Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях

BIS Journal №1(44)/2022

5 марта, 2022

Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях

В 2019 году Банк России выпустил Положение № 684-П, устанавливающее обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков. Указанное Положение, в частности, основывается на требованиях пункта 6.9 ГОСТ Р 57580.2-2018 и в этой части вступает в силу с 1 января 2022 года.

Таким образом, к январю 2022 года некредитные финансовые организации должны привести в соответствие с этим Положением и требованиями ГОСТ свои процессы и организационно-распорядительные документы.

Проблемой для некредитных финансовых организаций может стать необходимость выполнения требований пп. «г» и «д» п. 6.9 ГОСТ:

г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;

д) четвёртый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объёме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ.

Указанные требования аналогичны требованиям, предъявляемым к банкам, однако некредитные финансовые организации в большинстве случаев значительно меньше банков, и выполнение данных требований может вызвать ряд проблем.

Так, из наиболее распространённых сложностей можно выделить недостаток квалифицированных специалистов в области информационной безопасности, недостаточное финансирование и невозможность заложить в бюджет средства на закупку требуемого оборудования и средств защиты информации, кроме того, сами средства защиты информации в большей степени рассчитаны на крупные организации, а не на небольшие компании, и не тестировались на таких площадках.

Таким образом, исполнить требования 684-п в срок могут себе позволить только крупные игроки, в той или иной степени уже их соблюдающие.

Между тем проверки со стороны регуляторов небольших организаций могут привести к масштабному применению штрафных санкций и дестабилизации рынка НКФО.

В качестве решения данной проблемы разумно применить следующий подход:

  • провести аудит системы защиты информации в организации;
  • определить, какие организационные меры могут быть применены наиболее безболезненно и срочно;
  • привлечь внешних специалистов для разработки необходимых организационно-распорядительных документов;
  • переобучить штатных специалистов по информационной безопасности.

Разумеется, быстрее и эффективнее с точки зрения приближающейся проверки ЦБ РФ исполнить требования, связанные с разработкой организационно-распорядительных документов, так как это проще и дешевле, чем закупить оборудование и СЗИ и подобрать необходимых специалистов.

Представляется целесообразным разработать или актуализировать следующие документы (перечень примерный):

  • политика по информационной безопасности;
  • положение о службе/отделе/сотруднике по информационной безопасности;
  • положение по оценке рисков нарушения информационной безопасности;
  • порядок действий сотрудников в случае возникновения инцидентов, связанных с ИБ;
  • отчёты о результатах служебного расследования инцидента ИБ;
  • положение о модели угроз и нарушителей информационной безопасности;
  • инструкция пользователя по обеспечению информационной безопасности на рабочей станции;
  • регламент настройки средств защиты от воздействия вредоносного кода;
  • регламент настройки SIEM-системы (при наличии);
  • регламент настройки системы обнаружения вторжений (при наличии);
  • регламент настройки системы предотвращения утечек информации (при наличии);
  • регламент настройки сканера уязвимостей (при наличии);
  • регламент настройки технических мер системы защиты информации;
  • политика обработки персональных данных;
  • план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения нестандартных и чрезвычайных ситуации;
  • регламент по управлению инцидентами информационной безопасности;
  • порядок, регламентирующий процесс повышения знаний; обучение сотрудников в рамках требований по ИБ;
  • план проведения обучения сотрудников по ИБ;
  • ведомость планового, повторного инструктажа сотрудников;
  • отчёты по проведению внешнего аудита по выполнению требований положений Банка России;
  • внутренние отчёты проверок;
  • план мероприятий по информационной безопасности;
  • отчёт по проведённым контрольным мероприятиям по ИБ;
  • утверждённый перечень объектов информационной инфраструктуры;
  • утверждённый перечень технологических участков с кодами регистрации событий и регламентация процесса.

Отдельное внимание следует уделить вопросу профессионального образования и повышению квалификации. В настоящее время ситуация такова, что специалистов по информационной безопасности, работающих с некредитными финансовыми организациями, довольно мало, чаще всего специалисты не знают специфику НКФО.

При этом на различных форумах и конференциях, где специалисты могут обменяться опытом, секции по безопасности в НКФО практически отсутствуют, что является упущением со стороны организаторов таких мероприятий.

Разумно предположить, что повышение внимания к проблемам НКФО является необходимым и, несмотря на возникающие в связи с возросшими требованиями регуляторов проблемы, может дать толчок к развитию нового актуального направления в сфере информационной безопасности.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

07.12.2022
«Сегодня начинается новая эра конфиденциальности». Telegram становится «ибэшнее»?
07.12.2022
«В совет директоров ИТ-компаний нужно назначать представителей государства»
07.12.2022
Когда карты Visa и Mastercard полностью импортозаместятся
07.12.2022
«У Центрального банка появилась новая позиция в том, что фактически подводится под запрет майнинг…»
07.12.2022
Охота на пингвинов. В России и мире значительно выросло число атак на Linux-системы
06.12.2022
Операторы должны будут отчитаться обо всех подменных номерах
06.12.2022
«Её цель — причинить неудобства клиентам банка, затруднив работу банковских сервисов»
06.12.2022
Китайские госхакеры похитили коронавирусные пособия американцев
06.12.2022
Пакет №9. ЕС присматривается к новым российским банкам?
05.12.2022
Эксперты — о популярных скамерских сценариях в этом году

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных