Журнал "Information Security/ Информационная безопасность" #2, 2023

Требования направлений основаны на мерах каждого процесса, и они отражают основные моменты использования кон- кретных мер защиты, например в разделе требований направлений есть требования по сертификатам и классу СЗИ, сопро- вождению СЗИ, тестированию и обучению работников, регистрации сбоев и др. Охват требований Рассмотрим подробнее, на какие про- цессы разбивается система защиты информации согласно ГОСТ 57580.1. l Обеспечение защиты информации при управлении доступом – процесс содержит требования по организации работы с учетными записями, парольной политики, по контролю физического доступа в помещения, а также состава ресурсов и объектов доступа. l Обеспечение защиты вычислитель- ных сетей – содержит требования по построению ЛСВ (выделение сегментов), межсетевому экранированию, правилам взаимодействия в ЛВС и с иными сетями, а также по защите от сетевых атак и контролю сетевой активности. l Контроль целостности и защищенно- сти информационной инфраструктуры – содержит требования по поиску и устра- нению уязвимостей защиты, по контролю используемого ПО и возможности вос- становления системы защиты. l Защита от вредоносного кода – сюда вынесены все правила по защите от вирусов и использованию средств защи- ты от вредоносного кода. l Предотвращение утечек информации – все об утечках по нескольким каналам, о контроле каналов передачи данных и кон- тентном анализе передаваемых данных. l Управление инцидентами защиты информации – помимо требований по менеджменту инцидентов, в данном про- цессе описываются требования по регистрации событий защиты из раз- личных источников и правила их сбора, агрегирования, защиты и анализа. В общем понимании этот процесс – основа контроля применения техниче- ских мер защиты. l Защита среды виртуализации – здесь отражены меры, относящиеся именно к сфере применения технологий виртуа- лизации. l Защита удаленного доступа при использовании мобильных (переносных) устройств – все об особенностях предо- ставления удаленного доступа. l Жизненный цикл – в отдельно стоящем разделе указаны требования к обеспечению защиты информации в рамках жизненного цикла АС и приложений, используемых для реализации бизнес-процессов. Если в составе требований процессов присутствуют конкретные пункты требо- ваний, например "регистрировать входы и выходы пользователя в учетную запись", "еженедельно проводить про- верки антивирусом", то в части требова- ний направлений указаны меры, которые ссылаются на ранее определенные меры защиты, такие как документальное опре- деление технических мер защиты, то есть требование регламентировать и определить порядок применения тех- нических средств и мер защиты или регистрация сбоев систем защиты. Структура требований, то есть четыре направления П-Р-К-С (PDCA), в случае ГОСТа формирует системность подхода к обеспечению ИБ, а именно регламен- тирован состав мероприятий, которые в цикличном формате реализуют посто- янный процесс защиты информации, который основан на конкретных требо- ваниях процессов защиты. ГОСТ 57580 сегодня реализуется кре- дитными и некредитными финансовыми организациями и обязателен для при- менения. Для НФО требования реали- зации и соответствия по ГОСТу опреде- лены в п.п. 1.4 и 1.5 положения ЦБ № 757. Требуется реализация мини- мального, стандартного или усиленного УЗ и достижение определенной оценки при проведении аудита с применением методики ГОСТ 57580.2. Согласно прак- тике, существующие до введения ГОСТа системы защиты частично соответство- вали новым требованиям, однако только единицы организаций имеют численную оценку соответствия выше требуемого значения в 0,85 (четвертый уровень) по всем процессам, что зачастую требует от них проведения экстренных меро- приятий по повышению оценки. Внедрение технологических мер защиты информации Технологические меры – такая же неотъемлемая часть системы защиты информации, как и средства защиты, технические средства и организацион- ные мероприятия. Их обязаны реализо- вать НФО, которые реализуют стан- дартный и усиленный уровни защиты по ГОСТ 57580. Технологические меры базируются на особенностях и целях процессов обработки защищаемой информации, поэтому невозможно опре- делить их полный перечень и содержа- ние для общего случая. Но в рамках отдельных отраслевых процессов зако- нодательство все же выделяет мини- мальный набор, обязательный для при- менения (в положении ЦБ 757-П). Подавляющее число технологических мер защиты при автоматизированной обработке данных реализуется самими средствами автоматизации (ДБО, АБС и т.д.), в их числе: l контроль дублирования электронного сообщения; l структурный контроль электронных сообщений; l регистрация определенных атрибутов финансовых операций; l проверка правильности формирова- ния (подготовки) электронных сообще- ний (двойной контроль); l иные технологические меры. Рассмотрим следующую группу тех- нологических мер. Они связаны с при- менением технических мер защиты или функций ПО и включают в себя: l защиту, в том числе криптографиче- скую, информации при ее передаче по каналам связи; l проверку соответствия исходящих электронных сообщений входящим; l контроль соответствия результатов осуществления финансовых операций информации, содержащейся в электрон- ных сообщениях; l иные технологические меры. Среди всех мер можно выделить груп- пу технологических мероприятий по взаимодействию с клиентами: l направление клиентам некредитных финансовых организаций уведомлений об осуществлении финансовых операций; l доведение до своих клиентов инфор- мации о возможных последствиях утраты их аутентификационных данных, предо- ставление рекомендаций для защиты информации; l подтверждение принадлежности почты клиента; l иные технологические меры. Требования такого рода реализуются посредством формирования информа- ционных сообщений соответствующего содержания. Для обеспечения реали- зации требований этой группы могут понадобиться почтовый сервер, допол- нительный раздел на сайте, IP-телефо- ния и др. Все перечисленные меры защиты при- менимы к процессу обработки электрон- ных сообщений в рамках деятельности финансовых организаций. Корректность и полнота реализации требуемых пунк- тов положений ЦБ и иных технологиче- ских мер достигается грамотным про- ектированием системы обработки и защиты информации и технической реализацией, проводимыми на этапах планирования и реализации цикла PDCA. Резюмируя, подчеркну, что требования по информационной безопасности к НФО достаточно обширны и могут показаться непосильными для неболь- ших участников рынка, таких как лом- бард или микрофинансовая организация. В то же время, если внимательно отнес- тись к рассмотрению требований, видно, что большая их часть закрывается выполнением оценки значимости (кате- горирование КИИ, определение уровня защиты по 757-П), то есть парой бума- жек, отсутствие которых может повлечь за собой усиление внимания со стороны госорганов. l Первую часть статьи читайте в первом номере журнала "Информационная безопасность". • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru