Открыть сервис

ГОСТ Р 57580.1-2017

ГОСТ Р 57580.1-2017 — это национальный стандарт Российской Федерации, устанавливающий требования к защите информации (ЗИ) при обработке данных в автоматизированных системах (АС) организаций банковской системы Российской Федерации. Полное наименование документа: «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Стандарт введён в действие с 1 января 2018 года, разработан Техническим комитетом по стандартизации ТК 122 «Стандартизация финансовых операций» и утверждён приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) № 1590-ст от 20 декабря 2017 года.

История разработки и контекст

Необходимость создания единого отраслевого стандарта по защите информации в финансовом секторе возникла в середине 2010-х годов. До его появления регулятором в лице Банка России применялись разрозненные нормативные акты, а также рекомендации в области информационной безопасности (ИБ). Основными предпосылками стали рост числа кибератак на финансовые организации, увеличение объёмов безналичных расчётов и цифровизация банковских услуг.

Разработка стандарта велась с учётом международных практик, в частности стандарта ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также методических документов Федеральной службы по техническому и экспортному контролю (ФСТЭК России). В отличие от зарубежных аналогов, ГОСТ Р 57580.1-2017 был адаптирован под специфику российского законодательства и структуру банковской системы, включая требования к криптографической защите, сертифицированным средствам ЗИ и аттестации объектов информатизации.

Область применения

Стандарт распространяется на все организации, осуществляющие банковские операции и иную деятельность на основании лицензии Банка России, а также на некредитные финансовые организации (НФО), поднадзорные Центральному банку. К ним относятся:

  • кредитные организации (банки, небанковские кредитные организации);
  • страховые компании;
  • профессиональные участники рынка ценных бумаг;
  • негосударственные пенсионные фонды;
  • микрофинансовые организации;
  • операторы платёжных систем и платёжной инфраструктуры.

Документ определяет требования к защите информации при обработке данных в автоматизированных системах, включая системы дистанционного банковского обслуживания (ДБО), процессинговые центры, внутренние учётные системы и хранилища данных.

Структура и состав мер

ГОСТ Р 57580.1-2017 содержит базовый состав организационных и технических мер защиты информации, сгруппированных по направлениям. Всего стандарт включает 18 групп мер, каждая из которых детализируется конкретными действиями и процедурами.

Организационные меры

Организационные меры направлены на формирование системы управления ИБ в организации. Ключевые группы:

  • Управление доступом — регламентация прав доступа пользователей и процессов к информационным ресурсам, контроль привилегированных учётных записей.
  • Управление инцидентами — порядок выявления, регистрации, анализа и реагирования на события ИБ.
  • Управление конфигурацией — обеспечение целостности и актуальности настроек средств защиты и АС.
  • Управление изменениями — процедуры внесения изменений в программное и аппаратное обеспечение, влияющие на уровень защищённости.
  • Управление активамиинвентаризация и классификация информационных активов, определение их критичности.
  • Управление персоналом — требования к найму, обучению и контролю сотрудников, работающих с конфиденциальной информацией.

Технические меры

Технические меры реализуются с помощью программных и аппаратных средств защиты. Основные группы:

  • Идентификация и аутентификация — применение парольной политики, многофакторной аутентификации, биометрических методов.
  • Регистрация и мониторинг — сбор и анализ событий безопасности, ведение журналов аудита, использование систем SIEM.
  • Антивирусная защита — применение сертифицированных средств антивирусного контроля на всех узлах АС.
  • Защита каналов передачи данных — шифрование трафика, использование VPN, протоколов TLS.
  • Защита от несанкционированного доступа (НСД) — разграничение доступа на уровне операционных систем, СУБД и приложений.
  • Защита среды виртуализации — контроль гипервизоров, изоляция виртуальных машин, управление образами.
  • Защита от вредоносного кода — применение средств анализа поведения, песочниц, сигнатурных и эвристических методов.

Уровни адаптации мер

Стандарт предусматривает три уровня адаптации мер защиты, которые выбираются организацией в зависимости от класса защищённости АС, объёма обрабатываемых данных и критичности бизнес-процессов:

  • Базовый уровень — минимальный набор мер, обязательный для всех организаций. Включает 15 групп мер, направленных на предотвращение наиболее распространённых угроз.
  • Расширенный уровень — дополнительный набор мер, применяемый при обработке персональных данных, банковской тайны или иной конфиденциальной информации. Включает 18 групп мер.
  • Максимальный уровень — полный набор мер, используемый для защиты особо важных объектов критической информационной инфраструктуры (КИИ) и систем, обрабатывающих сведения, составляющие государственную тайну. Включает все 18 групп мер с максимальной детализацией.

Взаимосвязь с другими нормативными документами

ГОСТ Р 57580.1-2017 является частью системы стандартов безопасности финансовых операций. Он тесно связан с:

  • ГОСТ Р 57580.2-2018 — «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Этот стандарт определяет порядок проведения аудита и проверки выполнения требований базового стандарта.
  • Положение Банка России № 719-П — «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Данный нормативный акт устанавливает обязательные требования к кредитным организациям, во многом опирающиеся на положения ГОСТ Р 57580.1-2017.
  • Методические рекомендации Банка России — документы, разъясняющие порядок применения стандарта, примеры реализации мер и типовые сценарии угроз.

Применение и контроль

Соблюдение требований ГОСТ Р 57580.1-2017 является обязательным для кредитных организаций в силу прямого указания в нормативных актах Банка России. Для некредитных финансовых организаций стандарт носит рекомендательный характер, однако его применение часто является условием получения лицензии или прохождения проверок.

Контроль за выполнением требований осуществляется Банком России в рамках надзорных мероприятий, а также аккредитованными аудиторскими организациями. Оценка соответствия проводится по методике ГОСТ Р 57580.2-2018, которая включает проверку документации, тестирование средств защиты, интервьюирование персонала и анализ журналов событий.

Критика и ограничения

В профессиональном сообществе отмечаются следующие недостатки стандарта:

  • Высокая ресурсоёмкость внедрения — для малых и средних организаций выполнение всех требований может потребовать значительных финансовых и кадровых затрат, особенно в части закупки сертифицированных средств защиты и проведения аттестации.
  • Избыточность для некоторых типов организаций — ряд мер, например, защита среды виртуализации, неактуальны для организаций, не использующих виртуальные инфраструктуры.
  • Недостаточная гибкость — жёсткая привязка к классам защищённости и уровням адаптации не всегда позволяет адекватно оценить риски для конкретных бизнес-процессов.
  • Отсутствие прямой интеграции с международными стандартами — хотя ГОСТ Р 57580.1-2017 и основан на ISO/IEC 27001, его требования не полностью эквивалентны, что создаёт сложности для международных финансовых групп.

Интересные факты

  • Разработка стандарта велась более двух лет с участием экспертов Банка России, ФСТЭК России, ведущих банков (Сбербанк, ВТБ, Газпромбанк) и профильных ИТ-компаний.
  • В 2020 году на основе ГОСТ Р 57580.1-2017 были разработаны ведомственные нормативные акты для других отраслей, в частности для страхового рынка и рынка ценных бумаг.
  • Стандарт стал первым российским отраслевым документом, который ввёл понятие «уровень адаптации мер защиты», что позволило дифференцировать требования к организациям разного масштаба.

Источники

  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». — М.: Стандартинформ, 2017.
  • ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». — М.: Стандартинформ, 2018.
  • Положение Банка России от 17 апреля 2019 года № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
  • Методические рекомендации Банка России по применению ГОСТ Р 57580.1-2017 (письмо Банка России от 24.12.2018 № 53-Т).
  • Материалы Технического комитета по стандартизации ТК 122 «Стандартизация финансовых операций».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →