофинансовые организации;
- операторы платёжных систем и платёжной инфраструктуры.
Документ определяет требования к защите информации при обработке данных в автоматизированных системах, включая системы дистанционного банковского обслуживания (ДБО), процессинговые центры, внутренние учётные системы и хранилища данных.
Структура и состав мер
ГОСТ Р 57580.1-2017 содержит базовый состав организационных и технических мер защиты информации, сгруппированных по направлениям. Всего стандарт включает 18 групп мер, каждая из которых детализируется конкретными действиями и процедурами.
Организационные меры
Организационные меры направлены на формирование системы управления ИБ в организации. Ключевые группы:
- Управление доступом — регламентация прав доступа пользователей и процессов к информационным ресурсам, контроль привилегированных учётных записей.
- Управление инцидентами — порядок выявления, регистрации, анализа и реагирования на события ИБ.
- Управление конфигурацией — обеспечение целостности и актуальности настроек средств защиты и АС.
- Управление изменениями — процедуры внесения изменений в программное и аппаратное обеспечение, влияющие на уровень защищённости.
- Управление активами — инвентаризация и классификация информационных активов, определение их критичности.
- Управление персоналом — требования к найму, обучению и контролю сотрудников, работающих с конфиденциальной информацией.
Технические меры
Технические меры реализуются с помощью программных и аппаратных средств защиты. Основные группы:
- Идентификация и аутентификация — применение парольной политики, многофакторной аутентификации, биометрических методов.
- Регистрация и мониторинг — сбор и анализ событий безопасности, ведение журналов аудита, использование систем SIEM.
- Антивирусная защита — применение сертифицированных средств антивирусного контроля на всех узлах АС.
- Защита каналов передачи данных — шифрование трафика, использование VPN, протоколов TLS.
- Защита от несанкционированного доступа (НСД) — разграничение доступа на уровне операционных систем, СУБД и приложений.
- Защита среды виртуализации — контроль гипервизоров, изоляция виртуальных машин, управление образами.
- Защита от вредоносного кода — применение средств анализа поведения, песочниц, сигнатурных и эвристических методов.
Уровни адаптации мер
Стандарт предусматривает три уровня адаптации мер защиты, которые выбираются организацией в зависимости от класса защищённости АС, объёма обрабатываемых данных и критичности бизнес-процессов:
- Базовый уровень — минимальный набор мер, обязательный для всех организаций. Включает 15 групп мер, направленных на предотвращение наиболее распространённых угроз.
- Расширенный уровень — дополнительный набор мер, применяемый при обработке персональных данных, банковской тайны или иной конфиденциальной информации. Включает 18 групп мер.
- Максимальный уровень — полный набор мер, используемый для защиты особо важных объектов критической информационной инфраструктуры (КИИ) и систем, обрабатывающих сведения, составляющие государственную тайну. Включает все 18 групп мер с максимальной детализацией.
Взаимосвязь с другими нормативными документами
ГОСТ Р 57580.1-2017 является частью системы стандартов безопасности финансовых операций. Он тесно связан с:
- ГОСТ Р 57580.2-2018 — «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Этот стандарт определяет порядок проведения аудита и проверки выполнения требований базового стандарта.
- Положение Банка России № 719-П — «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Данный нормативный акт устанавливает обязательные требования к кредитным организациям, во многом опирающиеся на положения ГОСТ Р 57580.1-2017.
- Методические рекомендации Банка России — документы, разъясняющие порядок применения стандарта, примеры реализации мер и типовые сценарии угроз.
Применение и контроль
Соблюдение требований ГОСТ Р 57580.1-2017 является обязательным для кредитных организаций в силу прямого указания в нормативных актах Банка России. Для некредитных финансовых организаций стандарт носит рекомендательный характер, однако его применение часто является условием получения лицензии или прохождения проверок.
Контроль за выполнением требований осуществляется Банком России в рамках надзорных мероприятий, а также аккредитованными аудиторскими организациями. Оценка соответствия проводится по методике ГОСТ Р 57580.2-2018, которая включает проверку документации, тестирование средств защиты, интервьюирование персонала и анализ журналов событий.
Критика и ограничения
В профессиональном сообществе отмечаются следующие недостатки стандарта:
- Высокая ресурсоёмкость внедрения — для малых и средних организаций выполнение всех требований может потребовать значительных финансовых и кадровых затрат, особенно в части закупки сертифицированных средств защиты и проведения аттестации.
- Избыточность для некоторых типов организаций — ряд мер, например, защита среды виртуализации, неактуальны для организаций, не использующих виртуальные инфраструктуры.
- Недостаточная гибкость — жёсткая привязка к классам защищённости и уровням адаптации не всегда позволяет адекватно оценить риски для конкретных бизнес-процессов.
- Отсутствие прямой интеграции с международными стандартами — хотя ГОСТ Р 57580.1-2017 и основан на ISO/IEC 27001, его требования не полностью эквивалентны, что создаёт сложности для международных финансовых групп.
Интересные факты
- Разработка стандарта велась более двух лет с участием экспертов Банка России, ФСТЭК России, ведущих банков (Сбербанк, ВТБ, Газпромбанк) и профильных ИТ-компаний.
- В 2020 году на основе ГОСТ Р 57580.1-2017 были разработаны ведомственные нормативные акты для других отраслей, в частности для страхового рынка и рынка ценных бумаг.
- Стандарт стал первым российским отраслевым документом, который ввёл понятие «уровень адаптации мер защиты», что позволило дифференцировать требования к организациям разного масштаба.
Источники
- ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». — М.: Стандартинформ, 2017.
- ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». — М.: Стандартинформ, 2018.
- Положение Банка России от 17 апреля 2019 года № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
- Методические рекомендации Банка России по применению ГОСТ Р 57580.1-2017 (письмо Банка России от 24.12.2018 № 53-Т).
- Материалы Технического комитета по стандартизации ТК 122 «Стандартизация финансовых операций».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →