ЦБ опубликовал 672-П, который определяет обязательства Банков на обеспечение и поддержание должного уровня информационной безопасности в выделенном сегменте локальной вычислительной сети Банка, в котором расположены элементы информационной инфраструктуры, задействованные в работе платёжной системе Банка России (далее – ПС БР).
Меры защиты информации по 672-П разделяются на документарные и технологические вне зависимости от источника требования по обеспечению безопасности сегмента ПС БР: содержание самого документа, либо ГОСТ 57580.
ГОСТ Р 57580.1-2017
Первое, что необходимо понимать ответственным за информационную безопасность сотрудникам проверяемых Банков, это обязательность документирования списка и правил использования организационных мер защиты информации (документы), перечня и регламента применения технических средств защиты информации.
Дальше ответственным лицам можно приступить к сегментации организационного блока в Банке. Начать можно с фиксации конфигурирования настроек, применяемых средств защиты информации, а также свод таких настроек в стандарты.
Далее необходимо приступить к разработке внутренней системы контрольных мероприятий: зафиксировать область контроля, ответственных лиц, а также сроки/периодичность проведения контроля. В рамках создания системы контроля, можно параллельно задуматься об организации системы обучения сотрудников информационной безопасности.
Нельзя забывать о правилах использования и регистрации АРМ, серверов, СХД, средств защиты информации, эксплуатируемого ПО.
Документация по ГОСТу 57580.1-2017
Теперь, когда документы по векторам защиты информации готовы и продуманны, нужно приступить к разработке документации в соответствии с основными «сферами интереса» ГОСТа.
- Начинать оптимальнее всего с проверки конфигурации настроек сетевого оборудования, в частности, и сканированием локальной вычислительной сети в общем.
- Далее, если сетевое оборудование/техническая мера обеспечения информационной безопасности удовлетворяют настояниям сего стандарта, также разработан стандарт настроек сетевого оборудования/средств защиты информации, а все нормы эксплуатации выполняются, то можно переходить к следующему этапу.
- К коррекции в соответствии императивам стандарта системы управления логическим доступом (тут же считай система разграничения прав логического доступа). На данном этапе необходимо скорректировать организационную структуру документации в направлении контроля физического доступа.
- После окончания работ по повышению эффективности системы контроля логического доступа, переходим к приведению в порядок программной среды в уже выделенном Банковском сегменте ПС БР (конфигурируем сканер уязвимостей).
После этого переходим к разработке документации и конфигурированию СЗИ в векторах:
- Антивирусные средства (настройка под ГОСТ, документирование данных настроек);
- DLP на данном этапе настраивается соответственно (совершенствуется документация под ГОСТ).
- SIEM, IRP – аналогично.
- Также оптимально конфигурируем гипервизор.
- В сегменте ПС БР очень редко актуален процесс защиты удалённого соединения.
После переходим к разработке документации по защите информации на этапах жизненного цикла: она заключается в описании и контроле функционирования модулей безопасности самой информационной системы ПС БР (АРМ срочных/несрочных переводов, например)
Теперь, когда документация соответствует ГОСТ, необходимо переходить к пакету документации в направлении общих требований Положению ЦБ.
Вертикаль документов по 672-П
Организационная вертикаль по общим требованиям может выглядеть следующим образом:
- Перечень, режим эксплуатации мер в информационной безопасности, практикуемый для расчета хэш - функций и подтверждения неизменности электронных сообщений (применение электронной подписи) на стадиях:
- построение;
- направление и аккумуляция;
- в том числе принципы применения средств крипто защиты/
- Корректировка плана мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности, под нужное нам постановление;
- Разработка должностных инструкций, памяток пользователям, письменных поручений о назначении ответственных за генерацию, применение, хранение, уничтожение, использование средств крипто защиты.
В данной статье описаны основные направления, которые необходимо разработать и принять документацию, для соответствия 672-П.
