С 01.01.2021 каждая некредитная финансовая организация должна ежегодно определять применимый к ней в течение календарного года уровень защиты информации, предусмотренный ГОСТ Р 57580.1-2017. При этом некредитные организации, для которых не установлена обязательная необходимость реализации усиленного или стандартного уровня защиты информации, могут принять решение об отсутствии необходимости реализовывать один из уровней защиты, определенный в ГОСТ Р 57580.1-2017.
Решение о применимом уровне защиты (или об отсутствии необходимости реализовать один из уровней защиты) должно быть задокументировано.
Защита информации финансовой организации согласно требованиям Положений Банка России
С 1 июня 2019 года вступили в силу Положения Банка России №683-П и №684-П, касающиеся обеспечения информационной безопасности при осуществлении финансовых операций.
Среди требований Положений Банка России к защите информации есть обязанность проводить оценку уровня соответствия по ГОСТ Р 57580.2-2018 и ГОСТ Р 57580.1-2017. Если ранее Банк России обязывал проводить самооценку, то теперь такой возможности нет – сейчас обязательно привлекать для оценки соответствия лицензиатов ФСТЭК России.
Наши специалисты сформировали для вас несколько простых шагов, которые помогут повысить уровень соответствия с минимальными затратами.
После выполнения шагов 0-3 можно проводить оценку уровня соответствия с привлечением лицензиатов ФСТЭК России.
Оценка уровня соответствия с привлечением лицензиата должна быть проведена к 01.01.2021. К этой дате кредитные организации должны обеспечить уровень соответствия не ниже третьего по ГОСТ Р 57580.2-2018. Некредитные организации должны обеспечить такой же уровень соответствия к 01.01.2022.
Здесь вы можете прочитать подробнее о Положениях Банка России №683-П и №684-П.
Также мы свели в одну таблицу требования Положений Банка России к защите информации, скачать можно по ссылке.
0
Определение применимого уровня защиты * (*для некредитных финансовых организаций)
1
Положение о применимости мер и Модель угроз
Следует разработать документ, отражающий применимые меры из ГОСТ Р 57580.1-2017 – Положение о применимости ГОСТ Р 57580.1-2017 (документ может называться иначе). В Положении для каждого контура безопасности должен быть определен итоговый состав мер защиты (в том числе уточненные, исключённые и дополненные).
Имеет смысл указать меры, которые именно на ваших объектах не могут быть реализованы или экономически нецелесообразны. В этом же документе нужно привести обоснование применения компенсирующих мер. Уточнение и обоснование компенсирующих мер не получится провести без действующей Модели угроз и сопоставления между актуальными угрозами и мерами защиты.
Имеет смысл указать меры, которые именно на ваших объектах не могут быть реализованы или экономически нецелесообразны. В этом же документе нужно привести обоснование применения компенсирующих мер. Уточнение и обоснование компенсирующих мер не получится провести без действующей Модели угроз и сопоставления между актуальными угрозами и мерами защиты.
2
Предварительная самооценка
Следующим шагом рекомендуется провести предварительную самооценку по ГОСТ Р 57580.1-2017 и определить, какие требования положений Банка России к защите информации не выполнены или выполнены не в полном объеме. Меры защиты, предусмотренные ГОСТ Р 57580.1-2017, могут быть выполнены организационно или технически. Следует выяснить, какие меры ваша организация способна выполнить с минимальными временными и финансовыми затратами и реализовать их еще до проверки лицензиатом ФСТЭК России.
Положения Банка России не требуют проводить такую самооценку, но, на наш взгляд, она будет полезной, чтобы повысить уровень соответствия перед проверкой лицензиатом ФСТЭК России.
3
Реализация мер
Меры защиты, которые определены на предыдущем этапе, следует реализовать.
В первую очередь рекомендуется обратить внимание на организационные меры, так как именно их реализация не требует дополнительных финансовых вложений. Следует пересмотреть пакет документов в части обеспечения информационной безопасности и актуализировать их, а также при необходимости внедрить дополнительные документы.
Оценка уровня соответствия по ГОСТ Р 57580
Кто может проводить аудит?
Аудит должен проводиться с привлечением организации, имеющей лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации (пункты "б", "д" или "е")
Как проводится аудит?
Оценка соответствия проводится в соответствии с методикой, установленной ГОСТ Р 57580.2-2018. Аудиторы проверяют полноту реализации мер из ГОСТ Р 57580.1-2017. В общей сложности ГОСТ Р 57580.1 содержит более 400 мер. По каждой мере осуществляется сбор свидетельств полноты ее реализации.
Какие доказательства выполнения мер нужно предоставить аудитору?
В качестве свидетельств оценки реализации мер могут выступать: документы проверяемой организации; устные высказывания сотрудников; параметры конфигураций и настроек технических средств. Какие именно свидетельства выбирать для оценки выполнения тех или иных мер, решает аудитор.
Что влияет на итоговую оценку уровня соответствия?
Итоговая оценка соответствия защиты информации – это число в интервале от 0 до 1, которое рассчитывается по формуле. На общую оценку влияют также нарушения, выявленные аудиторами во время проверки.
Сколько времени занимает аудит?
Длительность аудита зависит от количества контуров безопасности и объектов, входящих в область оценки соответствия. В среднем длительность аудита составляет – от одного месяца.
Что является результатом аудита?
В результате аудита формируется отчет, который содержит, в частности, таблицы с числовыми значениями по каждой мере, рассчитанную итоговую оценку уровня соответствия, рекомендации по совершенствованию системы защиты.
К отчету прикрепляются заполненные листы сбора свидетельств с подписями ответственных лиц, а также свидетельства оценки, собранные в процессе аудита.
К отчету прикрепляются заполненные листы сбора свидетельств с подписями ответственных лиц, а также свидетельства оценки, собранные в процессе аудита.
Как часто нужно проводить аудит?
Кредитные финансовые организации – не реже одного раза в два года.
Некредитные финансовые организации, реализующие усиленный уровень защиты информации, – не реже одного раза в год.
Некредитные финансовые организации, реализующие стандартный уровень защиты, – не реже одного раза в три года.
Некредитные финансовые организации, реализующие усиленный уровень защиты информации, – не реже одного раза в год.
Некредитные финансовые организации, реализующие стандартный уровень защиты, – не реже одного раза в три года.
Наши предложения
Мы предлагаем следующие услуги в области информационной безопасности для организаций финансовой сферы: