Банк России разъясняет. ГОСТ 57580.1

Ответы Банка России на вопросы по ГОСТ 57580.1, поступившие от отрасли.
1. Можно ли рассматривать в качестве средства защиты от вредоносного кода межсетевые экраны нового поколения (NGFW), системы обнаружения вторжений или иные схожие средства защиты информации, в которых есть функционал для борьбы с вредоносным кодом, например, для блокирования возможностей взаимодействия с командными серверами, загрузки обновлений, утечки информации и т.п.? 

Ответ: Для подтверждения статуса средства защиты информации от вредоносного кода необходима сертификация уполномоченным органом государственной власти (ФСТЭК).

Примечание от меня: неожиданно. ФСТЭК только антивирусы сертифицирует и то, только те, которые поданы на сертификацию, то есть обычно коммерческие решения.

2. Какие варианты реализации меры СМЭ.14 могут быть, если все представленные сегодня на рынке средства межсетевого экранирования, работают на третьем уровне и выше, а СМЭ.14 требует контроля на уровне не выше второго, канального? Или речь идет о разграничении доступа и контроле трафика на интерфейсах периметрового маршрутизатора? 

Ответ: Примером реализации меры СМЭ.14 может служить организация выделенных VLAN на уровне L2.

3. Возможно, в содержании меры СМЭ.15 вместо фразы «не выше» должно было быть написано «не ниже»? Можно назвать примеры типов средств, которые могут реализовать данную меру? 

Ответ: Межсетевой экран можно считать средством, достаточным для реализации данной меры, при совокупности реализации других комплексных мер.

4. Можно ли в качестве средства реализации меры СМЭ.16 использовать коммутаторы и маршрутизаторы, которые могут фильтровать трафик не только на сетевом уровне?

Ответ: Можно. Все зависит от конкретных средств и задач, и данный вид реализации можно считать частным.

5. По тексту стандарта часто используется термин «межсетевое экранирование». Надо ли его трактовать буквально и для его реализации применять только специализированные межсетевые экраны или возможно применение любых технических средств, которые могут обеспечить разграничение доступа на сетевом уровне? 

Ответ: В ГОСТе не указан тип техники, который обязателен к использованию. Если коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Возможности применения средства защиты информации подтверждаются сертификацией уполномоченным органом государственной власти (ФСТЭК).

Примечание от меня: опять смена позиции регулятора. При принятии ГОСТа со стороны ЦБ (а также в сентябре) прямо звучало, что сертификация не является обязательной и ее можно заменить компенсирующими мерами (не говоря уже о том, что ГОСТ 57580.1 — это каталог защитных мер, из которых я беру то, что считаю нужным для защищаемой системы в соответствие с принятой системой управления рисками).

6. Можно ли в качестве средства реализации меры СМЭ.2 использовать коммутаторы и маршрутизаторы, которые могут фильтровать трафик на сетевом уровне? Или обязательно использовать только отдельно стоящие межсетевые экраны, что во внутренней коммутируемой сети может быть затруднительно? 

Ответ: В ГОСТе не указан тип техники, который обязателен к использованию. Если коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Возможности применения средства защиты информации подтверждаются сертификацией уполномоченным органом государственной власти (ФСТЭК).

7. Согласно п.6.4 с учетом экономической целесообразности можно отказаться от каких-либо защитных мер, заменив их компенсирующими мерами. Возможно ли использование решение open source в качестве компенсирующей меры для замены дорогостоящих средств защиты их аналогами?

Ответ: Данное требование подразумевает наличие обоснования для тех или иных решений по реализации компенсирующих мер защиты, что относится к операционной деятельности организации.

8. Оценка соответствия по ГОСТ 57580.1 для участка АБС, который является также и участком ЕБС, должна проводиться один раз в два года, как написано в 683-П, или один раз в год, как написано в 321-м приказе Минкомсвязи?

Ответ: Проведение оценки соответствия по ГОСТ 57580.1 должно осуществляться ежегодно для сегмента, на котором осуществляется обработка биометрических персональных данных в соответствии с 321 приказом Минкомсвязи. Проведение оценки соответствия не реже одного раза в два года осуществляется по требованиям Положений 683-П и 672-П применительно к соответствующим объектам информационной инфраструктуры (не пересекающихся с участком ЕБС).

Завтра будут ответы по 684-П.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. sio

    "Для подтверждения статуса средства защиты информации от вредоносного кода необходима сертификация уполномоченным органом государственной власти (ФСТЭК)"

    "статус средства…" это из области подтверждения подтверждения подтверждения…
    Как регулятор предлагает защищать, например, банкоматы, если ни одно специализированное решение не сертифицировано.

    Ответить
    1. Unknown

      Специализированное решение которое контролирует целостность ПО? Что конкретно вы понимаете под "специализированным решением"? Какие у этого решения функции по защите? Антивирус, IPS, ids, межсетевой экран, видеонаблюдение, сегментирование, VPN?

      Ответить
  2. Алексей Лукацкий

    Хороший вопрос

    Ответить
  3. Роман

    Добрый день. Если организация у себя выделяет несколько контуров безопасности с одинаковым уровнем защиты, но применяет к этим контурам разные меры защиты — оценка по каждому контуру будет разная. Как потом высчитать итоговую оценку? И если организация в рамках уровня защиты выполняет меры которые не требуются — будут ли они влиять на итоговую оценку?

    Ответить
  4. Олег

    Скажите, а откуда получены эти комментарии? Нигде кроме как на ваших сайтах я их не вижу. Плохо смотрю?

    Ответить
    1. Алексей Лукацкий автор

      А вот же — https://lukatsky.ru/legislation/683.html Тут все написано, откуда это

      Ответить