Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях

Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях

В 2019 году Банк России выпустил Положение № 684-П, устанавливающее обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков. Указанное Положение, в частности, основывается на требованиях пункта 6.9 ГОСТ Р 57580.2-2018 и в этой части вступает в силу с 1 января 2022 года.

Таким образом, к январю 2022 года некредитные финансовые организации должны привести в соответствие с этим Положением и требованиями ГОСТ свои процессы и организационно-распорядительные документы.

Проблемой для некредитных финансовых организаций может стать необходимость выполнения требований пп. «г» и «д» п. 6.9 ГОСТ:

г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;

д) четвёртый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объёме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ.

Указанные требования аналогичны требованиям, предъявляемым к банкам, однако некредитные финансовые организации в большинстве случаев значительно меньше банков, и выполнение данных требований может вызвать ряд проблем.

Так, из наиболее распространённых сложностей можно выделить недостаток квалифицированных специалистов в области информационной безопасности, недостаточное финансирование и невозможность заложить в бюджет средства на закупку требуемого оборудования и средств защиты информации, кроме того, сами средства защиты информации в большей степени рассчитаны на крупные организации, а не на небольшие компании, и не тестировались на таких площадках.

Таким образом, исполнить требования 684-п в срок могут себе позволить только крупные игроки, в той или иной степени уже их соблюдающие.

Между тем проверки со стороны регуляторов небольших организаций могут привести к масштабному применению штрафных санкций и дестабилизации рынка НКФО.

В качестве решения данной проблемы разумно применить следующий подход:

• провести аудит системы защиты информации в организации;
• определить, какие организационные меры могут быть применены наиболее безболезненно и срочно;
• привлечь внешних специалистов для разработки необходимых организационно-распорядительных документов;
• переобучить штатных специалистов по информационной безопасности.

Разумеется, быстрее и эффективнее с точки зрения приближающейся проверки ЦБ РФ исполнить требования, связанные с разработкой организационно-распорядительных документов, так как это проще и дешевле, чем закупить оборудование и СЗИ и подобрать необходимых специалистов.

Представляется целесообразным разработать или актуализировать следующие документы (перечень примерный):

• политика по информационной безопасности;
• положение о службе/отделе/сотруднике по информационной безопасности;
• положение по оценке рисков нарушения информационной безопасности;
• порядок действий сотрудников в случае возникновения инцидентов, связанных с ИБ;
• отчёты о результатах служебного расследования инцидента ИБ;
• положение о модели угроз и нарушителей информационной безопасности;
• инструкция пользователя по обеспечению информационной безопасности на рабочей станции;
• регламент настройки средств защиты от воздействия вредоносного кода;
• регламент настройки SIEM-системы (при наличии);
• регламент настройки системы обнаружения вторжений (при наличии);
• регламент настройки системы предотвращения утечек информации (при наличии);
• регламент настройки сканера уязвимостей (при наличии);
• регламент настройки технических мер системы защиты информации;
• политика обработки персональных данных;
• план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения нестандартных и чрезвычайных ситуации;
• регламент по управлению инцидентами информационной безопасности;
• порядок, регламентирующий процесс повышения знаний; обучение сотрудников в рамках требований по ИБ;
• план проведения обучения сотрудников по ИБ;
• ведомость планового, повторного инструктажа сотрудников;
• отчёты по проведению внешнего аудита по выполнению требований положений Банка России;
• внутренние отчёты проверок;
• план мероприятий по информационной безопасности;
• отчёт по проведённым контрольным мероприятиям по ИБ;
• утверждённый перечень объектов информационной инфраструктуры;
• утверждённый перечень технологических участков с кодами регистрации событий и регламентация процесса.

Отдельное внимание следует уделить вопросу профессионального образования и повышению квалификации. В настоящее время ситуация такова, что специалистов по информационной безопасности, работающих с некредитными финансовыми организациями, довольно мало, чаще всего специалисты не знают специфику НКФО.

При этом на различных форумах и конференциях, где специалисты могут обменяться опытом, секции по безопасности в НКФО практически отсутствуют, что является упущением со стороны организаторов таких мероприятий.

Разумно предположить, что повышение внимания к проблемам НКФО является необходимым и, несмотря на возникающие в связи с возросшими требованиями регуляторов проблемы, может дать толчок к развитию нового актуального направления в сфере информационной безопасности.