После введения в действие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» участники рынка ИБ оперативно сформировали пакет сопутствующих услуг по аудиту и приведению в соответствие мер. В многочисленных публикациях экспертов по ИБ можно ознакомиться с подробным анализом данных стандартов, узнать о неоднозначных требованиях и их трактовке, в том числе ЦБ РФ. Данная активность получила дополнительное развитие вместе с выпуском главным регулятором российской кредитно-финансовой сферы нормативных правовых актов, где выполнение определенных мер ГОСТа является уже требованием. Рассмотрим эти документы подробнее…

image

Ландшафт


Итак, ЦБ РФ выпустил ряд документов, требующих выполнения определенных мер стандарта ГОСТ Р 57580. Перечислим их:

  • Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
  • Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
  • Положение №672-П «О требованиях к защите информации в платежной системе Банка России».

Также хотелось бы упомянуть Приказ Минкомсвязи России «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», который тоже вводит требования к банкам относительно реализации мер ГОСТа при работе с единой биометрической системой.

Нельзя обойти стороной и проект нового (взамен Положения №382-П) Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», где всем субъектам национальной платежной системы предписано выполнение определенных мер ГОСТа.

Очевидно, что структура последующих документов ЦБ будет подразумевать отсылку к ГОСТу в части организационных и технических мер с учетом специфики организаций (характера и масштаба деятельности), при этом в самих документах будут приведены технологические меры, учитывающие особенности бизнес-процессов, реализуемых поднадзорными. Действующие требования уже охватывают большое число процессов и участников кредитно-финансовой сферы.

Чем грозит невыполнение требований


В соответствии с Федеральным законом «О Центральном банке Российской Федерации (Банке России)» от 10.07.2002 N 86-ФЗ несоблюдение требований может привести к приостановке деятельности, замене руководства организации, штрафу до 0,1?% от уставного капитала и т.д. Однако сейчас у участников (ЦБ и поднадзорных организаций) нет четкой связи между нарушениями требований ИБ и взысканиями, и нет возможности оценить соответствующие риски, распределить грамотно бюджет на ИБ и т.д. Прозрачный механизм принесет всем явную пользу.

Наблюдаемые тенденции позволяют сделать вывод, что ЦБ активно работает над этой задачей и в ближайшие годы свет увидит ряд новых документов. В данном контексте, в первую очередь, хотелось бы обратить внимание на проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ).

На Уральском форуме в презентациях представителей ЦБ вышеуказанные механизмы формирования экономической заинтересованности менеджмента финансовых организаций в повышении уровня информационной безопасности и операционной надежности обозначались, в частности, с помощью реализации системы управления риском и капиталом через профиль риска:

image
Структура профиля риска из презентации представителя ЦБ

Как видно, в качестве ключевого (и одного из самых очевидных) обозначен показатель оценки соответствия требованиям ГОСТ.

Резюмируя: в случае невыполнения ГОСТ, регулятор по прозрачной схеме заставит провинившихся доначислить резервы (и это помимо возможных штрафов и иных мер в соответствии со статьей 74 № 86-ФЗ). А так как реализация требований ГОСТ занимает продолжительное время, данные санкции серьезно отразятся на экономических показателях организации.

Автоматизация и контроль


При выполнении требований регулятора организация может столкнуться с классической проблемой периодичности контроля, когда между аудитами (особенно актуально для организаций, где постоянно происходят изменения) возможно серьезное изменение в инфраструктуре и процессах.

При отсутствии отлаженного постоянного процесса управления соответствием, при очередном аудите может выясниться, что нужна доработка систем и внедрение мер (вот тут как раз может произойти доначисление резервов до момента исправления проблем). Не говоря о том, что проблема с реализацией мер может привести к фактической реализации самих рисков информационной безопасности и прямым потерям.

Очевидно, что с развитием регуляторной функции государственных институтов возникает потребность в автоматизации Compliance процессов в целях постоянного контроля участниками кредитно-финансовой сферы. Внедрение соответствующих решений по автоматизации решит проблему постоянного контроля рисков ИБ и соответствия требованиям, упростит и удешевит прохождение аудитов, поможет правильно расставлять приоритеты при реагировании на проблемы. Такое решение стало как никогда просто обосновать экономически, в виду требований регулятора, и увидеть его потребность практически:

image
Видение систем управления ИБ от Security Vision

Два продукта компании «Интеллектуальная безопасность» (бренд Security Vision), апробированные и зарекомендовавшие себя в банках из ТОП-10, в полной мере реализуют требования регулятора. А именно:

1. Security Vision Cyber Risk System – направлен на обеспечение соответствия требованиям проекта Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».

2. Security Vision SGRC – направлен на автоматизацию процессов информационной безопасности Банка. В продукте автоматизированы как классические процессы информационной безопасности, такие как аудиты, риски, инциденты, уязвимости, документы, compliance – так и интересные новинки в части управления соответствием. В частности, реализованы меры по переходу к вопросам Auto-Compliance, автоматизации соответствия важнейшим нормативам и стандартам:

  • Автосоответствие требованиям ГОСТ Р 57580, General Data Protection Regulation (GDPR);
  • Исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Взаимодействие с FinCERT/НКЦКИ;
  • Автосоответствие требованиям стандартов и регуляторных требований, применимых к компании (ISO, ФЗ, СТП);
  • Предоставление информации внешнему аудитору – кабинет аудитора.

Комментарии (1)


  1. Shamanay
    30.12.2019 06:44

    ГОСТ Р 57580.1-2017 введен 01.01.2018, ГОСТ 57580.2 — 01.09.2018 года. Вы только сейчас на их основе запилили проект?
    Далее, процесс оценки по этому ГОСТу охватывает все информационные системы на всех этапах жизненного цикла (о, отлично!), но не требует 100% соответствия: допускается отклонение в 14,99%.
    В случае утечки 60 млн. записей из Сбербанка был нарушен пункт Б18 «Отсутствие гарантированного стирания информации конфиденциального характера с машинного носителя». Сотрудники безопасности Сбербанка утверждают, что база была снята с жесткого диска компьютера, выведенного из работы. Вот вам 1 допустимый инцидент с офигеть какими последствиями.
    С другой стороны, при оценке всех 8 процессов и выявлении 4 действительных инцидентов итоговая оценка R принимает значение 0,85 (уровень: соответствует). А т.к. инцидентов точно больше, то в отчетном периоде единственный вариант соответствия – это сокрытие инцидентов. Таким образом, там, где показатели эффективности руководства зависят от статистики, эту статистику будут скрывать, что негативно отразится на реальной оценке ситуации.
    Кроме того, критерии оценивают количество инцидентов, а не размер убытков. Из этого следует, что защищать данные следует по какой-то иной методике, например, по иностранным стандартам, основанным на многолетнем опыте.
    В качестве бумажной безопасности ваш проект зайдет, в качестве действительно эффективного инструмента — нет.