Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях

BIS Journal №1(44)/2022

5 марта, 2022

Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях

В 2019 году Банк России выпустил Положение № 684-П, устанавливающее обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков. Указанное Положение, в частности, основывается на требованиях пункта 6.9 ГОСТ Р 57580.2-2018 и в этой части вступает в силу с 1 января 2022 года.

Таким образом, к январю 2022 года некредитные финансовые организации должны привести в соответствие с этим Положением и требованиями ГОСТ свои процессы и организационно-распорядительные документы.

Проблемой для некредитных финансовых организаций может стать необходимость выполнения требований пп. «г» и «д» п. 6.9 ГОСТ:

г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;

д) четвёртый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объёме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ.

Указанные требования аналогичны требованиям, предъявляемым к банкам, однако некредитные финансовые организации в большинстве случаев значительно меньше банков, и выполнение данных требований может вызвать ряд проблем.

Так, из наиболее распространённых сложностей можно выделить недостаток квалифицированных специалистов в области информационной безопасности, недостаточное финансирование и невозможность заложить в бюджет средства на закупку требуемого оборудования и средств защиты информации, кроме того, сами средства защиты информации в большей степени рассчитаны на крупные организации, а не на небольшие компании, и не тестировались на таких площадках.

Таким образом, исполнить требования 684-п в срок могут себе позволить только крупные игроки, в той или иной степени уже их соблюдающие.

Между тем проверки со стороны регуляторов небольших организаций могут привести к масштабному применению штрафных санкций и дестабилизации рынка НКФО.

В качестве решения данной проблемы разумно применить следующий подход:

  • провести аудит системы защиты информации в организации;
  • определить, какие организационные меры могут быть применены наиболее безболезненно и срочно;
  • привлечь внешних специалистов для разработки необходимых организационно-распорядительных документов;
  • переобучить штатных специалистов по информационной безопасности.

Разумеется, быстрее и эффективнее с точки зрения приближающейся проверки ЦБ РФ исполнить требования, связанные с разработкой организационно-распорядительных документов, так как это проще и дешевле, чем закупить оборудование и СЗИ и подобрать необходимых специалистов.

Представляется целесообразным разработать или актуализировать следующие документы (перечень примерный):

  • политика по информационной безопасности;
  • положение о службе/отделе/сотруднике по информационной безопасности;
  • положение по оценке рисков нарушения информационной безопасности;
  • порядок действий сотрудников в случае возникновения инцидентов, связанных с ИБ;
  • отчёты о результатах служебного расследования инцидента ИБ;
  • положение о модели угроз и нарушителей информационной безопасности;
  • инструкция пользователя по обеспечению информационной безопасности на рабочей станции;
  • регламент настройки средств защиты от воздействия вредоносного кода;
  • регламент настройки SIEM-системы (при наличии);
  • регламент настройки системы обнаружения вторжений (при наличии);
  • регламент настройки системы предотвращения утечек информации (при наличии);
  • регламент настройки сканера уязвимостей (при наличии);
  • регламент настройки технических мер системы защиты информации;
  • политика обработки персональных данных;
  • план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения нестандартных и чрезвычайных ситуации;
  • регламент по управлению инцидентами информационной безопасности;
  • порядок, регламентирующий процесс повышения знаний; обучение сотрудников в рамках требований по ИБ;
  • план проведения обучения сотрудников по ИБ;
  • ведомость планового, повторного инструктажа сотрудников;
  • отчёты по проведению внешнего аудита по выполнению требований положений Банка России;
  • внутренние отчёты проверок;
  • план мероприятий по информационной безопасности;
  • отчёт по проведённым контрольным мероприятиям по ИБ;
  • утверждённый перечень объектов информационной инфраструктуры;
  • утверждённый перечень технологических участков с кодами регистрации событий и регламентация процесса.

Отдельное внимание следует уделить вопросу профессионального образования и повышению квалификации. В настоящее время ситуация такова, что специалистов по информационной безопасности, работающих с некредитными финансовыми организациями, довольно мало, чаще всего специалисты не знают специфику НКФО.

При этом на различных форумах и конференциях, где специалисты могут обменяться опытом, секции по безопасности в НКФО практически отсутствуют, что является упущением со стороны организаторов таких мероприятий.

Разумно предположить, что повышение внимания к проблемам НКФО является необходимым и, несмотря на возникающие в связи с возросшими требованиями регуляторов проблемы, может дать толчок к развитию нового актуального направления в сфере информационной безопасности.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»
05.10.2022
Турция предложит россиянам карты своей платёжной системы. Вместо «Мира»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных