ГОСТ 57580 – лучшие практики ИБ для финансовых организаций?!

Дата: 25.05.2020. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
ГОСТ 57580 – лучшие практики ИБ для финансовых организаций?!

На прошлой неделе совместно с коллегами провели очередной вебинар из серии «Безопасность финансовых организаций», в этот раз с обзором ГОСТ Р 57580.1-2017.

В УЦСБ много спецов которые могут рассказавать интересную и полезную информацию по разным темам ИБ. В этой серии каждому эксперту предоставлялась возможность выступить только по одной теме – соответственно мне досталась хорошая возможность рассказать и пообщаться с вами про ГОСТ 57580.   

В одной изпредыдущих статей я писал о том, что важно выбрать фреймворк для информационной безопасности организации и далее использовать его в планировании, реализации остальных активностей.

Для финансовых организаций РФ именно ГОСТ 57580 имеет возможность стать основой для создания эффективной системы защиты информации. Для того чтобы отнести стандарт к приоритетной из лучших практик есть следующие основания:

·        Каталог из 408 мер защиты

Это в разы больше, чем количество мер в иных каталогах (ISO 27001, NISTCSF, приказы ФСТЭК 17/21/239). Больше не всегда лучше, но в условиях отсутствия отдельных методических документов отраслевых или регуляторов, “больше” дает более детальные и конкретные меры, что полезно.   

·        Единая терминология

При планировании, реализации, оценке мер защиты, важно чтобы все участники работ однозначно понимали требования и формулировке мер. В ГОСТ 57580 большой раздел выделен под термины и определения, что очень помогает в применении стандарта.  

·        Обвязка, которая поможет определить объекты защиты, определить требуемый уровень защиты, выбрать меры защиты и способыих реализации

·        Методика оценки

Поможет оценить выбор и реализацию мер защиты в организации, итоговый уровень соответствия.

Используется в поэтапном улучшении системы защиты

·        Рекомендации по реализации отдельных мер

ГОСТ дополняют (есть ссылки) отдельные РС БР ИББС:

o   PCБР ИББС-2.0-2007

o   PCБР ИББС-2.2-2009

o   PCБР ИББС-2.6-2014

o   PCБР ИББС-2.5-2014

o   PCБР ИББС-2.7-2015

o   PCБР ИББС-2.8-2015

o   PC БР ИББС-2.9-2016

·        Разрабатывался при участии ФО, учитывает национальные особенности ИБ

В технический подкомитет входит более 100 компаний, большая часть из которых ФО

Не противоречит приказам ФСТЭК и ФСБ

Не удивлюсь если увижу, что ГОСТ 57580 применяется даже не финансовыми организациями, также как раньше применялся СТО БР ИББС.

Выбор этого стандарта не решит единолично всех ваших проблем и задач. Вам все также нужно будет общаться с руководством, договариваться с ИТ, оценивать риски и угрозы, оценивать затраты на ИБ, планировать, внедрять эффективные средства защиты. Но на каждом из шагов ГОСТ возможно будет вам помогать.

Ранее я уже писал про первые шаги по применению ГОСТ 57580.  На недавнем вебинаре мы разобрали эти вопросы более подробно, добавив также информацию по средствам защиты информации и встроенным возможностям, а также регламентам и положениям, которые могут использоваться для реализации мер защиты информации.      

Видео и презентация вебинара доступны по ссылке.

PS: Также дополнил раздел FAQ вопросами и ответами с двух последних вебинаров про анализ защищенности по ОУД 4 и про ГОСТ 57580.  Интересно ваше мнение – востребован ли такой формат?


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *