Обзор требований к ИБ в финансовом секторе. Часть 4. Рекомендации PwC по проведению оценки соответствия

9 июня, 2020

Обзор требований к ИБ в финансовом секторе. Часть 4. Рекомендации PwC по проведению оценки соответствия

В рамках обзора требований к ИБ в финансовом секторе в разрезе проведения оценки соответствия мы переходим к заключительной части с рекомендациями от PwC. Ранее мы уже разобрали требования Положения 382-П, Положений 683-П и 672-П и ГОСТ Р 57580.1-2017.

 

Проведение оценки соответствия

«Итак, при проведении оценки соответствия необходимо сделать выбор мер защиты информации, применимых для кредитной организации. И здесь есть выбор, например, не применять какие-то меры в связи с экономической нецелесообразностью, а сделать адаптацию, разработать модель угроз и нарушителей и применить компенсирующие меры», — сообщил Олег Валеев. Например, рассмотрим меру РД.16 в ГОСТ Р 57580 — использование на АРМ субъектов логического доступа встроенных механизмов контроля изменения базовой конфигурации оборудования, то есть пароль на изменение параметров конфигурации системы, хранящихся в энергонезависимой памяти. В типовой реализации можно установить пароль на BIOS, но некоторые кредитные организации внедряют и используют компенсирующую меру — контроль целостности конфигурации оборудования средствами BitLocker. То есть BitLocker настраивается таким образом, что если какое-либо устройство или компонент автоматизированной системы был удалён или изменён, то рабочая станция просто не загрузится и придёт оповещение администратору безопасности.

«Стоит также обратить внимание на то, что компенсирующие меры не могут быть реализованы мерами из ГОСТ Р 57580.1-2017. То есть мы не можем при описании компенсирующих мер либо исключения мер говорить, что мы отказываемся от этой меры, потому что считаем её нецелесообразной и так как, например, у нас есть другие меры, которые описаны в ГОСТ Р 57580.1-2017. Такой подход неверен», — пояснил Олег Валеев.

 

Рекомендации PwC

Далее эксперт рассказал про рекомендации PwC к проведению оценки соответствия и тем подходам, которые они используют и рекомендуют своим клиентам. По его словам, эти рекомендации можно применять не только при проведении внешнего аудита, но и для самостоятельной оценки или при подготовке к внешнему аудиту либо внешней оценке соответствия.

Согласно рекомендациям, проведение оценки разбивается на три этапа. Первый этап — это предварительная оценка, второй этап — устранение выявленных недостатков, и третий — финальная оценка.

На первом этапе необходимо определить информационные системы, которые входят в область оценки — АБС, ДБО и другие системы в соотвествии с Положениями Банка России. Далее необходимо определить документы, которые могут служить свидетельствами для оценки соответствия. Собирать свидетельства стоит совместно с подразделениями, ответственными за юридическую поддержку, управление ИТ, управление ИБ и так далее. После этого можно сделать предварительное заключение по каждому из критериев оценки и рассчитать предварительную оценку, получив ту картину, которая у вас реализована на данный момент. Далее необходимо составить список выявленных несоответствий и план по их устранению. «В плане мы рекомендуем выставить приоритеты на выполнение — краткосрочная, среднесрочная и долгосрочная перспектива, зависящая, например, от экономической целесообразности, от трудозатрат, которые необходимы на реализацию этих требований. В итоге мы получаем список выявленных несоответствий, план мероприятий по устранению выявленных несоответствий и предварительный отчёт с результатами оценки соответствия. И мы можем уже работать с ними дальше и приводить оценку к более приемлемому уровню, повышать её», — рассказал Олег Валеев.

На втором этапе по устранению выявленных недостатков уже есть план и можно начать его обрабатывать с той приоритизацией, которую присвоили ранее. Например, выполнить краткосрочные и среднесрочные требования. На этот этап стоит выделить от 3 до 6 месяцев, чтобы сильно не затягивать, но в то же время дать себе время на устранение. После того, как некоторые пункты плана будут выполнены, можно добавить новые свидетельства к тем, которые собирались ранее, а также обновить план устранения несоответствий, то есть уменьшить его. В итоге получится более короткий список несоответствий и обновлённый план, который будет включать только требования из Положений или ГОСТ, которые будут выполнять в долгосрочной перспективе.

После этого можно переходить к разработке финального отчёта, то есть уже посмотреть и финализировать те работы, которые были сделаны, и тот прогресс, которого достигли за достаточно короткий промежуток времени. Тут уже нужно проверить, что все выявленные ранее несоответствия были устранены, обновить отчёт о результатах соответствия, то есть получить текущую картину с учетом обновления и устранения несоответствий. И если проводится внешний аудит или внешняя оценка соответствия и необходима разработка каких-либо отчётных форм, например, по 382-П или по ГОСТ Р 57580, то они разрабатываются на финальном этапе. И в результате у вас будут заключительный отчет с результатами оценки соответствия и форма с результатами оценки соответствия для предоставления в Банк России (при необходимости).

«Почему мы рекомендуем этот способ и почему мы используем в наших проектах? Мы считаем, что это наиболее качественный подход, потому что он позволяет достичь наибольших результатов. В рамках данной методологии мы направляли её в Банк России и получили одобрение, что такая методология может использоваться для проведения оценки соответствия», — заключил Олег Валеев.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных