Открыть список
Как стать автором
Обновить

ГОСТ Р 57580. От тенденций к действенной автоматизации

Информационная безопасность
После введения в действие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» участники рынка ИБ оперативно сформировали пакет сопутствующих услуг по аудиту и приведению в соответствие мер. В многочисленных публикациях экспертов по ИБ можно ознакомиться с подробным анализом данных стандартов, узнать о неоднозначных требованиях и их трактовке, в том числе ЦБ РФ. Данная активность получила дополнительное развитие вместе с выпуском главным регулятором российской кредитно-финансовой сферы нормативных правовых актов, где выполнение определенных мер ГОСТа является уже требованием. Рассмотрим эти документы подробнее…

image

Ландшафт


Итак, ЦБ РФ выпустил ряд документов, требующих выполнения определенных мер стандарта ГОСТ Р 57580. Перечислим их:

  • Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
  • Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
  • Положение №672-П «О требованиях к защите информации в платежной системе Банка России».

Также хотелось бы упомянуть Приказ Минкомсвязи России «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», который тоже вводит требования к банкам относительно реализации мер ГОСТа при работе с единой биометрической системой.

Нельзя обойти стороной и проект нового (взамен Положения №382-П) Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», где всем субъектам национальной платежной системы предписано выполнение определенных мер ГОСТа.

Очевидно, что структура последующих документов ЦБ будет подразумевать отсылку к ГОСТу в части организационных и технических мер с учетом специфики организаций (характера и масштаба деятельности), при этом в самих документах будут приведены технологические меры, учитывающие особенности бизнес-процессов, реализуемых поднадзорными. Действующие требования уже охватывают большое число процессов и участников кредитно-финансовой сферы.

Чем грозит невыполнение требований


В соответствии с Федеральным законом «О Центральном банке Российской Федерации (Банке России)» от 10.07.2002 N 86-ФЗ несоблюдение требований может привести к приостановке деятельности, замене руководства организации, штрафу до 0,1 % от уставного капитала и т.д. Однако сейчас у участников (ЦБ и поднадзорных организаций) нет четкой связи между нарушениями требований ИБ и взысканиями, и нет возможности оценить соответствующие риски, распределить грамотно бюджет на ИБ и т.д. Прозрачный механизм принесет всем явную пользу.

Наблюдаемые тенденции позволяют сделать вывод, что ЦБ активно работает над этой задачей и в ближайшие годы свет увидит ряд новых документов. В данном контексте, в первую очередь, хотелось бы обратить внимание на проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ).

На Уральском форуме в презентациях представителей ЦБ вышеуказанные механизмы формирования экономической заинтересованности менеджмента финансовых организаций в повышении уровня информационной безопасности и операционной надежности обозначались, в частности, с помощью реализации системы управления риском и капиталом через профиль риска:

image
Структура профиля риска из презентации представителя ЦБ

Как видно, в качестве ключевого (и одного из самых очевидных) обозначен показатель оценки соответствия требованиям ГОСТ.

Резюмируя: в случае невыполнения ГОСТ, регулятор по прозрачной схеме заставит провинившихся доначислить резервы (и это помимо возможных штрафов и иных мер в соответствии со статьей 74 № 86-ФЗ). А так как реализация требований ГОСТ занимает продолжительное время, данные санкции серьезно отразятся на экономических показателях организации.

Автоматизация и контроль


При выполнении требований регулятора организация может столкнуться с классической проблемой периодичности контроля, когда между аудитами (особенно актуально для организаций, где постоянно происходят изменения) возможно серьезное изменение в инфраструктуре и процессах.

При отсутствии отлаженного постоянного процесса управления соответствием, при очередном аудите может выясниться, что нужна доработка систем и внедрение мер (вот тут как раз может произойти доначисление резервов до момента исправления проблем). Не говоря о том, что проблема с реализацией мер может привести к фактической реализации самих рисков информационной безопасности и прямым потерям.

Очевидно, что с развитием регуляторной функции государственных институтов возникает потребность в автоматизации Compliance процессов в целях постоянного контроля участниками кредитно-финансовой сферы. Внедрение соответствующих решений по автоматизации решит проблему постоянного контроля рисков ИБ и соответствия требованиям, упростит и удешевит прохождение аудитов, поможет правильно расставлять приоритеты при реагировании на проблемы. Такое решение стало как никогда просто обосновать экономически, в виду требований регулятора, и увидеть его потребность практически:

image
Видение систем управления ИБ от Security Vision

Два продукта компании «Интеллектуальная безопасность» (бренд Security Vision), апробированные и зарекомендовавшие себя в банках из ТОП-10, в полной мере реализуют требования регулятора. А именно:

1. Security Vision Cyber Risk System – направлен на обеспечение соответствия требованиям проекта Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».

2. Security Vision SGRC – направлен на автоматизацию процессов информационной безопасности Банка. В продукте автоматизированы как классические процессы информационной безопасности, такие как аудиты, риски, инциденты, уязвимости, документы, compliance – так и интересные новинки в части управления соответствием. В частности, реализованы меры по переходу к вопросам Auto-Compliance, автоматизации соответствия важнейшим нормативам и стандартам:

  • Автосоответствие требованиям ГОСТ Р 57580, General Data Protection Regulation (GDPR);
  • Исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Взаимодействие с FinCERT/НКЦКИ;
  • Автосоответствие требованиям стандартов и регуляторных требований, применимых к компании (ISO, ФЗ, СТП);
  • Предоставление информации внешнему аудитору – кабинет аудитора.
Теги:гостцб рфстандартыриск-менеджментриски ибавтоматизация
Хабы: Информационная безопасность
Всего голосов 21: ↑17 и ↓4 +13
Просмотры6.1K

Комментарии 4

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Похожие публикации

Лучшие публикации за сутки