Стандарт ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер (расширенный курс)

Стандарт ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер (расширенный курс)

Код курса БТ42Р, 4 дня

Статус

Авторский курс Александра Велигуры

Аннотация

В программе курса повышения квалификации и профессиональной подготовки руководителей и специалистов подразделений технической защиты информации обобщен и систематизирован многолетний опыт специалистов Учебного центра и Научно-инженерного предприятия «Информзащита» по разработке систем обеспечения информационной безопасности, аналитических обследований организаций банковской системы Российской Федерации. Особое внимание уделяется особенностям обеспечения информационной безопасности в соответствии с подходами, изложенными в стандарте ГОСТ Р 57580.1-2017, рациональному распределению функций и организации эффективного взаимодействия по вопросам защиты информации всех подразделений и сотрудников, использующих и обеспечивающих функционирование автоматизированных систем.

Аудитория

• Руководители подразделений информационной безопасности; руководители, ответственные за состояние информационной безопасности в кредитных организациях, некредитных финансовых организациях Российской Федерации, а также субъектах национальной платежной системы (далее при совместном упоминании – финансовые организации) и организацию работ по созданию комплексных систем защиты информации.
• Специалисты, ответственные за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения информационной безопасности в финансовых организациях Российской Федерации.
• Специалисты, ответственные за работу с персоналом по вопросам обеспечения информационной безопасности

Предварительная подготовка

Общие представления об информационных системах, правовых, организационных и технических аспектах обеспечения информационной безопасности автоматизированных систем.

В результате обучения

Вы сможете:

• разрабатывать основные положения концепции построения и эффективного системы обеспечения защиты информации в финансовых организациях Российской Федерации;
• организовывать деятельность служб информационной безопасности в финансовых организациях Российской Федерации;
• планировать защиту и рационально распределять соответствующие функции между подразделениями и сотрудниками финансовой организации Российской Федерации, организовывать их взаимодействие на различных этапах жизненного цикла автоматизированных систем;
• проводить информационные обследования и анализ рисков автоматизированных банковских систем;
• разрабатывать организационно-распорядительные документы по вопросам защиты информации в финансовых организациях Российской Федерации.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита».

Пакет слушателя

Фирменное учебное пособие

Программа курса

1 день

Раздел 1. Вводная часть

1. Отечественное и зарубежное законодательство в области защиты информации и документы Банка России по вопросам обеспечения информационной безопасности.

2. Документы, регламентирующие порядок обеспечения защиты информации в финансовых организациях

3. Стандарты по обеспечению информационной безопасности

2 день

4. Комплекс Стандартов Банка России СТО БР ИББС и рекомендаций по стандартизации РС БР ИББС и его взаимосвязь с ГОСТ Р 57580.1

5. Термины и определения с учетом специфики области применения Стандарта.

6. Подход, используемый в Стандарте

• Назначение и структура стандарта
• Предлагаемый порядок применения Стандарта
• Система защиты информации и структура требований Стандарта к ней
• Требования к организации и управлению защитой информации.
• Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений
• Основные положения базовой модели угроз и нарушителей безопасности информации.
• Модели угроз и нарушителей, используемые в нормативных документа и стандартах, их особенности и возможности использования при реализации
• Особенности оценки соответствия требованиям ГОСТ Р 57580.1 на основе разрабатываемого ГОСТ Р 57580.2, определяющего методику оценки соответствия.

Раздел 2. Требования к содержанию базового состава мер защиты информации финансовых организаций

1. Общие положения.

2. Обеспечение защиты информации при управлении доступом.

Управление учетными записями и правами субъектов логического доступа.

• организация и контроль использования учетных записей субъектов логического доступа
• организация, контроль предоставления и блокирование логического доступа
• регистрация событий защиты информации и контроль использования предоставленных прав логического доступа

Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.

• идентификация и аутентификация субъектов логического доступа;
• организация управления и защиты идентификационных и аутентификационных данных;
• авторизация при осуществлении логического доступа;
• регистрацию событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа.

Защита информации при осуществлении физического доступа.

• организация и контроль физического доступа в помещения, в которых расположены объекты доступа;
• организация и контроль физического доступа к объектам доступа, расположенным в публичных (общедоступных) местах;
• регистрация событий, связанных с физическим доступом.

Идентификация, классификация и учет ресурсов и объектов доступа

• организация учета и контроль состава ресурсов и объектов доступа;
• регистрация событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа.

3. Обеспечение защиты вычислительных сетей.

Сегментация и межсетевое экранирование вычислительных сетей.

• сегментация и межсетевое экранирование внутренних вычислительных сетей;
• защита внутренних вычислительных сетей при взаимодействии с сетью Интернет;
• регистрация событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей.

Выявление вторжений и сетевых атак.

• мониторинг и контроль содержимого сетевого трафика;
• регистрация событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика.

Защита информации, передаваемой по вычислительным сетям.

Защита беспроводных сетей

• защита информации от раскрытия и модификации при использовании беспроводных сетей;
• защита внутренних вычислительных сетей при использовании беспроводных сетей;
• регистрация событий защиты информации, связанных с использованием беспроводных сетей.

4. Контроль целостности и защищенности информационной инфраструктуры

• контроль отсутствия известных уязвимостей защиты информации объектов информатизации;
• организация и контроль размещения, хранения и обновления ПО информационной инфраструктуры;
• контроль состава и целостности ПО информационной инфраструктуры;
• регистрация событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры.

5. Защита от вредоносного кода

• организация эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры;
• организация и контроль применения средств защиты от вредоносного кода;
• регистрация событий защиты информации, связанных с реализацией защиты от вредоносного кода.

6. Предотвращение утечек информации, защита машинных носителей информации

• блокирование неразрешенных к использованию и контроль разрешенных к использованию потенциальных каналов утечки информации;
• контроль (анализ) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации;
• организация защиты машинных носителей информации;
• регистрация событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации

7. Управление инцидентами защиты информации

Мониторинг и анализ событий защиты информации

• организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации;
• сбор, защита и хранение данных регистрации о событиях защиты информации;
• анализ данных регистрации о событиях защиты информации;
• регистрация событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации

Обнаружение инцидентов защиты информации и реагирования на них

• обнаружение и регистрация инцидентов защиты информации;
• организация реагирования на инциденты защиты информации;
• организация хранения и защита информации об инцидентах защиты информации;
• регистрация событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них.

Защита среды виртуализации

• организация идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации;
• организация и контроль информационного взаимодействия и изоляции виртуальных машин;
• организация защиты образов виртуальных машин;
• регистрация событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации.

8. Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

• защита информации от раскрытия и модификации при осуществлении удаленного доступа с использованием мобильных (переносных) устройств;
• защита внутренних вычислительных сетей при осуществлении удаленного доступа с использованием мобильных (переносных) устройств;
• защита информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.

3 день

Раздел 3. Требования к организации и управлению защитой информации

1. Общие положения.

2. Планирование процесса системы защиты информации

• определение области применения процесса системы защиты информации;
• определение состава применяемых (а также, неприменяемых) мер защиты информации, из числа мер, определенных в разделах 7, 8 и 9 Стандарта;
• определение состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определенных в разделах 7, 8 и 9 Стандарта, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
• определение порядка применения мер защиты информации в рамках процесса системы защиты информации.

3. Реализация процесса системы защиты информации

• обеспечение должного применения мер защиты информации;
• обеспечение определения ролей защиты информации, связанных с применением мер защиты информации;
• обеспечение назначения ответственных лиц за выполнение ролей защиты информации;
• обеспечение доступности реализации технических мер защиты информации;
• обеспечение применения средств защиты информации;
• обеспечение обучения и практической подготовки работников финансовой организации, ответственных за применение мер защиты информации;
• обеспечение повышения осведомленности работников финансовой организации в области защиты информации.

4. Контроль процесса системы защиты информации

• обеспечение контроля области применения процесса системы защиты информации;
• обеспечение контроля должного применения мер защиты информации в рамках процесса системы защиты информации;
• обеспечение контроля знаний работников финансовой организации в части применения мер защиты информации.

5. Совершенствование процесса системы защиты информации

• формирование и фиксация решений о необходимости выполнения корректирующих или превентивных действий,
• пересмотр применяемых мер защиты информации.

Раздел 4. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

1. Этапы жизненного цикла АС и приложений, эксплуатируемых в рамках предоставления бизнес-процессов и технологических процессов финансовой организации

2. Защита информации на этапе «Создание (модернизация) АС»

3. Защита информации на этапе «Ввод в эксплуатацию АС»

4. Защита информации на этапе «Эксплуатация (сопровождение) АС»

5. Защита информации на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации АС»

Раздел 5. Приложения к Стандарту

1. «Основные положения базовой модели угроз и нарушителей безопасности информации»

• общие положения
• основные типы источников угроз безопасности информации
  • источники угроз на уровне аппаратного обеспечения, уровне сетевого оборудования и уровне сетевых приложений и сервисов
  • источники угроз на уровне серверных компонентов виртуализации, программных инфраструктурных сервисов, операционных систем, систем управления базами данных и серверов приложений
  • источники угроз на уровне АС и приложений, эксплуатируемых в рамках бизнес-процессов и технологических процессов финансовой организации
• типы нарушителей и их возможности.

2. «Состав и содержание организационных мер, связанных с обработкой финансовой организацией персональных данных»

3. «Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа»

4 день

1. Область применения Стандарта. Термины и определения с учетом специфики области применения Стандарта.

2. Подход, используемый в Стандарте:

• Назначение и структура стандарта
• Предлагаемый порядок применения Стандарта
• Направления  оценки  соответствия  ЗИ
• Модель оценивания полноты  реализации  процессов  системы  ЗИ
• Структура процесса оценки

3. Проведение оценки:

• Взаимоотношения представителей проверяющей организации с представителями проверяемой организации
• Этапы проведения оценки
• Основные источники свидетельств оценки

4. Требования к методике оценки соответствия ЗИ

• Числовое значение оценки, характеризующей выбор финансовой организацией организационных и технических мер ЗИ
• Числовое значение оценки, характеризующей планирование процесса системы ЗИ
• Числовое значение оценки, характеризующей реализацию процесса системы ЗИ
• Числовое значение оценки, характеризующей контроль процесса системы ЗИ
• Числовое значение оценки, характеризующей совершенствование процесса ЗИ
• Числовое значение оценки, характеризующей применение организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации
• Числовое значение оценки соответствия каждого процесса системы ЗИ
• Числовое значение оценки каждого процесса системы ЗИ, если в область оценки соответствия ЗИ входят несколько контуров безопасности с различными уровнями ЗИ
• Качественная оценка уровня соответствия процессов системы ЗИ
• Коррекция числовой итоговой оценки соответствия ЗИ
• Зависимость числовой итоговой оценки соответствия ЗИ от составляющих оценок

5. Оформление результатов оценки соответствия ЗИ

• Структура и содержание отчета по результатам оценки соответствия ЗИ
• Требования к оформлению отчета по результатам оценки соответствия ЗИ
• Форма листов для сбора свидетельств оценки соответствия ЗИ
• Формы таблиц оценок, входящих в отчет по результатам оценки соответствия ЗИ

Последующее обучение

• Основные требования Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»