Обзор нового ГОСТа ЦБ по защите информации

Поймал себя на мысли, что уходящий декабрь был очень активен в части выпуска различных нормативных актов и их проектов и я просто упустил из ввиду, что я не написал про проект нового ГОСТа Банка России по информационной безопасности, который, в соответствии с ранее озвученными планами, должен стать обязательным. Решил исправить сие досадное недоразумение и пробежаться по проекту нового ГОСТа. В него возможно еще будут вноситься изменения, но ключевые положения останутся неизменными.

Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.

Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.

Стандарт определяет три уровня защиты информации:

• уровень 3 – минимальный
• уровень 2 – стандартный
• уровень 1 – усиленный.

Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:

• вида деятельности финансовой организации,
• состава реализуемых бизнес-процессов и (или) технологических процессов
• объема финансовых операций
• размера организации
• отнесения финансовой организации к категории малых предприятий и микропредприятий
• значимости финансовой организации для финансового рынка и национальной платежной системы.

Как можно было заметить в 5-й редакции СТО БР ИББС, тему ПДн ЦБ перестал драйвить и попросту отсылает всех к 21-му приказу ФСТЭК. Так и в ГОСТе - никаких отдельных защитных мер для ПДн нет. ЦБ просто соотносит уровни защиты нового ГОСТа и уровни защищенности ПДн ЦБ:

Еще одной новацией для ЦБ, но привычной для читаталей документов ФСТЭК, стал алгоритм выбора защитных мер. Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает:

• выбор базового состава мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам ИС, реализуемым ИТ, особенностям функционирования ИС
• уточнение (включает дополнение или исключение)
• дополнение адаптированного базового набора мер по обеспечению безопасности дополнительными мерами, установленными иными нормативными актами.

Обратите внимание, теперь не будет закрытого и неизменного списка защитных мер, как это прописано в СТО БР ИББС или в 382-П или в иных документах Банка России. Теперь этот перечень будет зависеть от множества факторов - для каждого случая будут установлены уровни защиты, а их реализация будет базироваться на новом ГОСТе. Получится вполне дифференцированный подход.

Структура нового ГОСТа будет следующей:

• Область применения, нормативные ссылки, термины и определения, сокращения, назначение и структура стандарта
• Общие положения
• Требования к системе защиты информации
• Требования к организации и управлению защитой информации
• Требования по защите информации на этапах жизненного цикла автоматизированных систем
• Приложение А – Модель угроз и нарушителей
• Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
• Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа

И вновь обращаю ваше внимание на 3-5 пункты. Если СТО БР ИББС состоял из множества документов, то новый ГОСТ один. Поэтому все требования по ИБ включены в один документ, но разбиты на 3 большие части - сами меры защиты, меры по управлению и требования к жизненному циклу.

Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):

• Обеспечение защиты информации при управлении доступом
• управление учетными записями и правами субъектов логического доступа 
• идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа
• защита информации при осуществлении физического доступа
• идентификация, классификация и учет ресурсов и объектов доступа
• Обеспечение защиты вычислительных сетей
• сегментация и межсетевое экранирование вычислительных сетей
• выявление сетевых вторжений и атак
• защита информации, передаваемой по вычислительным сетям
• защита беспроводных сетей
• Контроль целостности и защищенности информационной инфраструктуры
• Антивирусная защита
• Предотвращение утечек информации, защита машинных носителей информации (МНИ)
• Управление инцидентами защиты информации
• мониторинг и анализ событий защиты информации
• обнаружение инцидентов защиты информации и реагирование на них
• Защита среды виртуализации
• Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Фрагмент блока требований по управлению доступом

Блок управления состоит из четырех компонентов:

• Планирование системы защиты информации
• Реализация системы защиты информации
• Контроль реализация системы защиты информации
• Совершенствование реализация системы защиты информации.

Фрагмент блока требований к планированию системы защиты информации

Ну и блок требований к жизненному циклу защиты информации:

Фрагмент блока требований к жизненному циклу

Вот такая картина получается. Достаточно гибкий подход, как мне кажется. И ни слова про оценку соответствия или отправку в ГУБЗИ ее результатов. Правда, пока неясной (для меня) остается судьба самого СТО БР ИББС. Там остаются документы, положения которых не вошли и врядли войдут в состав нового ГОСТа. Например, свежий СТО 1.3 по сбору доказательств для расследования инцидентов. Возможно из них сделают то, что называется "рекомендация по стандартизации" с соответствующей их регистрацией в Росстандарте (как это сделано в ТК26). Посмотрим...

ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.