Информационная безопасность
Эффективное управление системой информационной безопасности в кредитных организациях предусматривает обязательное исполнение требований Центрального банка Российской Федерации, зафиксированных в Методических рекомендациях №3-МР.
В конце 2024 года Государственная дума утвердила поправки в КоАП РФ, которые вводят так называемые «оборотные» штрафы за утечки персональных данных.
Штрафы за утечку персональных данных увеличены в среднем втрое, а также введена ответственность за неуведомление Роскомнадзора о намерении осуществить обработку ПДн или об утечке данных. Размер штрафа варьируется в зависимости от количества пострадавших субъектов и может достигать 15 миллионов рублей.
ГОСТ 57580.1 — это национальный стандарт безопасности банковских и финансовых операций. Стандарт был введен в действие 1 января 2018 года и стал обязательным для всех кредитных и некредитных финансовых организаций.
А теперь давайте разберемся, что это за стандарт, как он помогает и почему его автоматизированная оценка и отчётность – это не только полезно, но и выгодно.
ГОСТ 57580.1: Введение
ГОСТ 57580.1 – это стандарт, который определяет требования к защите персональных данных в информационных системах. Если бы у ваших данных были страховки, ГОСТ 57580 был бы самым надёжным страховым агентом. Он устанавливает правила, которые помогают избежать неприятных инцидентов и обеспечивают сохранность информации.
Отчётность: Зачем и как?
Теперь перейдем к отчетности. Представьте, что вы пришли на ежегодный осмотр к врачу. Он измеряет ваш вес, рост, проверяет сердце и другие важные показатели. Отчётность в рамках ГОСТ 57580 – это такой же осмотр, но для вашей системы информационной безопасности.
Почему это важно?
1. Прозрачность. Отчеты показывают, где вы находитесь на пути к соответствию стандарту.
2. Контроль и улучшение. На основании отчетов можно вносить улучшения.
3. Документирование. Если вдруг появится необходимость доказать, что вы соответствуете стандарту, отчеты станут вашими доказательствами.
Как это работает?
Автоматизированная оценка соответствия – это как тренажерный зал для вашей безопасности. Она проверяет, соответствуют ли ваши системы требованиям ГОСТ 57580, и подсказывает, где нужно подтянуться. Ваши системы проходят через серию тестов и проверок, чтобы убедиться, что они в отличной форме и готовы к любым вызовам.
Метрики являются важным инструментом для анализа процессов и результатов. Метрики позволяют нам дать оценку процесса, его эффективность, производительность, качество. Создавая у себя систему информационной безопасности, каждая компания хочет быть уверенна в её эффективности, знать слабые и сильные места, понимать рост уровня зрелости процессов и, что особенно важно, вовремя замечать их деградацию.
Специалист по информационной безопасности каждый день сталкивается с огромным количеством информации. Он должен следить за десятками и сотнями процессов, отслеживать их результаты и как то всем этим управлять. И тут нам на помощь приходят метрики. Казалось бы, как цифры и статистика могут помочь в операционных, рутинных процессах информационной безопасности компании. Давайте размышлять.
Мы сделали игру для проведения штабных киберучений по информационной безопасности. Чтобы не только потренировать навыки реагирования на инциденты ИБ, но и отлично провести время. Хотим с вами ей поделиться. В статье описание и материалы для игры, выводы по результатам проведенных игр и еще больше котеек.
Если вы занимаетесь информационной безопасностью, то живете в мире рисков, угроз и уязвимостей, используете эти понятия повседневно. Мы часто подменяем эти понятия, в результате чего не всегда видна грань между тем, что такое риск, а что угроза информационной безопасности.
С одной стороны мы строим модели угроз, следуя отечественной регуляторике, а с другой создаем реестры и планы обработки рисков, ориентируясь на международные стандарты по СМИБ.
Как риски связаны с угрозами, это разные вещи или одно и то же? - рассмотрим в статье.
Защита учетных записей пользователей в корпоративной сети на базе домена MS Windows типовая и простая задача. Все уже реализовано и регламентировано (например, в MS TechNet Password Best practices или в 17/21 приказах ФСТЭК):