Загрузка...

ГОСТ 57580: какие требования Центробанк предъявляет к бизнесу и облакам

Русский
  • Alt

Банки активно предлагают клиентам страхование карт. При этом жертвами все чаще оказываются не пенсионеры, а работающие мужчины в возрасте от 24 до 44 лет — отмечают в Банке России. Параллельно растет количество утечек информации и других инцидентов в финансовой сфере.

Чтобы обезопасить организации и их клиентов от действий преступников, регулятор разработал и внедрил ГОСТ Р 57580. Какие требования включает стандарт? И почему они касаются не только банков, но и провайдеров облачных услуг? Все ответы — в этой статье.

ГОСТ 57580 — кратко о стандарте

ГОСТ Р 57580 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» — это национальный стандарт, который действует на территории РФ. Документ описывает правила защиты данных при проведении платежных транзакций.

Стандарт делится на две части. В первой (57580.1) указываются организационные и технические меры безопасности данных. Вторая часть (57580.2) описывает процедуру оценки соответствия ГОСТ, а также порядок отчетности организаций перед Центробанком.

ГОСТ 57580.1–2017 — актуальная версия первой части стандарта. Описанные в ней правила должны соблюдать банки, микрокредитные компании, fintech-стартапы, торговые и другие организации, которые используют данные национальной платежной системы. На это указывают сразу несколько действующих нормативных актов. В их числе положения Центробанка 683-П, 757-П, 719-П и 747-П и приказ Минкомсвязи № 321.

Организации ежегодно проходят оценку по одному из трех уровней защиты: «минимальный», «стандартный», «усиленный». Выбор уровня зависит от того, чем занимается компания, в каких объемах проводит финансовые операции, какое значение имеет для национальной платежной системы.

Вне зависимости от уровня защиты ГОСТ требует от организаций обеспечить безопасность инфраструктуры в собственном периметре и при взаимодействии с другими лицами. В частности, компания должна использовать определенный набор средств защиты информации. В их числе:

  • межсетевой экран;
  • IDS- или IPS‑система;
  • антивирус на уязвимых системах;
  • средства контроля целостности;
  • 2FA (двухфакторная аутентификация) при удаленном и административном доступах;
  • внутренний сканер уязвимостей;
  • решения для сбора и хранения логов.

При этом в стандарте также указывается, что компания обязана внедрить и поддерживать процессы управления логическим доступом, конфигурациями, изменениями, уязвимостями, инцидентами и другими аспектами ИБ.

В частности, ГОСТ четко определяет меры защиты учетных данных в компании. Чтобы узнать о них подробнее, смотрите запись вебинара Nubes и MFASOFT.

Если технические и организационные меры в организации не соответствуют требованиям ГОСТ, то ее ожидают санкции. В некоторых случаях дело доходит до отзыва лицензии на деятельность.

Почему облака проходят оценку по ГОСТ

Данные платежных систем требуют усиленной защиты. Именно поэтому финансовые организации раньше не спешили мигрировать в облака. Многие предпочитали размещать финансовую информацию на своих ресурсах. Хотя в последние годы ситуация резко изменилась.

Объем корпоративных данных в российских компаниях увеличился в несколько раз. Параллельно вырос спрос на большую вычислительную мощность. Закупать оборудование под растущие потребности стало сложнее. Из-за геополитической ситуации многие компании столкнулись с ростом цен и задержками поставок. Также непросто стало найти специалистов на рынке, которые могут грамотно работать с новым оборудованием.

Все эти изменения привели к тому, что организации стали чаще рассматривать размещение инфраструктуры в облаке. В том числе те, кто работает с финансовой информацией и банковскими картами клиентов.

Размещая сервисы и платежные данные в виртуальной среде, компании стремятся получать гарантированную защиту от утечек, мошеннических списаний и других угроз. Иначе их ждут штрафы и другие санкции регулятора.

Именно поэтому облака все чаще проходят оценку на соответствие требованиям ГОСТ Р 57580.1–2017. Положительный результат такой проверки означает, что клиент получает:

  • Высокий уровень защиты платежной информации в облаке, подтвержденный лицензированными аудиторскими компаниями.
  • Возможность сэкономить на расходах. Можно обойтись без капитальных вложений в закупку оборудования и обустройство собственного ЦОД. При этом риск потратить больше или меньше, чем реально нужно компании, сводится к минимуму. Сервисная модель позволяет быстро скорректировать необходимый объем ресурсов.
  • Разделение задач по ИБ и помощь экспертов в обеспечении защиты платежных данных. Часть мер берет на себя провайдер, поэтому компания может уделить больше внимания работам в своей зоне ответственности.

Некоторые провайдеры по умолчанию предоставляют больше услуг и средств защиты данных, чем указывает стандарт Центробанка. В частности, клиенты Nubes получают не только ресурсы, соответствующие ГОСТ Р 57580.1–2017. Облако аттестовано по 152-ФЗ и предоставляется с уже встроенной защитой от DDoS-атак на уровнях L3 и L4, сканированием IP-адресов, сбором и анализом логов. Все эти средства и меры безопасности входят в стоимость NGcloud.