На прошлой неделе совместно с коллегами провели очередной вебинар из серии «Безопасность финансовых организаций», в этот раз с обзором ГОСТ Р 57580.1-2017.
В УЦСБ много спецов которые могут рассказавать интересную и полезную информацию по разным темам ИБ. В этой серии каждому эксперту предоставлялась возможность выступить только по одной теме – соответственно мне досталась хорошая возможность рассказать и пообщаться с вами про ГОСТ 57580.
В одной изпредыдущих статей я писал о том, что важно выбрать фреймворк для информационной безопасности организации и далее использовать его в планировании, реализации остальных активностей.
Для финансовых организаций РФ именно ГОСТ 57580 имеет возможность стать основой для создания эффективной системы защиты информации. Для того чтобы отнести стандарт к приоритетной из лучших практик есть следующие основания:
- Каталог из 408 мер защиты
Это в разы больше, чем количество мер в иных каталогах (ISO 27001, NIST CSF, приказы ФСТЭК 17/21/239). Больше не всегда лучше, но в условиях отсутствия отдельных методических документов отраслевых или регуляторов, “больше” дает более детальные и конкретные меры, что полезно.
- Единая терминология
При планировании, реализации, оценке мер защиты, важно чтобы все участники работ однозначно понимали требования и формулировке мер. В ГОСТ 57580 большой раздел выделен под термины и определения, что очень помогает в применении стандарта.
· Обвязка, которая поможет определить объекты защиты, определить требуемый уровень защиты, выбрать меры защиты и способы их реализации
- Методика оценки
Поможет оценить выбор и реализацию мер защиты в организации, итоговый уровень соответствия.
Используется в поэтапном улучшении системы защиты
- Рекомендации по реализации отдельных мер
ГОСТ дополняют (есть ссылки) отдельные РС БР ИББС:
o PC БР ИББС-2.0-2007
o PC БР ИББС-2.2-2009
o PC БР ИББС-2.6-2014
o PC БР ИББС-2.5-2014
o PC БР ИББС-2.7-2015
o PC БР ИББС-2.8-2015
o PC БР ИББС-2.9-2016
- Разрабатывался при участии ФО, учитывает национальные особенности ИБ
В технический подкомитет входит более 100 компаний, большая часть из которых ФО
Не противоречит приказам ФСТЭК и ФСБ
Не удивлюсь если увижу, что ГОСТ 57580 применяется даже не финансовыми организациями, также как раньше применялся СТО БР ИББС.
Выбор этого стандарта не решит единолично всех ваших проблем и задач. Вам все также нужно будет общаться с руководством, договариваться с ИТ, оценивать риски и угрозы, оценивать затраты на ИБ, планировать, внедрять эффективные средства защиты. Но на каждом из шагов ГОСТ возможно будет вам помогать.
Ранее я уже писал про первые шаги по применению ГОСТ 57580. На недавнем вебинаре мы разобрали эти вопросы более подробно, добавив также информацию по средствам защиты информации и встроенным возможностям, а также регламентам и положениям, которые могут использоваться для реализации мер защиты информации.
Видео и презентация вебинара доступны по ссылке.
PS: Также дополнил раздел FAQ вопросами и ответами с двух последних вебинаров про анализ защищенности по ОУД 4 и про ГОСТ 57580. Интересно ваше мнение – востребован ли такой формат?