Больше чем compliance. Как выявлять кибератаки и выполнять требования ГОСТ Р 57580.1-2017 с помощью SIEM-системы

«ГОСТ Р 57580.1-2017 „О безопасности финансовых (банковских) операций“ обязателен для выполнения кредитными и некредитными финансовыми организациями» — эта сухая фраза из стандарта, как, впрочем, и весь документ, порождает множество вопросов. На кого конкретно распространяются его требования? В какие сроки их необходимо выполнить? Как происходит оценка соответствия вашей организации требованиям ГОСТа? Какие меры защиты реально реализовать с помощью SIEM-систем? Мы решили разобраться в этой теме и попросили Наталию Казанькову, старшего менеджера по продуктовому маркетингу Positive Technologies, ответить на наши вопросы и рассказать простыми словами, для чего данный ГОСТ нужен и как на практике компаниям соответствовать его требованиям. В статье вас ждет приятный бонус — специальное предложение на MaxPatrol SIEM All-in-One  для тех, кому необходимо реализовать требования  этого стандарта.

Расставляем все точки над “i”

ГОСТ Р 57580.1-2017 — нашумевший стандарт, в котором выделены 8 процессов и 10 подпроцессов системы защиты информации. Они соответствуют различным направлениям защиты — от физического доступа до защиты среды виртуализации и доступа с мобильных устройств. В стандарт, помимо этого, входит раздел мер по организации и управлению защитой информации, который совпадает с четырьмя общепринятыми стадиями цикла PDCA^[1] (также известного как цикл Деминга-Шухарта), используемого в управлении качеством. Он включает планирование, выполнение (или реализацию), проверку и корректировку (оно же совершенствование) процессов. Реализация мер по перечисленным направлениям оценивается для каждого процесса отдельно. Еще один раздел документа посвящен защите информации на всех этапах жизненного цикла автоматизированных систем и приложений — от создания либо модернизации до снятия с эксплуатации.

ГОСТ Р 57580.1-2017 структурирован и делится на процессы, подпроцессы, группы и меры. Чаще всего элементы подробно описаны: это помогает быстрее разобраться в области действия мер и понять, к чему они относятся. Большинство используемых в описании мер защиты терминов расшифрованы здесь же, в стандарте.  

ГОСТ насчитывает 408 уникальных мер защиты информации (есть из чего выбрать