На данный момент отраслевой стандарт для финансового сектора СТО БР носит рекомендательный характер. В следующем году планируется его перевод в ГОСТ и обязательное выполнение всеми финансовыми организациями.
Рассмотрим, как изменятся требования по использованию VPN после принятия ГОСТ "ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ", содержащего Базовый состав организационных и технических мер защиты информации.
На данный момент документ находится в статусе проекта и доступен на сайте технического комитета №122.
Основные моменты
Для кого:
О чем:
Устанавливает три уровня защиты информации и состав мер для каждого из них.
Как определить уровень защиты:
О каких актах Банка России идет речь выше, пока не понятно. Зато указано как соотнести уровни данного документа с уровнями защищенности ПДн из ПП1119:
• 2 стандартный = УЗ3, УЗ4;
• 1 усиленный = УЗ1, УЗ2.
Реализация мер в части СКЗИ
Как и ранее в СТО БР финансовая организация самостоятельно определяет необходимость использования СКЗИ. Например, вместо VPN-туннеля можно реализовать защиту канала связи между двумя соседними зданиями с помощью сотрудников ЧОП:
В разделе «7. Требования к системе защиты информации» перечислены меры защиты и варианты реализаций для различных уровней. Раздел разбит на процессы, некоторые из них – на подпроцессы.
Рассмотрим, как изменятся требования по использованию VPN после принятия ГОСТ "ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ", содержащего Базовый состав организационных и технических мер защиты информации.
На данный момент документ находится в статусе проекта и доступен на сайте технического комитета №122.
Основные моменты
Для кого:
Положения настоящего стандарта предназначены для использования кредитными организациями и некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)»
О чем:
Устанавливает три уровня защиты информации и состав мер для каждого из них.
Определены три уровня защиты информации:
- уровень 3 – минимальный;
- уровень 2 – стандартный;
- уровень 1 – усиленный.
Установлены три варианта реализации меры:
- «О» – реализация путем применения организационной меры защиты информации;
- «Т» – реализация путем применения технической меры защиты информации;
- «Н» – реализация, является необязательной.
Как определить уровень защиты:
Уровень защиты информации финансовой организации для конкретной области применения устанавливается нормативными актами Банка России и зависит от:
- вида деятельности финансовой организации, состава реализуемых бизнес-процессов и (или) технологических процессов;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
О каких актах Банка России идет речь выше, пока не понятно. Зато указано как соотнести уровни данного документа с уровнями защищенности ПДн из ПП1119:
• 2 стандартный = УЗ3, УЗ4;
• 1 усиленный = УЗ1, УЗ2.
Реализация мер в части СКЗИ
Как и ранее в СТО БР финансовая организация самостоятельно определяет необходимость использования СКЗИ. Например, вместо VPN-туннеля можно реализовать защиту канала связи между двумя соседними зданиями с помощью сотрудников ЧОП:
6.14 Финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации, в том числе нормативными актами Банка России, и (или) правилами платежной системы.
В разделе «7. Требования к системе защиты информации» перечислены меры защиты и варианты реализаций для различных уровней. Раздел разбит на процессы, некоторые из них – на подпроцессы.
Процесс 2 «Обеспечение защиты вычислительных сетей»
Подпроцесс «Защита информации, передаваемой по вычислительным сетям»
Условное
обозначение и номер меры
|
Содержание
мер системы защиты информации
|
Уровень
защиты информации
|
||||
3
|
2
|
1
|
||||
ЗВС.3
|
Защита информации от раскрытия и модификации, применение двухсторонней
аутентификации с применение СКЗИ при ее передаче с использованием сети
Интернет, телекоммуникационных каналов и (или) линий связи, не контролируемых
финансовой организацией
|
Н
|
Н
|
Т
|
||
Процесс 7 «Защита среды виртуализации»
ЗСВ.19
|
Запрет на копирование текущих образов виртуальных машин использующих
СКЗИ, с загруженными криптографическими ключами
|
Т
|
Т
|
Т
|
Процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»
ЗУД.5
|
Реализация защиты информации от раскрытия и модификации, двухсторонняя
аутентификация участников информационного обмена с применение СКЗИ
|
Н
|
Н
|
Т
|
Таким образом, необходимость использования СКЗИ указана только для 1 уровня защиты.
Далее в разделе «8 Требования к организации и управлению защитой информации» указаны основные этапы жизненного цикла и принципы построения системы защиты, а также базовый состав защитных мер.
8.3.1 Деятельность в рамках направления «реализация» выполняется по результатам выполнения направлений «планирование» и (или) «совершенствование» (см. 8.2 и 8.5 соответственно).
В рамках направления «реализация» финансовая организация обеспечивает:
...
- применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации;
В явном виде указано использование сертифицированных средств защиты. Конкретика указана в выдержках из таблицы с базовым составом мер.
Базовый состав мер по реализации системы защиты информации
Условное
обозначение и номер меры
|
Меры
защиты информации
|
Уровень
защиты информации
|
||
3
|
2
|
1
|
||
РЗИ.14
|
Применение СКЗИ имеющие класс не ниже КС2
|
Н
|
Н
|
Т
|
РЗИ.11
|
Применение средств защиты информации, прошедших оценку соответствия в
форме обязательной сертификации на соответствие требованиям по безопасности
информации:
- средств вычислительной техники, за исключением средств (систем)
защиты информации от несанкционированного доступа, не ниже шестого класса;
- систем обнаружения вторжений и средств антивирусной защиты не
ниже пятого класса защиты;
- межсетевых экранов не ниже четвертого класса
|
Н
|
Т
|
Н
|
РЗИ.12
|
Применение средств защиты информации, прошедших оценку соответствия в
форме обязательной сертификации на соответствие требованиям по безопасности
информации:
- средств вычислительной техники, за исключением средств (систем)
защиты информации от несанкционированного доступа, не ниже пятого класса;
- средств (системы) защиты информации от несанкционированного доступа
не ниже четвертого класса;
- систем обнаружения вторжений и средств антивирусной защиты не ниже
четвертого класса защиты;
- межсетевых экранов не ниже четвертого класса
|
Н
|
Н
|
Т
|
РЗИ.13
|
Применение при взаимодействии с информационно-телекоммуникационной сетью
Интернет межсетевых экранов, прошедших оценку соответствия в форме
обязательной сертификации на соответствие требованиям по безопасности информации,
не ниже третьего класса
|
Н
|
Т
|
Т
|
Итого:
• Уровень защиты информации финансовой организации устанавливается нормативными актами Банка России;
• Использование СКЗИ, сертифицированных по классу не ниже КС2, обязательно для обеспечения 1 уровня защищенности при защите каналов связи и защите удаленного доступа (и не только для ПДн);
• Использование сертифицированных СКЗИ необязательно для обеспечения 2 и 3 уровня защищенности при защите каналов связи и защите удаленного доступа (если это не противоречит другим НПА, в частности - по защите ПДн);
• Если СКЗИ используется в виртуальной среде, то необходимы дополнительные меры защиты (упомянул только запрет копирования, всего в 7 процессе 41 мера защиты);
• Регламентировано применение сертифицированных межсетевых экранов и систем обнаружения вторжений, которые довольно часто входят в состав VPN-продуктов, являющихся СКЗИ. Указана сертификация по старым требованиям ФСТЭК, но документ еще в статусе проекта, поэтому ждем обновления в новых версиях.
Проект ГОСТа доработан 30/03/2017, подробнее в блоге Лукацкого:
ОтветитьУдалитьhttp://lukatsky.blogspot.ru/2017/04/blog-post.html