Стандарт ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер (расширенный курс)

Программа курса

• Модуль 1. Вводная часть

  1. Отечественное и зарубежное законодательство в области защиты информации и документы Банка России по вопросам обеспечения информационной безопасности.

  2. Документы, регламентирующие порядок обеспечения защиты информации в финансовых организациях

  3. Стандарты по обеспечению информационной безопасности

  4. Комплекс Стандартов Банка России СТО БР ИББС и рекомендаций по стандартизации РС БР ИББС и его взаимосвязь с ГОСТ Р 57580.1

  5. Термины и определения с учетом специфики области применения Стандарта.

  6. Подход, используемый в Стандарте

  
  
  • Назначение и структура стандарта
  
  
  • Предлагаемый порядок применения Стандарта
  
  
  • Система защиты информации и структура требований Стандарта к ней
  
  
  • Требования к организации и управлению защитой информации.
  
  
  • Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений
  
  
  • Основные положения базовой модели угроз и нарушителей безопасности информации.
  
  
  • Модели угроз и нарушителей, используемые в нормативных документа и стандартах, их особенности и возможности использования при реализации
  
  
  • Особенности оценки соответствия требованиям ГОСТ Р 57580.1 на основе разрабатываемого ГОСТ Р 57580.2, определяющего методику оценки соответствия.

•  

• Модуль 2. Требования к содержанию базового состава мер защиты информации финансовых организаций

   

  1. Общие положения.

   

  2. Обеспечение защиты информации при управлении доступом.

   

  Управление учетными записями и правами субъектов логического доступа.

  
  
  • организация и контроль использования учетных записей субъектов логического доступа
  
  
  • организация, контроль предоставления и блокирование логического доступа
  
  
  • регистрация событий защиты информации и контроль использования предоставленных прав логического доступа

   

  Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.

  
  
  • идентификация и аутентификация субъектов логического доступа;
  
  
  • организация управления и защиты идентификационных и аутентификационных данных;
  
  
  • авторизация при осуществлении логического доступа;
  
  
  • регистрацию событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа.

   

  Защита информации при осуществлении физического доступа.

  
  
  • организация и контроль физического доступа в помещения, в которых расположены объекты доступа;
  
  
  • организация и контроль физического доступа к объектам доступа, расположенным в публичных (общедоступных) местах;
  
  
  • регистрация событий, связанных с физическим доступом.

   

  Идентификация, классификация и учет ресурсов и объектов доступа

  
  
  • организация учета и контроль состава ресурсов и объектов доступа;
  
  
  • регистрация событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа.

   

  3. Обеспечение защиты вычислительных сетей.

   

  Сегментация и межсетевое экранирование вычислительных сетей.

  
  
  • сегментация и межсетевое экранирование внутренних вычислительных сетей;
  
  
  • защита внутренних вычислительных сетей при взаимодействии с сетью Интернет;
  
  
  • регистрация событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей.

   

  Выявление вторжений и сетевых атак.

  
  
  • мониторинг и контроль содержимого сетевого трафика;
  
  
  • регистрация событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика.

   

  Защита информации, передаваемой по вычислительным сетям.

   

  Защита беспроводных сетей

  
  
  • защита информации от раскрытия и модификации при использовании беспроводных сетей;
  
  
  • защита внутренних вычислительных сетей при использовании беспроводных сетей;
  
  
  • регистрация событий защиты информации, связанных с использованием беспроводных сетей.

   

  4. Контроль целостности и защищенности информационной инфраструктуры

  
  
  • контроль отсутствия известных уязвимостей защиты информации объектов информатизации;
  
  
  • организация и контроль размещения, хранения и обновления ПО информационной инфраструктуры;
  
  
  • контроль состава и целостности ПО информационной инфраструктуры;
  
  
  • регистрация событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры.

   

  5. Защита от вредоносного кода

  
  
  • организация эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры;
  
  
  • организация и контроль применения средств защиты от вредоносного кода;
  
  
  • регистрация событий защиты информации, связанных с реализацией защиты от вредоносного кода.

   

  6. Предотвращение утечек информации, защита машинных носителей информации

  
  
  • блокирование неразрешенных к использованию и контроль разрешенных к использованию потенциальных каналов утечки информации;
  
  
  • контроль (анализ) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации;
  
  
  • организация защиты машинных носителей информации;
  
  
  • регистрация событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации

   

  7. Управление инцидентами защиты информации

   

  Мониторинг и анализ событий защиты информации

  
  
  • организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации;
  
  
  • сбор, защита и хранение данных регистрации о событиях защиты информации;
  
  
  • анализ данных регистрации о событиях защиты информации;
  
  
  • регистрация событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации

   

  Обнаружение инцидентов защиты информации и реагирования на них

  
  
  • обнаружение и регистрация инцидентов защиты информации;
  
  
  • организация реагирования на инциденты защиты информации;
  
  
  • организация хранения и защита информации об инцидентах защиты информации;
  
  
  • регистрация событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них.

   

  Защита среды виртуализации

  
  
  • организация идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации;
  
  
  • организация и контроль информационного взаимодействия и изоляции виртуальных машин;
  
  
  • организация защиты образов виртуальных машин;
  
  
  • регистрация событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации.

   

  8. Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

  
  
  • защита информации от раскрытия и модификации при осуществлении удаленного доступа с использованием мобильных (переносных) устройств;
  
  
  • защита внутренних вычислительных сетей при осуществлении удаленного доступа с использованием мобильных (переносных) устройств;
  
  
  • защита информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.

•  

• Модуль 3. Требования к организации и управлению защитой информации

   

  1. Общие положения.

   

  2. Планирование процесса системы защиты информации

  
  
  • определение области применения процесса системы защиты информации;
  
  
  • определение состава применяемых (а также, неприменяемых) мер защиты информации, из числа мер, определенных в разделах 7, 8 и 9 Стандарта;
  
  
  • определение состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определенных в разделах 7, 8 и 9 Стандарта, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
  
  
  • определение порядка применения мер защиты информации в рамках процесса системы защиты информации.

   

  3. Реализация процесса системы защиты информации

  
  
  • обеспечение должного применения мер защиты информации;
  
  
  • обеспечение определения ролей защиты информации, связанных с применением мер защиты информации;
  
  
  • обеспечение назначения ответственных лиц за выполнение ролей защиты информации;
  
  
  • обеспечение доступности реализации технических мер защиты информации;
  
  
  • обеспечение применения средств защиты информации;
  
  
  • обеспечение обучения и практической подготовки работников финансовой организации, ответственных за применение мер защиты информации;
  
  
  • обеспечение повышения осведомленности работников финансовой организации в области защиты информации.

   

  4. Контроль процесса системы защиты информации

  
  
  • обеспечение контроля области применения процесса системы защиты информации;
  
  
  • обеспечение контроля должного применения мер защиты информации в рамках процесса системы защиты информации;
  
  
  • обеспечение контроля знаний работников финансовой организации в части применения мер защиты информации.

   

  5. Совершенствование процесса системы защиты информации

  
  
  • формирование и фиксация решений о необходимости выполнения корректирующих или превентивных действий,
  
  
  • пересмотр применяемых мер защиты информации.

•  

• Модуль 4. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

   

  1. Этапы жизненного цикла АС и приложений, эксплуатируемых в рамках предоставления бизнес-процессов и технологических процессов финансовой организации

   

  2. Защита информации на этапе «Создание (модернизация) АС»

   

  3. Защита информации на этапе «Ввод в эксплуатацию АС»

   

  4. Защита информации на этапе «Эксплуатация (сопровождение) АС»

   

  5. Защита информации на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации АС»

•  

• Модуль 5. Приложения к Стандарту

   

  1. «Основные положения базовой модели угроз и нарушителей безопасности информации»

  
  
  • общие положения
  
  
  • основные типы источников угроз безопасности информации
    
    
    • источники угроз на уровне аппаратного обеспечения, уровне сетевого оборудования и уровне сетевых приложений и сервисов
    
    
    • источники угроз на уровне серверных компонентов виртуализации, программных инфраструктурных сервисов, операционных систем, систем управления базами данных и серверов приложений
    
    
    • источники угроз на уровне АС и приложений, эксплуатируемых в рамках бизнес-процессов и технологических процессов финансовой организации
  
  
  • типы нарушителей и их возможности.

   

  2. «Состав и содержание организационных мер, связанных с обработкой финансовой организацией персональных данных»

   

  3. «Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа»

   

  4. Область применения Стандарта. Термины и определения с учетом специфики области применения Стандарта.

   

  5. Подход, используемый в Стандарте:

  
  
  • Назначение и структура стандарта
  
  
  • Предлагаемый порядок применения Стандарта
  
  
  • Направления  оценки  соответствия  ЗИ
  
  
  • Модель оценивания полноты  реализации  процессов  системы  ЗИ
  
  
  • Структура процесса оценки

   

  6. Проведение оценки:

  
  
  • Взаимоотношения представителей проверяющей организации с представителями проверяемой организации
  
  
  • Этапы проведения оценки
  
  
  • Основные источники свидетельств оценки

   

  7. Требования к методике оценки соответствия ЗИ

  
  
  • Числовое значение оценки, характеризующей выбор финансовой организацией организационных и технических мер ЗИ
  
  
  • Числовое значение оценки, характеризующей планирование процесса системы ЗИ
  
  
  • Числовое значение оценки, характеризующей реализацию процесса системы ЗИ
  
  
  • Числовое значение оценки, характеризующей контроль процесса системы ЗИ
  
  
  • Числовое значение оценки, характеризующей совершенствование процесса ЗИ
  
  
  • Числовое значение оценки, характеризующей применение организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации
  
  
  • Числовое значение оценки соответствия каждого процесса системы ЗИ
  
  
  • Числовое значение оценки каждого процесса системы ЗИ, если в область оценки соответствия ЗИ входят несколько контуров безопасности с различными уровнями ЗИ
  
  
  • Качественная оценка уровня соответствия процессов системы ЗИ
  
  
  • Коррекция числовой итоговой оценки соответствия ЗИ
  
  
  • Зависимость числовой итоговой оценки соответствия ЗИ от составляющих оценок

   

  8. Оформление результатов оценки соответствия ЗИ

  
  
  • Структура и содержание отчета по результатам оценки соответствия ЗИ
  
  
  • Требования к оформлению отчета по результатам оценки соответствия ЗИ
  
  
  • Форма листов для сбора свидетельств оценки соответствия ЗИ
  
  
  • Формы таблиц оценок, входящих в отчет по результатам оценки соответствия ЗИ