Сложные вопросы. Про соответствие требованиям новых положений Банка России

BIS Journal №2(45)/2022

5 мая, 2022

Сложные вопросы. Про соответствие требованиям новых положений Банка России

С конца февраля специалисты финансового сектора фиксируют новую масштабную волну DDoS-атак на ключевые российские компании банковской отрасли: атакам подверглись в том числе Сбербанк, ВТБ, Газпромбанк. Соответствие требованиям информационной безопасности становится приоритетным вектором и самым острым вопросом.

За последние три года Банк России выпустил целый ряд положений в области информационной безопасности (683, 747, 719, 757). Наиболее трудоёмким требованием новых документов является оценка соответствия требованиям ГОСТ Р 57580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», который включает в себя требования к восьми процессам защиты информации, требования к защите информации на этапах жизненного цикла АС, а также требования по направлениям процессов защиты информации (планирование, реализация, контроль и совершенствование) – всего 667 требований.

 

Оценка соответствия требованиям ГОСТ Р 57580.1–2017: сложный и трудоёмкий процесс

Перед началом оценки соответствия организациям необходимо понять определение контуров безопасности. Малым организациям рекомендуется рассматривать единый контур безопасности, который будет включать в себя всю внутреннюю инфраструктуру организации, за исключением сегментов SWIFT и PCIDSS, так как данные сегменты оцениваются в рамках проведения отдельных аудитов. Оценку платёжного сегмента Банка России рекомендуется провести в рамках оценки единого контура безопасности с учётом того, что данный сегмент является выделенным во внутренней инфраструктуре организации.

Описание контуров рекомендуется оформить документально. Кроме того, для каждого контура необходимо составить ведомость применимости требований ГОСТ, для неоцениваемых параметров необходимо составить обоснование исключения их из оценки. Таким обоснованием может являться то, что некоторые технологии могут не использоваться в данных контурах (беспроводные сети, виртуализация серверов и рабочих станций, удалённый доступ).

По нашим оценкам, в крупных финансовых организациях может выделяться 4–5 контуров безопасности, включая контур обработки биометрических персональных данных. Простой математический подсчёт показывает, что при рассмотрении пяти контуров безопасности оценивать необходимо будет 3335 требований.

Оценка контуров безопасности требованиям ГОСТ Р 57580.1–2017 – трудоёмкий процесс, что связано с большим количеством оцениваемых параметров, а также с удалённым режимом работы сотрудников организаций. Из-за этого усложняется сбор свидетельств, подтверждающих выполнение того или иного требования.

 

Современные решения в области финансового комплаенса

Эксперты департамента финансового комплаенса ГК «ЦИБИТ» разработали сервис оценки, который позволяет загружать свидетельства выполнения требований аудиторами и сотрудниками оцениваемых организаций, сохранять все данные аудита в удобном формате, формировать список рекомендаций по повышению уровня оценки соответствия. Кроме того, сервис предоставляет возможность копирования полученных данных для проведения последующего аудита.

Данное решение позволит сосредоточиться на проверке выполнения рекомендаций, которые были даны при предыдущих оценках соответствия, а также выработке дальнейших рекомендаций по совершенствованию выполнения требований.

Пример. При первой оценке соответствия была дана рекомендация по отслеживанию неактивных (в течение 45 дней) учётных записей пользователей в ActiveDirectory. При следующей оценке соответствия аудитор проверяет, каким образом была выполнена данная рекомендация, и формирует рекомендацию, которая усовершенствует выполнение данного требования – отслеживание неактивных учётных записей пользователей в конкретных приложениях, которые попадают в оцениваемый контур безопасности.

Сервис позволяет сохранять данные оценок соответствия в течение пяти лет, а также копировать информацию по предыдущему аудиту для проведения текущей оценки. Это позволяет «обогащать» свидетельства выполнения требований новыми данными, а также удалять неактуальные свидетельства и добавлять актуальные.

Для доступа ко всем данным оценки соответствия в целях интеграции с другими приложениями у сервиса оценки разработано API.

Таким образом, новый сервис позволяет проводить оценку соответствия более комплексно, формировать рекомендации с учётом опыта предыдущих аудитов и постоянно совершенствовать выполнение требований к информационной безопасности, что в конечном итоге означает соответствовать запросам времени.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.11.2022
В США запретили продажу телеком-харда из Китая
28.11.2022
Минцифры: Россия обречена на то, чтобы сделать необходимый прорыв в ИТ
25.11.2022
Кибердружинники получат юридический статус?
25.11.2022
Стилеры атакуют пользователей Steam, Amazon и PayPal
25.11.2022
Минцифры хочет ввести систему компенсаций для жертв утечек
25.11.2022
Китайские геймеры укладываются в три часа
24.11.2022
Минцифры наметило перестановки в номенклатуре ПО
24.11.2022
Банк России привёл цифры третьего квартала: сколько скамеров заблокировано, сколько похищенных средств возвращено
24.11.2022
Жуки и альтруизм. Российские вендоры обсуждают с властями «госбагбаунти»
24.11.2022
ИТ-компании, не раскрывшие налоговую тайну, лишатся аккредитации

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных