ГОСТ Р 57580. От тенденций к действенной автоматизации

    После введения в действие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» участники рынка ИБ оперативно сформировали пакет сопутствующих услуг по аудиту и приведению в соответствие мер. В многочисленных публикациях экспертов по ИБ можно ознакомиться с подробным анализом данных стандартов, узнать о неоднозначных требованиях и их трактовке, в том числе ЦБ РФ. Данная активность получила дополнительное развитие вместе с выпуском главным регулятором российской кредитно-финансовой сферы нормативных правовых актов, где выполнение определенных мер ГОСТа является уже требованием. Рассмотрим эти документы подробнее…

    image

    Ландшафт


    Итак, ЦБ РФ выпустил ряд документов, требующих выполнения определенных мер стандарта ГОСТ Р 57580. Перечислим их:

    • Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
    • Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
    • Положение №672-П «О требованиях к защите информации в платежной системе Банка России».

    Также хотелось бы упомянуть Приказ Минкомсвязи России «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», который тоже вводит требования к банкам относительно реализации мер ГОСТа при работе с единой биометрической системой.

    Нельзя обойти стороной и проект нового (взамен Положения №382-П) Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», где всем субъектам национальной платежной системы предписано выполнение определенных мер ГОСТа.

    Очевидно, что структура последующих документов ЦБ будет подразумевать отсылку к ГОСТу в части организационных и технических мер с учетом специфики организаций (характера и масштаба деятельности), при этом в самих документах будут приведены технологические меры, учитывающие особенности бизнес-процессов, реализуемых поднадзорными. Действующие требования уже охватывают большое число процессов и участников кредитно-финансовой сферы.

    Чем грозит невыполнение требований


    В соответствии с Федеральным законом «О Центральном банке Российской Федерации (Банке России)» от 10.07.2002 N 86-ФЗ несоблюдение требований может привести к приостановке деятельности, замене руководства организации, штрафу до 0,1 % от уставного капитала и т.д. Однако сейчас у участников (ЦБ и поднадзорных организаций) нет четкой связи между нарушениями требований ИБ и взысканиями, и нет возможности оценить соответствующие риски, распределить грамотно бюджет на ИБ и т.д. Прозрачный механизм принесет всем явную пользу.

    Наблюдаемые тенденции позволяют сделать вывод, что ЦБ активно работает над этой задачей и в ближайшие годы свет увидит ряд новых документов. В данном контексте, в первую очередь, хотелось бы обратить внимание на проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ).

    На Уральском форуме в презентациях представителей ЦБ вышеуказанные механизмы формирования экономической заинтересованности менеджмента финансовых организаций в повышении уровня информационной безопасности и операционной надежности обозначались, в частности, с помощью реализации системы управления риском и капиталом через профиль риска:

    image
    Структура профиля риска из презентации представителя ЦБ

    Как видно, в качестве ключевого (и одного из самых очевидных) обозначен показатель оценки соответствия требованиям ГОСТ.

    Резюмируя: в случае невыполнения ГОСТ, регулятор по прозрачной схеме заставит провинившихся доначислить резервы (и это помимо возможных штрафов и иных мер в соответствии со статьей 74 № 86-ФЗ). А так как реализация требований ГОСТ занимает продолжительное время, данные санкции серьезно отразятся на экономических показателях организации.

    Автоматизация и контроль


    При выполнении требований регулятора организация может столкнуться с классической проблемой периодичности контроля, когда между аудитами (особенно актуально для организаций, где постоянно происходят изменения) возможно серьезное изменение в инфраструктуре и процессах.

    При отсутствии отлаженного постоянного процесса управления соответствием, при очередном аудите может выясниться, что нужна доработка систем и внедрение мер (вот тут как раз может произойти доначисление резервов до момента исправления проблем). Не говоря о том, что проблема с реализацией мер может привести к фактической реализации самих рисков информационной безопасности и прямым потерям.

    Очевидно, что с развитием регуляторной функции государственных институтов возникает потребность в автоматизации Compliance процессов в целях постоянного контроля участниками кредитно-финансовой сферы. Внедрение соответствующих решений по автоматизации решит проблему постоянного контроля рисков ИБ и соответствия требованиям, упростит и удешевит прохождение аудитов, поможет правильно расставлять приоритеты при реагировании на проблемы. Такое решение стало как никогда просто обосновать экономически, в виду требований регулятора, и увидеть его потребность практически:

    image
    Видение систем управления ИБ от Security Vision

    Два продукта компании «Интеллектуальная безопасность» (бренд Security Vision), апробированные и зарекомендовавшие себя в банках из ТОП-10, в полной мере реализуют требования регулятора. А именно:

    1. Security Vision Cyber Risk System – направлен на обеспечение соответствия требованиям проекта Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».

    2. Security Vision SGRC – направлен на автоматизацию процессов информационной безопасности Банка. В продукте автоматизированы как классические процессы информационной безопасности, такие как аудиты, риски, инциденты, уязвимости, документы, compliance – так и интересные новинки в части управления соответствием. В частности, реализованы меры по переходу к вопросам Auto-Compliance, автоматизации соответствия важнейшим нормативам и стандартам:

    • Автосоответствие требованиям ГОСТ Р 57580, General Data Protection Regulation (GDPR);
    • Исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»;
    • Взаимодействие с FinCERT/НКЦКИ;
    • Автосоответствие требованиям стандартов и регуляторных требований, применимых к компании (ISO, ФЗ, СТП);
    • Предоставление информации внешнему аудитору – кабинет аудитора.
    • +13
    • 2,4k
    • 4
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 4

      +1
      ГОСТ Р 57580.1-2017 введен 01.01.2018, ГОСТ 57580.2 — 01.09.2018 года. Вы только сейчас на их основе запилили проект?
      Далее, процесс оценки по этому ГОСТу охватывает все информационные системы на всех этапах жизненного цикла (о, отлично!), но не требует 100% соответствия: допускается отклонение в 14,99%.
      В случае утечки 60 млн. записей из Сбербанка был нарушен пункт Б18 «Отсутствие гарантированного стирания информации конфиденциального характера с машинного носителя». Сотрудники безопасности Сбербанка утверждают, что база была снята с жесткого диска компьютера, выведенного из работы. Вот вам 1 допустимый инцидент с офигеть какими последствиями.
      С другой стороны, при оценке всех 8 процессов и выявлении 4 действительных инцидентов итоговая оценка R принимает значение 0,85 (уровень: соответствует). А т.к. инцидентов точно больше, то в отчетном периоде единственный вариант соответствия – это сокрытие инцидентов. Таким образом, там, где показатели эффективности руководства зависят от статистики, эту статистику будут скрывать, что негативно отразится на реальной оценке ситуации.
      Кроме того, критерии оценивают количество инцидентов, а не размер убытков. Из этого следует, что защищать данные следует по какой-то иной методике, например, по иностранным стандартам, основанным на многолетнем опыте.
      В качестве бумажной безопасности ваш проект зайдет, в качестве действительно эффективного инструмента — нет.
        +2
        Если ИБ отделен от ИТ (как и должно по хорошему быть), то описанного вами сценария не должно происходить. т.к. Иб выявляет риски, а ИТ уже за них отвечает (если не устранены в срок).
        В сценариях, когда ИБ и ИТ относятся к одному департаменту, и разделяют ответственность по рискам, сокрытие информации является закономерным следствием.
          +3
          Про сценарий – речь именно про автоматизацию соответствия требованиям, возможность вовремя узнать о проблемах в данном направлении и качественно оценить соответствующие compliance риски (расставить приоритеты).
          А насчет подделки и сокрытия информации – могут, но с соответствующим наказанием в последующем. Предполагается (см. проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» cbr.ru/StaticHtml/File/41186/180918-41_1.pdf) многоуровневая система контроля: внутренний контроль (независимой службой внутреннего аудита), внешняя независимая оценка (внешним экспертом) и, в конце концов, контроль мегарегулятора, который осуществляет надзор.
          Если говорить конкретно про инциденты – как минимум, показатель доли репортинга в ФинЦЕРТ по событиям риска ИБ явно обозначается и идет как количественный показатель (см. последний абзац п.2.1.1 приложения 4 вышеупомянутого проекта). И плохой показатель всё равно скажется на увеличении резервов.
          А если расхождения будут серьезные, то это будет уже повод говорить о неэффективной системе управления операционным риском всей организации с соответствующими последствиями (присмотрятся ко всей отчетности организации с пристрастием и т.д., начнут применять меры по 86-ФЗ).
          +3
          Спасибо за комментарий. По срокам – в нашем решении изначально реализован конструктор аудитов и контроль соответствия. При этом глубокую настройку и определение метрик можно сделать только в тесном взаимодействии с заказчиком в рамках проекта. А интерес у заказчиков возник в этом году, когда появились обязывающие документы (регистрация в Минюсте 672-П 21.03.2019, 683-П — 16.05.2019 и т.д.) Кстати, одно из последних оживлений от заказчиков в виде запросов произошло после публикации проекта нового 382-П (под требования попадут операторы услуг информационного обмена, поставщики платежных приложений и прочие субъекты НПС).
          В статье рассказал именно о тенденциях и об управлении соответствием (compliance control) ГОСТу. Насчет эффективности (конкретно в контексте реализации управления соответствием) – всё в конечном итоге выражается в деньгах, а комплаенс становится весьма актуальным (и выражается повышением заинтересованности заказчиков), т.к. несоблюдение требований ИБ будет грозить штрафными санкциями и доначислением резервов организации в соответствии с рисками (по прозрачной схеме с явной методикой расчетов), а это живые деньги.
          То, о чем Вы написали (с примерами) — согласен, только комплаенсом (даже автокомпаленсом) не решается. Эффективный инструмент – это автоматизация по многим направлениям, обнаружение и работа с инцидентами, реагирование на них и т.д., такой инструментарий также предоставляем.
          Применительно к примерам с последствиями и эффективностью руководства — рекомендую ознакомиться с проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ). Насчет сокрытия статистики – там же предусмотрены механизмы контроля и воздействия (см. ответ на комментарий ert112).
          С Наступающим Новым Годом!)

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое