Гост Р 57580. От Тенденций К Эффективной Автоматизации.

После вступления в силу ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций.

Защита информации финансовых организаций.

Основной состав организационно-технических мероприятий» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций.

Защита информации финансовых организаций.

Методика оценки соответствия» участники рынка информационной безопасности оперативно создали пакет сопутствующих услуг по аудиту и приведению мер в соответствие.

В многочисленных публикациях экспертов по информационной безопасности можно найти подробный анализ этих стандартов, узнать о неоднозначных требованиях и их интерпретации, в том числе со стороны ЦБ РФ.

Дополнительное развитие эта деятельность получила вместе с выходом главным регулятором кредитно-финансового сектора России нормативных правовых актов, где уже сейчас является обязательным выполнение тех или иных мер ГОСТа.

Давайте посмотрим на эти документы поближе.

Пейзаж

• Положение № 683-П «Об установлении обязательных требований к кредитным организациям по обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия переводу денежных средств без согласия клиента».

• Положение № 684-П «Об установлении обязательных требований к небанковским финансовым организациям по обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях борьбы с незаконными финансовыми операциями».

• Положение № 672-П «О требованиях к защите информации в платежной системе Банка России».

в единой биометрической системе, а также требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях идентификации», которым также вводятся требования к банкам по соблюдению мер ГОСТ при работе с единой биометрической системой.

Нельзя обойти вниманием и проект нового (вместо Положения № 382-П) Положения «О требованиях по обеспечению защиты информации при осуществлении переводов денег и порядке контроля Банка России за соблюдением требований по обеспечению защита информации при осуществлении денежных переводов», где все субъекты национальной платежной системы обязаны реализовать определенные меры ГОСТ.

Очевидно, что структура последующих документов ЦБ будет подразумевать отсылку к ГОСТу в части организационно-технических мероприятий с учетом специфики организаций (характера и масштаба деятельности), а сами документы будут содержать технологические меры, учитывающие специфику бизнес-процессов, реализуемых курируемыми.

Действующие требования уже охватывают большое количество процессов и участников кредитно-финансовой сферы.

Каковы последствия невыполнения требований?

N 86-ФЗ неисполнение требований может привести к приостановлению деятельности, замене руководства организации, штраф в размере до 0,1 % от уставного капитала и др.

Однако сейчас у участников (ЦБ и поднадзорных организаций) нет четкой связи между нарушениями требований информационной безопасности и штрафными санкциями, а также нет возможности оценить соответствующие риски, правильно распределять бюджет на информационную безопасность и т. д. Прозрачный механизм явно пойдет на пользу всем.

Наблюдаемые тенденции позволяют сделать вывод, что ЦБ активно работает над этой задачей и в ближайшие годы свет увидит ряд новых документов.

В этом контексте, прежде всего, хотелось бы обратить внимание на проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», в котором анонсированы наборы показателей система управления рисками информационной безопасности и методы расчета капитала, необходимого для покрытия убытков от реализации операционного риска (с четкой идентификацией риска информационной безопасности).

На Уральском форуме в выступлениях представителей ЦБ были обозначены вышеперечисленные механизмы создания экономической заинтересованности руководства финансовых организаций в повышении уровня информационной безопасности и эксплуатационной надежности, в частности, за счет реализации риска и систему управления капиталом через профиль риска:



Структура профиля риска из выступления представителя ЦБ Как видите, ключевым показателем (и одним из самых очевидных) является показатель оценки соответствия требованиям ГОСТа.

Подведем итог: в случае невыполнения ГОСТ регулятор в прозрачной форме заставит правонарушителей начислить дополнительные резервы (и это помимо возможных штрафов и других мер в соответствии со статьей 74 № 86-ФЗ).

).

А поскольку внедрение требований ГОСТа занимает длительное время, данные санкции серьезно повлияют на экономические показатели организации.

Автоматизация и контроль

При отсутствии отлаженного текущего процесса управления соблюдением требований в ходе следующего аудита может стать ясно, что системы необходимо совершенствовать и внедрять меры (именно здесь можно накопить дополнительные резервы до устранения проблем).

Не говоря уже о том, что проблема с реализацией мер может привести к фактической реализации самих рисков информационной безопасности и прямым убыткам.

Очевидно, что с развитием регулирующей функции государственных учреждений возникает необходимость автоматизации процессов Compliance с целью постоянного контроля со стороны участников кредитно-финансовой сферы.

Внедрение соответствующих решений по автоматизации решит проблему постоянного мониторинга рисков информационной безопасности и соблюдения требований, упростит и удешевит проведение проверок, поможет правильно расставить приоритеты при реагировании на проблемы.

Стало проще, чем когда-либо, обосновать такое решение экономически, с учетом требований регулятора, и увидеть его необходимость практически:



Видение систем управления информационной безопасностью от Security Vision Два продукта компании Intelligent Security (бренд Security Vision), протестированные и зарекомендовавшие себя в ТОП-10 банках, полностью реализуют требования регулятора.

А именно: 1. Security Vision Cyber Risk System – направлена на обеспечение соблюдения требований проекта Положения Банка России «О требованиях к системе управления операционными рисками в кредитной организации и банковской группе».

2. Security Vision SGRC – направлен на автоматизацию процессов информационной безопасности Банка.

Продукт автоматизирует как классические процессы информационной безопасности, такие как аудиты, риски, инциденты, уязвимости, документы, комплаенс, так и интересные новые продукты с точки зрения комплаенс-менеджмента.

В частности, реализованы меры по переходу к вопросам Auto-Compliance, автоматизации соблюдения важнейших регламентов и стандартов:

• Автоматическое соответствие требованиям ГОСТ Р 57580, Общий регламент по защите данных (GDPR);
• Соблюдение требований Федерального закона-187 «О безопасности критической информационной инфраструктуры Российской Федерации»;
• Взаимодействие с ФинЦЕРТ/НКЦКИ;
• Автоматическое соблюдение стандартов и нормативных требований, применимых к компании (ISO, ФЗ, СТП);
• Предоставление информации внешнему аудитору – аудиторской службе.

• Бенеке, Фридрих Эдуард

  19 Oct, 24

• Зачем Использовать Каталог Маркетинга Контента Статей?

  19 Oct, 24

• Егор Куликов – Чемпион Мира По Программированию

  19 Oct, 24

• Google I/O 2017: Заметки С Места Событий От Android-Разработчика

  19 Oct, 24

• Реализация Гарантированной Асинхронной Доставки Сообщений.

  19 Oct, 24

• Подключенный Volvo На Mwc 2014

  19 Oct, 24

• Союз Программного И Аппаратного Обеспечения. Удаленный Мониторинг И Управление Redpine

  19 Oct, 24

• Стек Каталогов. Опять Простая Вещь + Дополнения

  19 Oct, 24

• Википоиск, Социальный Google

  19 Oct, 24

• Заглянем За Кулисы Разработки: Подборка Исходников Классических Игр

  19 Oct, 24