После введения в действие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» участники рынка ИБ оперативно сформировали пакет сопутствующих услуг по аудиту и приведению в соответствие мер. В многочисленных публикациях экспертов по ИБ можно ознакомиться с подробным анализом данных стандартов, узнать о неоднозначных требованиях и их трактовке, в том числе ЦБ РФ. Данная активность получила дополнительное развитие вместе с выпуском главным регулятором российской кредитно-финансовой сферы нормативных правовых актов, где выполнение определенных мер ГОСТа является уже требованием. Рассмотрим эти документы подробнее…
Итак, ЦБ РФ выпустил ряд документов, требующих выполнения определенных мер стандарта ГОСТ Р 57580. Перечислим их:
Также хотелось бы упомянуть Приказ Минкомсвязи России «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», который тоже вводит требования к банкам относительно реализации мер ГОСТа при работе с единой биометрической системой.
Нельзя обойти стороной и проект нового (взамен Положения №382-П) Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», где всем субъектам национальной платежной системы предписано выполнение определенных мер ГОСТа.
Очевидно, что структура последующих документов ЦБ будет подразумевать отсылку к ГОСТу в части организационных и технических мер с учетом специфики организаций (характера и масштаба деятельности), при этом в самих документах будут приведены технологические меры, учитывающие особенности бизнес-процессов, реализуемых поднадзорными. Действующие требования уже охватывают большое число процессов и участников кредитно-финансовой сферы.
В соответствии с Федеральным законом «О Центральном банке Российской Федерации (Банке России)» от 10.07.2002 N 86-ФЗ несоблюдение требований может привести к приостановке деятельности, замене руководства организации, штрафу до 0,1 % от уставного капитала и т.д. Однако сейчас у участников (ЦБ и поднадзорных организаций) нет четкой связи между нарушениями требований ИБ и взысканиями, и нет возможности оценить соответствующие риски, распределить грамотно бюджет на ИБ и т.д. Прозрачный механизм принесет всем явную пользу.
Наблюдаемые тенденции позволяют сделать вывод, что ЦБ активно работает над этой задачей и в ближайшие годы свет увидит ряд новых документов. В данном контексте, в первую очередь, хотелось бы обратить внимание на проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ).
На Уральском форуме в презентациях представителей ЦБ вышеуказанные механизмы формирования экономической заинтересованности менеджмента финансовых организаций в повышении уровня информационной безопасности и операционной надежности обозначались, в частности, с помощью реализации системы управления риском и капиталом через профиль риска:
Структура профиля риска из презентации представителя ЦБ
Как видно, в качестве ключевого (и одного из самых очевидных) обозначен показатель оценки соответствия требованиям ГОСТ.
Резюмируя: в случае невыполнения ГОСТ, регулятор по прозрачной схеме заставит провинившихся доначислить резервы (и это помимо возможных штрафов и иных мер в соответствии со статьей 74 № 86-ФЗ). А так как реализация требований ГОСТ занимает продолжительное время, данные санкции серьезно отразятся на экономических показателях организации.
При выполнении требований регулятора организация может столкнуться с классической проблемой периодичности контроля, когда между аудитами (особенно актуально для организаций, где постоянно происходят изменения) возможно серьезное изменение в инфраструктуре и процессах.
При отсутствии отлаженного постоянного процесса управления соответствием, при очередном аудите может выясниться, что нужна доработка систем и внедрение мер (вот тут как раз может произойти доначисление резервов до момента исправления проблем). Не говоря о том, что проблема с реализацией мер может привести к фактической реализации самих рисков информационной безопасности и прямым потерям.
Очевидно, что с развитием регуляторной функции государственных институтов возникает потребность в автоматизации Compliance процессов в целях постоянного контроля участниками кредитно-финансовой сферы. Внедрение соответствующих решений по автоматизации решит проблему постоянного контроля рисков ИБ и соответствия требованиям, упростит и удешевит прохождение аудитов, поможет правильно расставлять приоритеты при реагировании на проблемы. Такое решение стало как никогда просто обосновать экономически, в виду требований регулятора, и увидеть его потребность практически:
Видение систем управления ИБ от Security Vision
Два продукта компании «Интеллектуальная безопасность» (бренд Security Vision), апробированные и зарекомендовавшие себя в банках из ТОП-10, в полной мере реализуют требования регулятора. А именно:
1. Security Vision Cyber Risk System – направлен на обеспечение соответствия требованиям проекта Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».
2. Security Vision SGRC – направлен на автоматизацию процессов информационной безопасности Банка. В продукте автоматизированы как классические процессы информационной безопасности, такие как аудиты, риски, инциденты, уязвимости, документы, compliance – так и интересные новинки в части управления соответствием. В частности, реализованы меры по переходу к вопросам Auto-Compliance, автоматизации соответствия важнейшим нормативам и стандартам:
Ландшафт
Итак, ЦБ РФ выпустил ряд документов, требующих выполнения определенных мер стандарта ГОСТ Р 57580. Перечислим их:
- Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
- Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
- Положение №672-П «О требованиях к защите информации в платежной системе Банка России».
Также хотелось бы упомянуть Приказ Минкомсвязи России «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», который тоже вводит требования к банкам относительно реализации мер ГОСТа при работе с единой биометрической системой.
Нельзя обойти стороной и проект нового (взамен Положения №382-П) Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», где всем субъектам национальной платежной системы предписано выполнение определенных мер ГОСТа.
Очевидно, что структура последующих документов ЦБ будет подразумевать отсылку к ГОСТу в части организационных и технических мер с учетом специфики организаций (характера и масштаба деятельности), при этом в самих документах будут приведены технологические меры, учитывающие особенности бизнес-процессов, реализуемых поднадзорными. Действующие требования уже охватывают большое число процессов и участников кредитно-финансовой сферы.
Чем грозит невыполнение требований
В соответствии с Федеральным законом «О Центральном банке Российской Федерации (Банке России)» от 10.07.2002 N 86-ФЗ несоблюдение требований может привести к приостановке деятельности, замене руководства организации, штрафу до 0,1 % от уставного капитала и т.д. Однако сейчас у участников (ЦБ и поднадзорных организаций) нет четкой связи между нарушениями требований ИБ и взысканиями, и нет возможности оценить соответствующие риски, распределить грамотно бюджет на ИБ и т.д. Прозрачный механизм принесет всем явную пользу.
Наблюдаемые тенденции позволяют сделать вывод, что ЦБ активно работает над этой задачей и в ближайшие годы свет увидит ряд новых документов. В данном контексте, в первую очередь, хотелось бы обратить внимание на проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ).
На Уральском форуме в презентациях представителей ЦБ вышеуказанные механизмы формирования экономической заинтересованности менеджмента финансовых организаций в повышении уровня информационной безопасности и операционной надежности обозначались, в частности, с помощью реализации системы управления риском и капиталом через профиль риска:
Структура профиля риска из презентации представителя ЦБ
Как видно, в качестве ключевого (и одного из самых очевидных) обозначен показатель оценки соответствия требованиям ГОСТ.
Резюмируя: в случае невыполнения ГОСТ, регулятор по прозрачной схеме заставит провинившихся доначислить резервы (и это помимо возможных штрафов и иных мер в соответствии со статьей 74 № 86-ФЗ). А так как реализация требований ГОСТ занимает продолжительное время, данные санкции серьезно отразятся на экономических показателях организации.
Автоматизация и контроль
При выполнении требований регулятора организация может столкнуться с классической проблемой периодичности контроля, когда между аудитами (особенно актуально для организаций, где постоянно происходят изменения) возможно серьезное изменение в инфраструктуре и процессах.
При отсутствии отлаженного постоянного процесса управления соответствием, при очередном аудите может выясниться, что нужна доработка систем и внедрение мер (вот тут как раз может произойти доначисление резервов до момента исправления проблем). Не говоря о том, что проблема с реализацией мер может привести к фактической реализации самих рисков информационной безопасности и прямым потерям.
Очевидно, что с развитием регуляторной функции государственных институтов возникает потребность в автоматизации Compliance процессов в целях постоянного контроля участниками кредитно-финансовой сферы. Внедрение соответствующих решений по автоматизации решит проблему постоянного контроля рисков ИБ и соответствия требованиям, упростит и удешевит прохождение аудитов, поможет правильно расставлять приоритеты при реагировании на проблемы. Такое решение стало как никогда просто обосновать экономически, в виду требований регулятора, и увидеть его потребность практически:
Видение систем управления ИБ от Security Vision
Два продукта компании «Интеллектуальная безопасность» (бренд Security Vision), апробированные и зарекомендовавшие себя в банках из ТОП-10, в полной мере реализуют требования регулятора. А именно:
1. Security Vision Cyber Risk System – направлен на обеспечение соответствия требованиям проекта Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».
2. Security Vision SGRC – направлен на автоматизацию процессов информационной безопасности Банка. В продукте автоматизированы как классические процессы информационной безопасности, такие как аудиты, риски, инциденты, уязвимости, документы, compliance – так и интересные новинки в части управления соответствием. В частности, реализованы меры по переходу к вопросам Auto-Compliance, автоматизации соответствия важнейшим нормативам и стандартам:
- Автосоответствие требованиям ГОСТ Р 57580, General Data Protection Regulation (GDPR);
- Исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»;
- Взаимодействие с FinCERT/НКЦКИ;
- Автосоответствие требованиям стандартов и регуляторных требований, применимых к компании (ISO, ФЗ, СТП);
- Предоставление информации внешнему аудитору – кабинет аудитора.
