Информационная безопасность. Национальные стандарты Российской Федерации

отдельных выбранных мер ЗИ; • краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ; • числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ; • подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки соответствия ЗИ; • неразрешенные разногласия между проверяющей группой и проверяемой организацией; • перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ; • сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ: • опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них; • опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

количестве на постоянной основе. Общие подходы реализации организационных и технических мер процесса системы ЗИ установлены в единичных случаях. Реализация организационных и технических мер процесса системы ЗИ осуществляется на усмотрение исполнителя. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ практически не осуществляются; 4) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами, установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически; 5) четвертый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами, установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ; 6) пятый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами, установленными в финансовой организации. В финансовой организации реализованы постоянный контроль и необходимое своевременное совершенствование реализации организационных и технических мер процесса системы ЗИ. По результатам оценки соответствия ЗИ проверяющая организация должна подготовить отчет, в который включаются следующие данные: • сведения о проверяющей организации; • сведения о руководителе и членах проверяющей группы; • сведения о проверяемой организации; • сведения о заказчике оценки соответствия ЗИ; • цель оценки соответствия ЗИ; • сроки проведения оценки соответствия ЗИ; • область оценки соответствия ЗИ; • перечень неоцениваемых областей оценки соответствия ЗИ с обоснованием их исключения из области оценки соответствия ЗИ; • обоснование применения компенсирующих мер ЗИ при невозможности

(в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ)». В область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств. Раздел 6 стандарта содержит описание общей методологии оценки соответствия ЗИ. Раздел 7 содержит требования к методике оценки соответствия ЗИ и описание методологии определения итоговой оценки соответствия. Раздел 8 содержит требования к оформлению результатов оценки соответствия ЗИ. Оценка соответствия ЗИ осуществляется по следующим направлениям: • выбор финансовой организацией организационных и технических мер защиты информации; • полнота реализации организационных и технических мер ЗИ; • обеспечение ЗИ на этапах жизненного цикла АС финансовой организации. Оценка осуществляется отдельно для всех процессов, описанных в ГОСТ Р 57580.1. Для оценки полноты реализации процессов системы ЗИ используют следующую качественную модель оценивания: 1) нулевой уровень соответствия: организационные и технические меры процесса системы ЗИ не реализуются или реализуются в единичных случаях. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются; 2) первый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно и/или эпизодически. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются; 3) второй уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве

Национальный стандарт ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» введен в действие с 01.09.2018 г. Он устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер защиты в соответствии с требованиями стандарта ГОСТ Р 57580.1. Требования, устанавливаемые данным стандартом, предназначены для использования организациями, осуществляющими оценку соответствия ЗИ финансовых организаций, а также субъектов национальной платежной системы. Способом проверки соответствия защиты информации является оценка выбора и реализации финансовой организацией организационных и технических мер защиты информации независимой организацией. обладающей необходимым уровнем компетенции и имеющей лицензию на деятельность по технической защите конфиденциальной информации. Основными целями данного стандарта являются: • установление единых требований к методике и оформлению результатов оценки соответствия защиты информации финансовой организации; • установление способов оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1; • определение итоговой оценки соответствия защиты информации. Под оценкой соответствия защиты информации в стандарте понимается «процесс оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1, выполняемой проверяющей организацией». Проверяющая организация в стандарте определена как «организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты

Пример базового состава мер по разграничению доступа субъектов логического доступа применительно к уровням защиты информации

реализации мер защиты информации, установленные в таблицах, обозначены следующим образом: • «О» – реализация путем применения организационной меры защиты информации; • «Т» – реализация путем применения технической меры защиты информации; • «Н» – реализация является необязательной.

• размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий; • значимости финансовой организации для финансового рынка и национальной платежной системы. Для обеспечения выполнения требований к защите персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн), установленных Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», стандарт устанавливает следующее соответствие между уровнем защищенности ПДн и уровнем защиты информации финансовой организации: • для обеспечения соответствия четвертому уровню защищенности ПДн при их обработке в ИСПДн рекомендуется использовать требования, установленные стандартом для уровня 3; • для обеспечения соответствия третьему и второму уровням защищенности ПДн рекомендуется использовать требования, установленные стандартом для уровня 2; • для обеспечения соответствия первому уровню защищенности ПДн рекомендуется использовать требования, установленные данным стандартом для уровня 1. Стандарт устанавливает требования к содержанию базового состава мер защиты информации для следующих процессов (направлений) защиты информации: • процесс 1 «Обеспечение защиты информации при управлении доступом»; • процесс 2 «Обеспечение защиты вычислительных сетей»; • процесс 3 «Контроль целостности и защищенности информационной инфраструктуры»; • процесс 4 «Защита от вредоносного кода»; • процесс 5 «Предотвращение утечек информации»; • процесс 6 «Управление инцидентами защиты информации»; • процесс 7 «Защита среды виртуализации»; • процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных устройств». Все меры защиты в стандарте описаны в виде таблиц. Способы

Уровень защиты информации финансовой организации устанавливается нормативными актами Банка России на основе: • вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и/или технологических процессов; • объема финансовых операций;

уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации стандарт рекомендует обеспечить: • идентификацию и учет объектов информатизации, в том числе АС; • применение на различных уровнях информационной инфраструктуры выбранных мер защиты информации, направленных на непосредственное обеспечение защиты информации; • применение выбранных мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации; • применение выбранных мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла АС и приложений; • оценку остаточного операционного риска, вызванного неполным или некачественным выбором и применением мер защиты информации, и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Банка России. Стандарт определяет три уровня защиты информации: • уровень 3 – минимальный; • уровень 2 – стандартный; • уровень 1 – усиленный.

• нарушение регламентированных сроков выполнения процедур и операций в рамках предоставления финансовых услуг; • нарушение установленных показателей предоставления финансовых услуг: • нанесение финансового ущерба финансовой организации, ее клиентам и контрагентам; • выполнение операций (транзакций), приводящих к финансовым последствиям финансовой организации, ее клиентов и контрагентов, осуществление переводов денежных средств по распоряжению лиц, не обладающих соответствующими полномочиями, или с использованием искаженной информации, содержащейся в соответствующих распоряжениях (электронных сообщениях). Группа реагирования на инциденты защиты информации – действующая на постоянной основе группа работников финансовой организации и/или иных лиц, привлекаемых ею, которая выполняет регламентированные в финансовой организации процедуры реагирования на инциденты защиты информации. Информация конфиденциального характера – информация, для которой в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России, и/или внутренними документами финансовой организации обеспечивается сохранение свойства конфиденциальности.