Анастасия Николаева (AKTIV.CONSULTING) в BIS Journal: «Обострение между бумажной и реальной ИБ»

27 июля 2022 года

Ведущий консультант по ИБ бизнес-направления AKTIV.CONSULTING выступила одним из авторов публикации «Выполнить не представляется возможным. Обострение между бумажной и реальной ИБ» на страницах BIS Journal №3/2022. В статье описывается ситуация, когда действующие требования в области ИБ к финансово-кредитным организациям (Положения 719-П и 757-П) на практике стали сегодня невыполнимыми в результате введения санкций, прекращения деятельности в России целого ряда зарубежных вендоров и отсутствия техподдержки. Эксперты также рассказывают о снижении требований со стороны Банка России в связи со сложившейся ситуацией, а также дают практические советы по ее преодолению.

: Кредитно-финансовая сфера является самой зарегулированной в плане ИБ.

В конце первого квартала 2022 г. обеспечение информационной безопасности в организациях Российской Федерации перешло на усиленный режим работы, а вопросы реальной информационной безопасности вышли на первый план. Большое количество сетевых атак, отсутствие технической поддержки от значительного числа зарубежных производителей программного обеспечения и программно-аппаратных решений привели к резкому росту числа уязвимых автоматизированных информационных систем, в том числе в кредитно-финансовой сфере. С этого момента Планы на обеспечение непрерывности деятельности и (или) восстановления деятельности в случае возникновения нестандартных и чрезвычайных ситуаций стали реальны.

Текущая ситуация

Кредитно-финансовая сфера является самой зарегулированной в области информационной безопасности, и огромное количество нормативной базы по обеспечению информационной безопасности имеет статус находящихся на исполнении, которое в настоящее время выполнить невозможно.

Вопросы модернизации существующей инфраструктуры в настоящий момент требуют полного пересмотра как поставщиков новых решений, так и поставщиков решения к существующей инфраструктуре (параллельный импорт).

Оценка выполнимости требований сопровождения текущих решений рассматривается далее с учетом наличия параллельного импорта.

Исходная позиция

Как известно, 04.06.2020 Банк России утвердил Положение № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Через год, 20.04.2021, данным регулятором было утверждено Положение № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Напомним, что в указанных Положениях устанавливаются требования к уровню соответствия с ГОСТ Р 57580.2–2018 не ниже четвертого в 719-П:

пункт 2.4. для операторов по переводу денежных средств;
пункт 3.7. для банковских платежных агентов, осуществляющих операции платежного агрегатора;
пункт 4.5. для операторов услуг информационного обмена;
пункт 6.8. для операторов услуг платежной инфраструктуры;

и не ниже третьего в 757-П:

пункт 1.7. для некредитных финансовых организаций, реализующих усиленный и стандартный уровни защиты информации.

Таким образом, некредитным финансовым организациям, операторам по переводу денежных средств, банковским платежным агентам (субагентам), операторам услуг информационного обмена, операторам услуг платежной инфраструктуры следует реализовать требования к обеспечению защиты информации при осуществлении переводов денежных средств и/или деятельности в сфере финансового рынка, применяемых в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, и реализовать уровень защиты информации согласно требованиям ГОСТ Р 57580.1–2017 путем внедрения технических средств защиты и разработки организационно-распорядительной документации.

Однако в связи с санкциями и прекращением деятельности в России зарубежных компаний-поставщиков программного и аппаратно-программного обеспечения реализация мер, указанных выше, а именно выполнение требований к уровню соответствия с ГОСТ Р 57580.1–2017, становится невозможным.

Ситуацию усложняет тот факт, что список покидающих российский рынок компаний постоянно меняется. Этот процесс может затрагивать не только коммерческие, но и open-source-решения.

Согласно ГОСТ Р 57580.1–2017 в организации должно быть введено в эксплуатацию следующее программное и аппаратно-программное обеспечение, а также обеспечена регламентация его настроек, проведение контрольных мероприятий.

Процесс 1. Обеспечение защиты информации при управлении доступом

Внедрение системы, реализующей централизованное управление правами доступа и учетными записями пользователей в различных информационных системах (IDM).

Технические меры: УЗП.9, УЗП.18.
Организационные меры: УЗП.2, УЗП.3, УЗП.4, УЗП.12.

Процесс 2. Обеспечение защиты вычислительных сетей

Внедрение аппаратно-программного межсетевого экрана с функцией IDS и IPS.

Технические меры: СМЭ.1, СМЭ.3, СМЭ.6, СМЭ.7, СМЭ.14, СМЭ.16, СМЭ.17, СМЭ.18, СМЭ.19, СМЭ.20, ВСА .2, ВСА .4, ВСА .5, ВСА .8, ВСА .9, ВСА .10.
Организационные меры: КЗИ.1, КЗИ.2, КЗИ.3.

Процесс 3. Контроль целостности и защищенности информационной инфраструктуры

Внедрение программного обеспечения, служащего для осуществления диагностики и мониторинга сетевых объектов информационной инфраструктуры, позволяющего сканировать сети, компьютеры и приложения на предмет обнаружения возможных уязвимостей в системе безопасности, оценивать и устранять уязвимости (сканер уязвимости).

Технические меры: ЦЗИ.1, ЦЗИ.2, ЦЗИ.3, ЦЗИ.4, ЦЗИ.5, ЦЗИ.6, ЦЗИ.7, ЦЗИ.8, ЦЗИ.9, ЦЗИ.10, ЦЗИ.15, ЦЗИ.20, ЦЗИ.21, ЦЗИ.23, ЦЗИ.27, ЦЗИ.28, ЦЗИ.29, ЦЗИ.32, ЦЗИ.33, ЦЗИ.35, КЗИ.6.
Организационные меры: ЦЗИ.12, ЦЗИ.13, ЦЗИ.14, ЦЗИ.18, ЦЗИ.19, ЦЗИ.22, РЗИ.3, КЗИ.1, КЗИ.2, КЗИ.3.

Процесс 4. Защита от вредоносного кода

Внедрение эшелонированных средств защиты от В В К.

Технические меры: З В К .1, З В К .2, З В К .3, З В К .4, З В К .5, З В К .6, З В К .7, З В К .8, З В К .9, З В К .10, ЗВК.11, ЗВК.12, ЗВК.13, ЗВК.14, ЗВК.15, ЗВК.16, ЗВК.17, ЗВК.18, ЗВК.19.
Организационные меры: РЗИ.3, КЗИ.1, КЗИ.2, КЗИ.3, КЗИ.5.

Процесс 5. Предотвращение утечек информации

Внедрение системы предотвращения утечки информации (D L P -система).

Технические меры: П УИ .1, П УИ .2, П УИ .3, П УИ .4, П УИ .5, П УИ .6, П УИ .8, П УИ .9, П УИ .10, П УИ .11, П УИ .12, П УИ .13, П УИ .15, П УИ .17, ПУИ.18, ПУИ.19.
Организационные меры: КЗИ.1, КЗИ.2, КЗИ.3, КЗИ.5.

Процесс 6. Управление и анализ событий защиты информации

Внедрение системы для сбора и анализа событий информационной безопасности.

Технические меры: МАС .1, МАС .2, МАС .3, МАС .4, МАС .5, МАС .6, МАС .8, МАС .9, МАС .10, МАС .11, МАС .12, МАС.13, МАС.14.
Организационные меры: РИ.12, РИ.13, РИ.14, ПЗИ.5.

Процесс 7. Защита среды виртуализации

Внедрение системы виртуализации.

Технические меры: ЗСВ .3, ЗСВ .6, ЗСВ .9, ЗСВ .10, ЗСВ.32, ЗСВ.33, ЗСВ.34, ЗСВ.36, ЗСВ.37, ЗСВ.38, ЗСВ.39, ЗСВ.42, ЗСВ.43.
Организационные меры: РИ.4, РИ.6, КЗИ.2, КЗИ.3.

Процесс 8. Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Внедрение системы Mobile Device Management.

Технические меры: ЗУД.3, ЗУД.4, ЗУД.5, ЗУД.6, ЗУД.7, ЗУД.8, ЗУД.9, ЗУД.10, ЗУД.11, ЗУД.12.
Организационные меры: ЗУД.1, КЗИ.2, КЗИ.3, КЗИ.5.

Процесс 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

Организационные меры: ЖЦ.1, ЖЦ.2, ЖЦ.3, ЖЦ.4, ЖЦ.5, ЖЦ.6, ЖЦ.7, ЖЦ.8, ЖЦ.9, ЖЦ.10, ЖЦ.11, ЖЦ.12, ЖЦ.13, ЖЦ.14, ЖЦ.15, ЖЦ.16, ЖЦ.17, ЖЦ.18, ЖЦ.19, ЖЦ.20, ЖЦ.21, ЖЦ.22, ЖЦ.23, ЖЦ.24, ЖЦ.25, ЖЦ.26, ЖЦ.27, ЖЦ.28.

Выполнить невозможно

Из вышесказанного следует, что выполнить четвертый уровень соответствия ГОСТ Р 57580.2–2018 по объективным причинам не представляется возможным. Показатели оценки реализации организационных и технических мер защиты из числовых значений перешли с 1 (реализуется в полном объеме) на 0 (полностью не реализуется) и/или 0.5 (реализуется не в полном объеме). Таким образом, снижается качественная оценка уровня соответствия по каждому процессу системы защиты информации.

Официальное послабление

В начале марта от Центрального банка поступило информационное письмо по снижению требований к обеспечению защиты информации, указанных в нормативных актах Банка России. Послабление от Центрального Банка будет действовать до 01.01.2023. В данном письме было сообщено, что в случае выявления нарушений требований нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации, возникших в результате действий санкционных мер ограничительного характера, считается целесообразным применение компенсирующих мер защиты.

Однако

Однако специалисты информационной безопасности оказались не готовы к новым реалиям жизни и не смогли выполнить рекомендации, указанные в письме, по причине отсутствия согласованного бюджета подразделений информационной безопасности на приобретение нового программного и аппаратно-программного обеспечения. Сказалась также возросшая нагрузка на специалистов по информационной безопасности из-за отключения от технической поддержки внедренного продукта, участившихся DDoS-атак, проведения оценки рисков, связанных с установкой новых обновлений (так как «железо» может стать «кирпичом»). Кроме того, на российском рынке, к сожалению, пока сложно найти альтернативные решения, способные заменить большинство наименований иностранных программных продуктов и оборудования. А как известно, «бумажной безопасностью» закрыть реально работающий процесс нельзя.

Что делать?

Что можно порекомендовать ИБ-специалистам в данной ситуации:

Регуляторам помочь с выбором реализации выполнения технических мер.
Провести обучение ИБ-специалистов по компенсации реализации требований нормативных правовых актов Банка России.
Перенести сроки выполнения четвертого уровня соответствия ГОСТ Р 57580.2–2018 на год или лучше на два.

Загрузить статью в PDF