SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

ГОСТ Р 57580. От тенденций к действенной автоматизации

ГОСТ Р 57580. От тенденций к действенной автоматизации

|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |


Руслан Рахметов, Security Vision


Ландшафт

После введения в действие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» участники рынка ИБ оперативно сформировали пакет сопутствующих услуг по аудиту и приведению в соответствие мер. В многочисленных публикациях экспертов по ИБ можно ознакомиться с подробным анализом данных стандартов, узнать о неоднозначных требованиях и их трактовке, в том числе ЦБ РФ.


Данная активность получила дополнительное развитие вместе с выпуском главным регулятором российской кредитно-финансовой сферы нормативных правовых актов, где выполнение определенных мер ГОСТа является уже требованием. 


Перечислим их:


– Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».


– Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».


– Положение №672-П «О требованиях к защите информации в платежной системе Банка России».


Также хотелось бы упомянуть Приказ Минкомсвязи России «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», который тоже вводит требования к банкам относительно реализации мер ГОСТа при работе с единой биометрической системой.


Нельзя обойти стороной и проект нового (взамен Положения №382-П) Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», где всем субъектам национальной платежной системы предписано выполнение определенных мер ГОСТа.


Очевидно, что структура последующих документов ЦБ будет подразумевать отсылку  к ГОСТу в части организационных и технических мер с учетом специфики организаций (характера и масштаба деятельности), при этом в самих документах будут приведены технологические меры, учитывающие особенности бизнес-процессов, реализуемых поднадзорными. Действующие требования уже охватывают большое число процессов и участников кредитно-финансовой сферы.


Чем грозит невыполнение требований

В соответствии с Федеральным законом «О Центральном банке Российской Федерации (Банке России)» от 10.07.2002 N 86-ФЗ несоблюдение требований может привести к приостановке деятельности, замене руководства организации, штрафу до 0,1 % от уставного капитала и т.д. Однако сейчас у участников (ЦБ и поднадзорных организаций) нет четкой связи между нарушениями требований ИБ и взысканиями, и нет возможности оценить соответствующие риски, распределить грамотно бюджет на ИБ и т.д. Прозрачный механизм принесет всем явную пользу.


Наблюдаемые тенденции позволяют сделать вывод, что ЦБ активно работает над этой задачей и в ближайшие годы свет увидит ряд новых документов. В данном контексте, в первую очередь, хотелось бы обратить внимание на проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ).


На Уральском форуме в презентациях представителей ЦБ вышеуказанные механизмы формирования экономической заинтересованности менеджмента финансовых организаций в повышении уровня информационной безопасности и операционной надежности обозначались, в частности, с помощью реализации системы управления риском и капиталом через профиль риска:


fyz4udrvoqbhbrpya-e54ufwnvs.png

Структура профиля риска из презентации представителя ЦБ.


Как видно, в качестве ключевого (и одного из самых очевидных) обозначен показатель оценки соответствия требованиям ГОСТ.


Резюмируя: в случае невыполнения ГОСТ, регулятор по прозрачной схеме заставит провинившихся доначислить резервы (и это помимо возможных штрафов и иных мер в соответствии со статьей 74 № 86-ФЗ). А так как реализация требований ГОСТ занимает продолжительное время, данные санкции серьезно отразятся на экономических показателях организации.


Автоматизация и контроль

При выполнении требований регулятора организация может столкнуться с классической проблемой периодичности контроля, когда между аудитами (особенно актуально для организаций, где постоянно происходят изменения) возможно серьезное изменение в инфраструктуре и процессах.


При отсутствии отлаженного постоянного процесса управления соответствием, при очередном аудите может выясниться, что нужна доработка систем и внедрение мер (вот тут как раз может произойти доначисление резервов до момента исправления проблем). Не говоря о том, что проблема с реализацией мер может привести к фактической реализации самих рисков информационной безопасности и прямым потерям.


Очевидно, что с развитием регуляторной функции государственных институтов возникает потребность в автоматизации Compliance процессов в целях постоянного контроля участниками кредитно-финансовой сферы. Внедрение соответствующих решений по автоматизации решит проблему постоянного контроля рисков ИБ и соответствия требованиям, упростит  и удешевит прохождение аудитов, поможет правильно расставлять приоритеты при реагировании на проблемы. Такое решение стало как никогда просто обосновать экономически, в виду требований регулятора, и увидеть его потребность практически:


tmqnlfihpfrhzdc90all5gil9mu.jpg

Видение систем управления ИБ от Security Vision. 


Два продукта компании «Интеллектуальная безопасность» (бренд Security Vision), апробированные и зарекомендовавшие себя в банках из ТОП-10, в полной мере реализуют требования регулятора. 


А именно:


1. Security Vision Cyber Risk System – направлен на обеспечение соответствия требованиям проекта Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».


2. Security Vision SGRC – направлен на автоматизацию процессов информационной безопасности Банка. В продукте автоматизированы как классические процессы информационной безопасности, такие как аудиты, риски, инциденты, уязвимости, документы, compliance – так и интересные новинки в части управления соответствием. В частности, реализованы меры по переходу к вопросам Auto-Compliance, автоматизации соответствия важнейшим нормативам и стандартам:


– Автосоответствие требованиям ГОСТ Р 57580, General Data Protection Regulation (GDPR);


– Исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»;


– Взаимодействие с FinCERT/НКЦКИ;


– Автосоответствие требованиям стандартов и регуляторных требований, применимых к компании (ISO, ФЗ, СТП);


– Предоставление информации внешнему аудитору – кабинет аудитора.


Материал также опубликован в электронной и печатной версии Национального банковского журнала (№187, декабрь-январь).


Управление ИБ Стандарты, ГОСТы и документы ИБ Подкасты ИБ ИБ в финансовых организациях Compliance ИБ

Похожие статьи

Безопасная разработка без барьеров: как построить SSDLC, который реально работает
Безопасная разработка без барьеров: как построить SSDLC, который реально работает
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Bug Bounty: как превратить любопытство в заработок
Bug Bounty: как превратить любопытство в заработок
Флуд: от безобидного шума до кибератаки
Флуд: от безобидного шума до кибератаки
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
Сканер уязвимостей
Сканер уязвимостей
Configuration-as-Code
Configuration-as-Code
Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
SCA на языке безопасника
SCA на языке безопасника

Похожие статьи

Безопасная разработка без барьеров: как построить SSDLC, который реально работает
Безопасная разработка без барьеров: как построить SSDLC, который реально работает
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Bug Bounty: как превратить любопытство в заработок
Bug Bounty: как превратить любопытство в заработок
Флуд: от безобидного шума до кибератаки
Флуд: от безобидного шума до кибератаки
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
Методы тестирования в ИБ — технологии «черный», «серый», «белый» ящик
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
Сканер уязвимостей
Сканер уязвимостей
Configuration-as-Code
Configuration-as-Code
Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
SCA на языке безопасника
SCA на языке безопасника