Всем привет, меня зовут Сторож Алексей, я ведущий консультант AKTIV.CONSULTING в финансовой отрасли, и в этой статье я хочу подробно поговорить о стандарте, который существует уже не мало лет: кто-то его любит, кто-то ненавидит, а для кого-то вроде меня это любимая работа. За последние годы я провел почти два десятка аудитов и хотел бы поделиться своими знаниями.
В этой части статьи разберем для кого и почему ГОСТ 57580.1 вновь скоро станет актуален, после чего нетипично глубоко для формата статьи окунемся в сами требования к управлению и обеспечению информационной безопасности (ИБ).
Во второй части статьи, которую мы выпустим через неделю, уже поговорим о том, как подойти к внедрению организационных и технических мер на практике, с чего начать и как подготовиться к внешнему аудиту.
Введение
Банк России (БР) продолжает не только выпускать новые требования, но и распространять старые: в скором времени ГОСТ Р 57580.1 получит второе дыхание и станет актуален как никогда!
Для начала краткий ликбез:
ГОСТ Р 57580.1 (ГОСТ) – стандарт по защите информации для финансовых организаций (ФО), вышедший еще в далеком 2017 году;
ГОСТ включает в себя суммарно более 400 организационных и технических мер;
набор мер делится на три уровня защиты (УЗ) – минимальный (3), стандартный (2) и усиленный (1);
ГОСТ содержит информацию о том, кому и какого уровня меры необходимо выполнять устанавливает БР в различных Положениях;
начиная со 2 уровня в Положениях БР также устанавливается требования к срокам и результатам периодической внешней оценки соответствия.
Хорошо, вроде разобрались, но ГОСТ от 2017 года, а значит все уже реализовали требования или даже не раз прошли оценку соответствия, так ведь? А если нет, то почему внедрение требований по ГОСТ вновь станет актуальным и, главное – для кого?
И тут мы подходим к основным причинам написания этой статьи:
1.Требования ГОСТ распространятся на поставщиков ИТ- и ИБ-услуг:
атаки на цепочку поставок не уходят из трендов, на фоне чего разговоры про безопасность подрядчиков звучат в том числе и от БР на пленарных сессиях;
в ноябре 2025 года БР уже разослал ФО письма с указанием о необходимости предъявлять своим поставщикам услуг требования о соответствии ГОСТ, а уже в феврале запланирована соответствующая проверка самых крупных ФО.
2.Изменится Положение БР № 757-П:
в область действия требований 3 УЗ попадут микрофинансовые организации (МФО), которых все это время ГОСТ мягко обходил стороной;
регистраторов, страховые компании (СК) и негосударственные пенсионные фонды (НПФ) переводят из 3 на 2 УЗ, отчего у них появится необходимость подтвердить свой уровень соответствия и отчитаться перед БР.
3.Завершен пересмотр ГОСТ 57580.1, .2 и .5 внутри ТК 122, в рамках которого мне удалось отследить позицию БР по многим вопросам.
Резюмируя, эта статья будет полезна:
· Поставщикам услуг, работающим с ФО:
облачным провайдерам (самые крупные, кстати, уже превентивно получили свой сертификат),
хостингам и дата-центрам,
компаниям, осуществляющим внешнюю поддержку ИТ-систем,
вендорам систем и средств защиты,
интеграторам (поставщикам решений),
внешним центрам реагирования на инциденты (SOC),
поставщикам телекоммуникационных и сетевых решений,
поставщикам услуг резервного копирования и восстановления.
· ФО, которых коснулись изменения 757-П:
МФО (МКК),
Регистраторам,
СК,
НПФ.
· Всем новым ФО, которым еще предстоит выстроить свою безопасность.
· Ну и просто комплаенс-специалистам, которые работают или планируют работать (привет, студенты) в финансовом секторе.
Управление ИБ
Безопасность начинается не с конкретных защитных мер, а с процессов по ее управлению. В качестве основного принципа управления системой защиты информации по ГОСТ лежит цикл Деминга (PDCA): Планируй (Plan) – Реализуй (Do) – Контролируй (Check) – Совершенствуй (Act). Да, это не изобретение БР, однако наш регулятор идет дальше в попытке стандартизировать вообще все процессы ��правления ИБ.
Чтобы не распыляться и разложить все по полочкам, 4 блока мер PDCA условно разделим на еще 4 направления управления ИБ:
1) Управление требованиями
P) Планирование – определяем контур и методы защиты:
определение области применения требований,
регламентация выбора и порядка применения мер.
D) Реализация – выявляем конкретно что мы будем защищать и, собственно, защищаем это:
учет всех объектов и ресурсов доступа,
реализация запланированных мер.
C) Контроль – проверяем защищается ли все что нужно и как нужно:
инвентаризация объектов и ресурсов,
внутренний аудит фактического применения мер.
A) Совершенствование – корректируем подход, внедряем новые требования:
пересмотр и расширение состава мер,
пересмотр области применения,
2) Управление средствами защиты
P) Планирование – перед внедрением СЗИ документируем, как оно должно быть развернуто:
разработка рабочей документации на этапе внедрения СЗИ:
· правила размещения в инфраструктуре,
· стандарты конфигураций.
D) Реализация – внедряем и настраиваем СЗИ согласно ранее разработанной документации:
внедрение (размещение) и первичная настройка,
централизация управления агентами.
C) Контроль – следим, чтобы ничего не изменилось:
периодический контроль размещения и конфигураций,
сбор логов изменений настроек.
A) Совершенствование – корректируем настройки, внедряем новые СЗИ:
пересмотр и ��асширение состава СЗИ.
3) Управление знаниями
P) Планирование:
разработка руководств на СЗИ: роли «оператора» и «контролера»
D) Реализация:
обучение ИБ работе с СЗИ,
обучение ИТ по ИБ,
назначение соответствующих ролей и обязанностей.
C) Контроль:
проверка:
· назначения ролей,
· выполнения руководств,
· знаний.
A) Совершенствование:
пересмотр руководств и процесса обучения.
4) Управление непрерывностью защиты
P) Планирование:
разработка планов восстановления СЗИ.
D) Реализация:
сертификация или оценка доверия СЗИ,
обеспечение отказоустойчивости,
наличие техподдержки от вендора или его дистрибьютора.
C) Контроль:
контроль безотказного функционирования,
регистрация сбоев (отказов),
обновление сигнатур.
A) Совершенствование:
пересмотр плана восстановления,
анализ сбоев и повышение отказоустойчивости.
Примечание: меры по обеспечению операционной надежности всей ИТ-инфраструктуры приведены в отдельном стандарте ГОСТ Р 57580.4.
Обеспечение ИБ
Мы разобрались с тем, как ИБ управлять. Настало время рассказать о том, как ИБ обеспечивать. ГОСТ выделяет 8 основных процессов обеспечения ИБ, и, чтобы помочь разобраться в нескольких сотнях формулировок БР, я тезисно приведу пересказ полного перечня всех мер (для 1УЗ) понятным языком.
1) Управление доступом:
Управление учетными записями:
уникальные учетные записи и запрет на использование групповых,
инвентаризация учетных записей,
назначение владельцев логического доступа, с которыми нужно согласовывать предоставление и отзыв прав,
ролевая модель,
логи управления правами.
Идентификация, аутентификация, авторизация:
парольная политика,
многофакторная аутентификация для администраторов (2УЗ) / для всех (1УЗ),
аутентификация АРМ,
параметры и условия для блокировки сессии,
пароль на BIOS,
хранение паролей,
логи аутентификации персонала и сервисов.
Контроль физического доступа:
доступ штатных работников и третьих лиц, а также технического персонала,
назначение владельцев помещений, с которыми нужно согласовывать предоставление и отзыв прав доступа,
видеонаблюдение и сроки хранения записей,
не только СКУД, но и механические замки,
охрана и пожарная сигнализация,
контроль доступа к шкафам в серверной,
защита общедоступных объектов (банкоматы, платежные терминалы и т.п.),
логи СКУД.
Идентификация и учет:
учет и контроль состава АС, виртуальных машин (ВМ), баз данных (БД), сетевых хранилищ (файловых шар), оборудования, банкоматов и платежных терминалов,
контроль создания, удаления и резервного копирования ВМ, БД и файловых шар,
соответствующие логи.
2) Защита вычислительных сетей:
Сегментация и межсетевое экранирование:
изоляция контура от иных систем,
сегмент тестирования и разработки,
сегменты АРМ пользователей и АРМ администраторов,
сегмент банкоматов/терминалов,
контроль взаимодействия меду сегментами, включая фильтр на прикладном уровне (L7),
NAT,
DMZ,
логи сетевого оборудования.
Выявление вторжений и сетевых атак:
IPS/IDS,
AntiDDoS,
WAF,
AntiSPAM,
их логи.
Защита внешних каналов:
https,
VPN.
Защита беспроводных сетей:
аутентификация по сертификату, а не паролю,
WPA 2/3,
отдельный сегмент для контроллера и точек доступа,
логи попыток подключения и изменения параметров оборудования.
3) Контроль целостности и защищенности:
выявление и устранение уязвимостей,
сканирование настроек,
своевременное обновление ПО,
резервное копирование,
контроль целостности и доверенная загрузка,
контроль состава ПО на АРМ и серверах,
выявление использования мобильного кода,
соответствующие логи.
4) Защита от вредоносного кода:
антивирусы разных производителей для уровней серверов, АРМ и межсетевого трафика,
антивирус на банкоматах/терминалах,
контроль подключаемых машинных носителей информации (МНИ),
контроль МНИ, которые принесли «извне», на отдельном АРМ,
периодичность сканирования,
обновление сигнатур,
контроль отключения антивируса,
логи антивируса.
5) Предотвращение утечек:
ограничение использования следующих каналов – почта, печать, интернет, МНИ,
DLP,
настройки безопасности почтового клиента,
запрет хранения конфиденциальной информации на АРМ с интернетом,
печать по смарт-карте,
блокирование портов ввода-вывода и белый список МНИ,
учет МНИ,
требования к процессу стирания информации на МНИ при их передаче между работниками или во вне и их выводе из эксплуатации,
шифрование МНИ при выносе за пределы компании,
соответствующие логи.
6) Управление инцидентами:
Мониторинг и анализ событий (логов):
мониторинг логов СЗИ, АС, сетевого оборудования, ОС, сетевых приложений, СУБД и контроллера домена,
SIEM,
NTP,
защита и контроль формирования логов,
резервирование необходимого объема памяти для хранения логов в течении 3-х (2 УЗ) или 5-ти (1 УЗ) лет,
нормализация и корреляция логов,
логи самого SIEM.
Обнаружение инцидентов и реагирование на них:
регистрация, классификация и реагирование на инциденты,
регламентация анализа и закрытия инцидентов,
выделение и назначение ответственной группы реагирования,
защита информации об инцидентах и доступ к ней в течение 3-х (2 УЗ) или 5-ти (1 УЗ) лет,
логи доступа к информации об инцидентах.
7) Защита среды виртуализации и (с 2026 года) контейнеризации:
жесткие требования по изоляции контуров ГОСТ между собой (если их несколько): разные гипервизоры, LUN/СХД,
иные требования к сегментации виртуальной среды,
ролевая модель (разным командам – разные группы ВМ),
требования к пользовательским ВМ (VDI),
2FA для доступа к СХД, гипервизору и т.д.,
СЗИ виртуализации (типа vGate) должны быть размещены на физике,
требования к жизненному циклу и защите базовых образов ВМ, контейнеров,
всевозможные логи сред виртуализации и контейнеризации.
8) Защита информации при удаленном доступе:
определение правил – доступ по VPN, с 2FA,
доменные устройства, закрепленные за работниками,
MDM,
весь трафик через инфраструктуру (запрет на split tunneling) для его контроля,
отдельный сегмент сети для подключившихся удаленно,
шифрование устройств, если на них разрешено обрабатывать конфиденциальную информацию.
Если вы подумали, что это конец, то спешу вас расстроить – ГОСТ предъявляет еще и требования жизненному циклу автоматизированных систем (АС), состоящему из 4-х этапов-состояний АС.
1) Создание/модернизация:
разработка документации на АС (включая стандарт конфигурации),
определение требований по защите АС,
управление версиями,
запрет на использование боевых данных в тестовой среде,
2) Ввод в эксплуатацию:
размещение и настройка,
контроль на соответствие разработанным ранее стандартам, конфигурации и требованиям,
пентест, анализ уязвимостей и их устранение,
3) Эксплуатация:
реализация защитных мер и их контроль,
назначение лиц, ответственных за эксплуатацию и безопасность АС,
своевременное обновление,
отказоустойчивость,
ежегодный пентест, анализ уязвимостей и их устранение,
логирование изменений,
тестирование обновлений,
4) Вывод из эксплуатации:
защита резервных копий,
стирание информации.
Здесь предлагаю сделать паузу, открыть форточку, сделать глоток свежего воздуха и признать, что уже сейчас получился хороший обучающий материал, однако это не было основной целью всей статьи – через неделю выйдет вторая часть, где мы разберем практические аспекты внедрения всего подхода.
