воскресенье, 5 марта 2017 г.

Про VPN в проекте ГОСТ «Защита информации финансовых организаций»

На данный момент отраслевой стандарт для финансового сектора СТО БР носит рекомендательный характер. В следующем году планируется его перевод в ГОСТ и обязательное выполнение всеми финансовыми организациями.


Рассмотрим, как изменятся требования по использованию VPN после принятия ГОСТ "ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ", содержащего Базовый состав организационных и технических мер защиты информации.

На данный момент документ находится в статусе проекта и доступен на сайте технического комитета №122.

Основные моменты

Для кого:
Положения настоящего стандарта предназначены для использования кредитными организациями и некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)»

О чем:

Устанавливает три уровня защиты информации и состав мер для каждого из них.

Определены три уровня защиты информации:
- уровень 3 – минимальный;
- уровень 2 – стандартный;
- уровень 1 – усиленный.

Установлены три варианта реализации меры:
- «О» – реализация путем применения организационной меры защиты информации;
- «Т» – реализация путем применения технической меры защиты информации;
- «Н» – реализация, является необязательной.

Как определить уровень защиты:
Уровень защиты информации финансовой организации для конкретной области применения устанавливается нормативными актами Банка России и зависит от:
- вида деятельности финансовой организации, состава реализуемых бизнес-процессов и (или) технологических процессов;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.

О каких актах Банка России идет речь выше, пока не понятно. Зато указано как соотнести уровни данного документа с уровнями защищенности ПДн из ПП1119:
2 стандартный = УЗ3, УЗ4;
1 усиленный = УЗ1, УЗ2.

Реализация мер в части СКЗИ

Как и ранее в СТО БР финансовая организация самостоятельно определяет необходимость использования СКЗИ. Например, вместо VPN-туннеля можно реализовать защиту канала связи между двумя соседними зданиями с помощью сотрудников ЧОП:

6.14 Финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации, в том числе нормативными актами Банка России, и (или) правилами платежной системы.

В разделе «7. Требования к системе защиты информации» перечислены меры защиты и варианты реализаций для различных уровней. Раздел разбит на процессы, некоторые из них – на подпроцессы.

Процесс 2 «Обеспечение защиты вычислительных сетей»
Подпроцесс «Защита информации, передаваемой по вычислительным сетям»
Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗВС.3
Защита информации от раскрытия и модификации, применение двухсторонней аутентификации с применение СКЗИ при ее передаче с использованием сети Интернет, телекоммуникационных каналов и (или) линий связи, не контролируемых финансовой организацией
Н
Н
Т
Процесс 7 «Защита среды виртуализации»
ЗСВ.19
Запрет на копирование текущих образов виртуальных машин использующих СКЗИ, с загруженными криптографическими ключами
Т
Т
Т
Процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»
ЗУД.5
Реализация защиты информации от раскрытия и модификации, двухсторонняя аутентификация участников информационного обмена с применение СКЗИ
Н
Н
Т

Таким образом, необходимость использования СКЗИ указана только для 1 уровня защиты.

Далее в разделе «8 Требования к организации и управлению защитой информации» указаны основные этапы жизненного цикла и принципы построения системы защиты, а также базовый состав защитных мер. 

8.3.1 Деятельность в рамках направления «реализация» выполняется по результатам выполнения направлений «планирование» и (или) «совершенствование» (см. 8.2 и 8.5 соответственно).
 В рамках направления «реализация» финансовая организация обеспечивает:
...
- применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации;

В явном виде указано использование сертифицированных средств защиты. Конкретика указана в выдержках из таблицы с базовым составом мер.

Базовый состав мер по реализации системы защиты информации
Условное обозначение и номер меры
Меры защиты информации
Уровень защиты информации
3
2
1
РЗИ.14
Применение СКЗИ имеющие класс не ниже КС2
Н
Н
Т
РЗИ.11
Применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации:
- средств вычислительной техники, за исключением средств (систем) защиты информации от несанкционированного доступа, не ниже шестого класса;
- систем обнаружения вторжений и средств антивирусной защиты не ниже пятого класса защиты;
- межсетевых экранов не ниже четвертого класса
Н
Т
Н
РЗИ.12
Применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации:
- средств вычислительной техники, за исключением средств (систем) защиты информации от несанкционированного доступа, не ниже пятого класса;
- средств (системы) защиты информации от несанкционированного доступа не ниже четвертого класса;
- систем обнаружения вторжений и средств антивирусной защиты не ниже четвертого класса защиты;
- межсетевых экранов не ниже четвертого класса
Н
Н
Т
РЗИ.13
Применение при взаимодействии с информационно-телекоммуникационной сетью Интернет межсетевых экранов, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации, не ниже третьего класса
Н
Т
Т

Итого:

Уровень защиты информации финансовой организации устанавливается нормативными актами Банка России;

Использование СКЗИ, сертифицированных по классу не ниже КС2, обязательно для обеспечения 1 уровня защищенности при защите каналов связи и защите удаленного доступа (и не только для ПДн);

Использование сертифицированных СКЗИ необязательно для обеспечения 2 и 3 уровня защищенности при защите каналов связи и защите удаленного доступа (если это не противоречит другим НПА, в частности - по защите ПДн);

Если СКЗИ используется в виртуальной среде, то необходимы дополнительные меры защиты (упомянул только запрет копирования, всего в 7 процессе 41 мера защиты);

Регламентировано применение сертифицированных межсетевых экранов и систем обнаружения вторжений, которые довольно часто входят в состав VPN-продуктов, являющихся СКЗИ. Указана сертификация по старым требованиям ФСТЭК, но документ еще в статусе проекта, поэтому ждем обновления в новых версиях.





1 комментарий:

  1. Проект ГОСТа доработан 30/03/2017, подробнее в блоге Лукацкого:
    http://lukatsky.blogspot.ru/2017/04/blog-post.html

    ОтветитьУдалить