ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер
7.3 Процесс 2 "Управление изменениями"
7.3.1 Применяемые финансовой организацией меры по управлению изменениями должны обеспечивать:
а) организацию и выполнение процедур управления изменениями в критичной архитектуре, направленных:
1) на управление уязвимостями в критичной архитектуре, с использованием которых могут быть реализованы информационные угрозы и которые могут повлечь превышение значений целевых показателей операционной надежности,
2) планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания финансовых (банковских) услуг;
б) управление конфигурациями объектов информатизации;
в) управление уязвимостями и обновлениями (исправлениями) объектов информатизации.
Примечание - Управление конфигурациями, уязвимостями и обновлениями (исправлениями) предусмотрено в отношении объектов информатизации, входящих в критичную архитектуру.
При реализации процесса "Управление изменениями" рекомендуется использовать положения ГОСТ Р 56545 (см. также [23] - [25]).
7.3.2 Состав мер по организации и выполнению процедур управления изменениями в критичной архитектуре применительно к уровням защиты приведен в таблице 2.
Таблица 2
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
УИ.1 | Планирование, информирование вовлеченных подразделений о вносимых изменениях и контроль внесения изменений в критичную архитектуру | О | Т | Т |
УИ.2 | Классификация в целях приоритизации изменений (например, плановые, срочные и критичные изменения) в критичную архитектуру | О | О | О |
УИ.3 | Выявление, оценка и утверждение срочных и критичных изменений | О | О | О |
УИ.4 | Привлечение службы ИБ, а также при необходимости иных подразделений, формирующих "вторую линию защиты", в рамках процесса управления изменениями: - для выявления и идентификации риска реализации информационных угроз; - участия в разработке мероприятий, направленных на уменьшение негативного влияния от выявленного и идентифицированного риска реализации информационных угроз; - контроля за реализацией мероприятий, направленных на уменьшение негативного влияния от выявленного и идентифицированного риска реализации информационных угроз | Н | О | О |
УИ.5 | Реализация механизма согласования (в том числе со стороны службы ИБ, а также подразделения, ответственного за организацию управления операционным риском <*>) и утверждения внесения изменений в критичную архитектуру, в том числе назначение должностных лиц, ответственных за рассмотрение и утверждение предлагаемых изменений | О | О | О |
УИ.6 | Реализация формализованных процедур анализа вносимых изменений в критичную архитектуру в части: | |||
УИ.6.1 | - контроля соответствия заявленным целям внесения изменений | О | О | О |
УИ.6.2 | - контроля требований безопасности вносимых изменений | О | О | О |
УИ.6.3 | - реализации отдельных сред разработки, тестирования и постоянной эксплуатации, включая контроль переноса и целостности информации (данных) при переносе между указанными средами | Н | Т | Т |
УИ.6.4 | - контроля отсутствия известных (описанных) уязвимостей объектов информатизации | О | Т | Т |
УИ.7 | Реализация механизма последующего контроля внесенных изменений в критичную архитектуру, в том числе в части соблюдения установленных требований к процессу внесения изменений | О | О | О |
УИ.8 | Определение субъектов доступа, обладающих полномочиями для внесения изменений в критичную архитектуру в целях предоставления соответствующих прав доступа к объектам информатизации | О | О | Т |
УИ.9 | Фиксация и протоколирование внесенных изменений в критичную архитектуру | Н | О | Т |
УИ.10 | Реализация механизма возврата к исходным условиям функционирования, в том числе если внесенные изменения негативно повлияли на уровень риска реализации информационных угроз и (или) обеспечение операционной надежности | Т | Т | Т |
УИ.11 | Интеграция процесса управления изменениями с процессом идентификации критичной архитектуры, включая: | |||
УИ.11.1 | - внесение изменений в критичную архитектуру с учетом оценки риска реализации информационных угроз (включая остаточный риск) и влияния на операционную надежность финансовой организации до и после внесения изменений | О | О | О |
УИ.11.2 | - обновление инвентарных данных о критичных активах (элементах критичной архитектуры) при внесении изменений в критичную архитектуру, в том числе для фиксации фактов внедрения новых, перемещения и (или) перепрофилирования существующих, а также выявления неучтенных объектов информатизации | Н | О | Т |
УИ.11.3 | - обновление данных об используемых сервисах поставщиков облачных услуг и применяемых мерах защиты информации для таких сервисов | Н | О | Т |
УИ.12 | Проведение анализа на предмет необходимости переоценки риска реализации информационных угроз <**> перед внесением изменений в критичную архитектуру финансовой организации, включая выявление фактов <***>, свидетельствующих о возможном изменении уровня такого риска | Н | О | О |
<*> Если требования нормативных актов Банка России не устанавливают обязанность финансовой организации создания соответствующего подразделения, в целях реализации механизма согласования следует привлекать службу управления рисками. <**> В случае выявления необходимости переоценки риска реализации информационных угроз, по результатам такой переоценки финансовым организациям следует разработать мероприятия, направленные на снижение негативного влияния риска реализации информационных угроз перед внесением изменений в критичную архитектуру. <***> Например, выявление новых информационных угроз (и связанных с ними уязвимостей), неблагоприятные результаты анализа вносимых изменений, изменение или смена аппаратного, программного и (или) аппаратно-программного обеспечения, в том числе изменение конфигураций объектов информатизации. | ||||
7.3.3 Состав мер по управлению конфигурациями объектов информатизации (входящих в критичную архитектуру) применительно к уровням защиты приведен в таблице 3.
Таблица 3
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
УИ.13 | Определение области применения процесса управления изменениями в части управления конфигурациями, включающей определение: - настраиваемых объектов информатизации <*> и устанавливаемых настроек <**>; - настраиваемых функций, портов, протоколов (включая протоколы удаленного доступа), служб (сервисов) для настраиваемых объектов информатизации; - состава ПО (в том числе прикладного ПО и приложений) на автоматизированных рабочих местах работников финансовой организации; - объектов информатизации, для которых невозможно обеспечить централизованную установку, применение и контроль внутренних стандартов конфигурирования объектов информатизации (стандартов конфигурирования); - состава используемых сервисов поставщиков облачных услуг (в случае наличия возможности определить состав таких сервисов) | О | О | О |
УИ.14 | Идентификация и поддержание в актуальном состоянии инвентарных данных о составе и конфигурациях объектов информатизации <***> | О | О | Т |
УИ.15 | Определение процедур по установлению, применению и контролю стандартов конфигурирования, определяющих заданный уровень и необходимые политики (режимы) защиты информации | О | О | О |
УИ.16 | Включение в состав процедур по установлению, применению и контролю стандартов конфигурирования: | |||
УИ.16.1 | - централизованная <*4> установка, применение и контроль (в том числе с применением средств автоматизации) стандартов конфигурирования | Н | О | Т |
УИ.16.2 | - включение в состав стандартов конфигурирования условий функционирования объекта информатизации <*5> | О | О | О |
УИ.16.3 | - обеспечение соответствия стандартов конфигурирования текущей критичной архитектуре, установление и выполнение правил обновления (актуализации) стандартов конфигурирования | О | О | О |
УИ.16.4 | - хранение предыдущих версий стандартов конфигурирования и обеспечение возможности возврата к ним | Т | Т | Т |
УИ.16.5 | - раздельное управление стандартами конфигурирования (в том числе их раздельное использование) для сред разработки, тестирования и постоянной эксплуатации | Н | Т | Т |
УИ.16.6 | - разграничение доступа и контроль несанкционированного изменения стандартов конфигурирования | О | Т | Т |
УИ.16.7 | - согласование (в том числе со стороны службы ИБ) и утверждение внесения изменений в стандарты конфигурирования | О | Т | Т |
УИ.17 | Привлечение службы ИБ в рамках процесса управления изменениями в части управления конфигурациями, включая согласование стандартов конфигурирования | О | О | О |
УИ.18 | Проведение регулярного контроля соответствия текущих конфигураций объектов информатизации стандартам конфигурирования, включая контроль со стороны службы ИБ, в целях: | |||
УИ.18.1 | - контроля и выявления несанкционированного изменения текущих конфигураций объектов информатизации, а также их несоответствия стандартам конфигурирования | О | Т | Т |
УИ.18.2 | - реагирования в случаях выявления несанкционированного изменения текущих конфигураций объектов информатизации | О | О | О |
УИ.19 | Применение для обеспечения безопасности конфигурирования объектов информатизации международных и отечественных практик, в том числе для проведения анализа безопасности применяемых (или планируемых к применению) конфигураций объектов информатизации | О | О | О |
УИ.20 | Разработка планов управления конфигурациями <*6> на первоначальных этапах жизненного цикла (разработка или приобретение) объектов информатизации, входящих в критичную архитектуру | Н | О | О |
УИ.21 | Управление конфигурациями объектов информатизации на этапах жизненного цикла, связанных с установкой (внедрением), обновлением (модификацией) и удалением (уничтожением) объектов информатизации | Н | О | О |
<*> К объектам информатизации, включенным в область применения процесса управления изменениями в части управления конфигурациями, следует относить входящие в состав критичной архитектуры объекты информатизации, такие как: - автоматизированные рабочие места работников финансовой организации [включая переносные (мобильные) устройства]; - серверы (управления базами данных, почтовые, аутентификационные, веб-серверы, прокси-серверы, файловые, доменные); - устройства ввода/вывода (сканеры, копиры, принтеры, многофункциональные устройства); - сетевые устройства [межсетевые экраны, маршрутизаторы, сетевые шлюзы, сетевые коммутаторы, беспроводные точки доступа, сетевые программно-аппаратные комплексы, датчики (сенсоры, агенты), подключенные к сети]; - объекты информатизации, находящиеся под управлением поставщика облачных услуг (в случае наличия возможности определить состав таких сервисов). <**> К устанавливаемым настройкам объектов информатизации в том числе относятся параметры безопасности, такие как настройки: - системного реестра операционной системы; - разрешений и полномочий (в отношении учетных записей, отдельных файлов и директорий); - в отношении функций, портов, протоколов, служб (сервисов) и процедур удаленного доступа. <***> Реализуется совместно с процессом "Идентификация критичной архитектуры" и процессом "Контроль целостности и защищенности информационной инфраструктуры", базовый состав организационных и технических мер в рамках которого определен ГОСТ Р 57580.1. <*4> В случае невозможности централизованной установки, применения и контроля стандартов конфигурирования финансовой организации это следует отразить при определении области применения процесса управления изменениями в части управления конфигурациями. <*5> К таким условиям функционирования объекта информатизации следует, как минимум, относить: - исходный состав (пакеты) ПО, устанавливаемого на объекты информатизации, с указанием версии и примененных обновлений (исправлений); - примененные в отношении объекта информатизации настройки; - сетевое расположение объекта информатизации; - взаимосвязи объекта информатизации (топологию взаимосвязей) в рамках вычислительной сети (сегмента вычислительной сети), в которой он расположен. <*6> В частности, планы должны описывать: - процедуры управления конфигурациями объектов информатизации, в том числе в зависимости от среды (разработки, тестирования и эксплуатации); - обновление настроек конфигураций; - разработку, выпуск и обновление документации на объект информатизации. | ||||
7.3.4 Состав мер по управлению уязвимостями и обновлениями (исправлениями) объектов информатизации, входящих в критичную архитектуру, применительно к уровням защиты приведен в таблице 4.
Таблица 4
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
УИ.22 | Определение, выполнение и контроль процедур <*> по выявлению, приоритизации, классификации, устранению, а также контролю полноты и своевременности устранения выявленных уязвимостей в критичной архитектуре, присущих: | |||
УИ.22.1 | - реализации бизнес- и технологических процессов | Н | О | О |
УИ.22.2 | - объектам информатизации прикладного уровня | Н | О | О |
УИ.22.3 | - объектам информатизации инфраструктурного уровня | О | О | О |
УИ.23 | Включение в состав процедур, предусмотренных мерой УИ.22, в отношении объектов информатизации инфраструктурного уровня: | |||
УИ.23.1 | - поддержание актуальности данных о доступных обновлениях (исправлениях) для устранения уязвимостей | О | О | О |
УИ.23.2 | - выявление необходимости применения соответствующих обновлений (исправлений) для отдельных объектов информатизации и проведение анализа безопасности их применения | О | О | О |
УИ.23.3 | - обеспечение корректного применения обновлений (исправлений), включая предварительный и последующий контроль их применения (например, согласно принципу "четырех глаз") | Н | О | Т |
УИ.23.4 | - документарное определение процедур, связанных с применением обновлений (исправлений) | Н | Н | О |
УИ.24 | Применение инструментов и (или) способов выявления уязвимостей объектов информатизации, входящих в критичную архитектуру, обеспечивающих в том числе: | |||
УИ.24.1 | - выявление вредоносного кода | Т | Т | Т |
УИ.24.2 | - выявление неконтролируемого использования технологии мобильного кода <**> | Н | Т | Т |
УИ.24.3 | - выявление неавторизованного логического доступа к ресурсам доступа, в том числе автоматизированным системам | Т | Т | Т |
УИ.25 | Управление обновлениями (исправлениями) объектов информатизации в рамках процесса управления изменениями, включая: | |||
УИ.25.1 | - рассмотрение возможности применения соответствующих стандартов конфигурирования при применении обновлений (исправлений) объектов информатизации, входящих в критичную архитектуру | О | О | О |
УИ.25.2 | - реализации процедур предварительного анализа <***> и согласования применения обновлений (исправлений) | О | О | Т |
УИ.25.3 | - реализации процедур запрета применения обновлений (исправлений), которые предварительно не согласованы | О | О | Т <*4> |
УИ.25.4 | - реализации процедур быстрого восстановления выполнения бизнес- и технологических процессов (в том числе возврата к исходным условиям функционирования объектов информатизации) в случае неудачного применения обновлений (исправлений) <*5> | О | Т | Т |
УИ.25.5 | - применение отдельных сред разработки, тестирования и постоянной эксплуатации, обеспечивающих возможность быстрого тестирования | Н | Т | Т |
УИ.25.5 | (проверки) обновлений (исправлений), а также при необходимости быстрого восстановления выполнения бизнес- и технологических процессов (возврата к исходным условиям функционирования объектов информатизации) | Н | Н | О |
УИ.25.6 | - анализа и применения передового опыта (в том числе по использованию средств автоматизации) в целях устранения технических и организационных недостатков, а также обеспечения контроля соответствия установленным стандартам конфигурирования и политикам (режимам) защиты информации | Н | Н | О |
УИ.25.7 | - контроль соответствия примененных (установленных) обновлений (исправлений) объектов информатизации наиболее актуальным (новейшим) версиям обновлений (исправлений) | О | О | Т |
УИ.25.8 | - контроль своевременности применения (установки) обновлений (исправлений) объектов информатизации | О | О | О |
УИ.26 | Управление уязвимостями на этапах жизненного цикла разработки объектов информатизации прикладного уровня (прикладного ПО), включая применение инструментов анализа (инспекции) кода (code review), посредством статического и динамического тестирования | Н | О | О |
УИ.27 | Регулярный <*6> анализ уязвимостей (сканирование на уязвимости) объектов информатизации инфраструктурного уровня, в том числе сканирование на уязвимости: - объектов информатизации, непосредственно взаимодействующих с сетью Интернет; - "внутренних" объектов информатизации, в том числе вычислительных сетей, на "границах" контуров безопасности | Н | О | О |
УИ.28 | Регулярное <*7> тестирование на проникновение (симуляция компьютерных атак), в том числе тестирование на проникновение: - объектов информатизации, непосредственно взаимодействующих с сетью Интернет; - "внутренних" объектов информатизации, в том числе вычислительных сетей, на "границах" контуров безопасности | Н | О | О |
УИ.29 | Применение риск-ориентированного подхода к выбору объектов информатизации, подвергаемых тестированию на проникновение, в том числе в части периодичности проведения тестирования на проникновение | Н | О | О |
УИ.30 | Проведение сканирования на уязвимости и (или) тестирование на проникновение при существенных изменениях в критичной архитектуре и (или) внедрении новых объектов информатизации (автоматизированных систем) | Н | О | О |
УИ.31 | Проведение анализа системных журналов для выявления фактов эксплуатации в прошлом уязвимостей, аналогичных вновь выявленным | Н | Н | О |
УИ.32 | Тестирование "red team", т.е. симуляция действий нарушителя безопасности в контролируемых условиях, в том числе для симуляции попыток реализации компьютерных атак в отношении объектов информатизации, входящих в критичную архитектуру, в соответствии с заранее определенными сценариями | Н | Н | О |
УИ.33 | Использование в качестве источников информации об уязвимостях, а также регулярное обновление и контроль актуальности используемой информации для проведения сканирования на уязвимости: - баз данных общеизвестных уязвимостей (например, [26], [27]); - сведений об уязвимостях, полученных в рамках тестирования "red team"; - иных источников | О | О | О |
УИ.34 | Организация тестирования "red team" в отношении критичной архитектуры для оценки возможных уязвимостей, в том числе в процессах обеспечения операционной надежности и защиты информации, согласно следующим принципам: - применения надежных и ценных сведений об информационных угрозах (в том числе компьютерных атаках), полученных в рамках исследования (разведки) потенциальных угроз и основанных на актуальных и вероятных сценариях реализации таких угроз (в том числе компьютерных атак); - обеспечения независимости и компетентности команды, привлекаемой к тестированию "red team" | Н | Н | О |
УИ.35 | Ведение реестра выявленных и устраненных уязвимостей <*8>, в том числе фиксация совершенных действий по устранению уязвимостей | О | Т | Т |
УИ.36 | Оценка эффективности <*9> деятельности по управлению уязвимостями (как минимум с учетом времени, затрачиваемого на устранение уязвимостей с момента их выявления) | Н | О | О |
УИ.37 | Организация мониторинга статуса работ по устранению уязвимостей | Н | Т | Т |
<*> Включая определение применяемых инструментов и (или) способов выявления уязвимостей. <**> В том числе Java, JavaScript, ActiveX, VBScript и иные аналогичные технологии. <***> Предварительный анализ может включать: - анализ влияния обновлений (исправлений) на взаимосвязанные объекты информатизации и (или) их компоненты; - проверку работоспособности объектов информатизации после применения обновлений (исправлений) в среде тестирования; - определение действий в отношении обновлений (исправлений), проверка работоспособности в отношении которых прошла неуспешно. <*4> При невозможности технической реализации указанной меры путем применения технической меры [например, в отношении проприетарного ПО, обновление которого осуществляется посредством автоматизированных инструментов, предоставляемых разработчиком (поставщиком) такого ПО] рекомендуется рассматривать в качестве компенсирующих мер, направленных на предотвращение неконтролируемого применения обновлений (исправлений) объектов информатизации прикладного уровня, например применение автоматизированных инструментов последующего контроля соответствия запланированных и примененных обновлений (исправлений). <*5> Для обновлений (исправлений), применяемых в рамках среды постоянной эксплуатации, должен быть разработан план восстановления выполнения бизнес- и технологических процессов (возврата к исходным условиям функционирования объектов информатизации или использования резервных ресурсов, или применения альтернативных способов выполнения бизнес- и технологических процессов) в случае неудачного применения обновлений (исправлений). <*6> В случае выявления и (или) получения информации об уязвимостях, обладающих потенциалом негативного влияния на объекты информатизации финансовой организации, проводят внеплановое сканирование уязвимостей или ручную проверку при наличии информации о механизме эксплуатации уязвимости/"проверки концепции" (proof of concept). <*7> В случае внедрения изменений и (или) применения значительных обновлений (исправлений) объектов информатизации, непосредственно взаимодействующих с сетью Интернет, проводят их внеплановое тестирование на проникновение. <*8> Финансовым организациям следует рассмотреть возможность использования инструментов для работы в рамках Общей системы оценки уязвимостей (Common Vulnerability Scoring System). <*9> Оценку эффективности деятельности по управлению уязвимостями следует осуществлять в рамках регулярной оценки эффективности системы управления риском реализации информационных угроз, меры по проведению которой предусмотрены ГОСТ Р 57580.3, в том числе согласно требованиям нормативных актов Банка России [6]. | ||||
Подписаться на обновления