Сложные вопросы. Про соответствие требованиям новых положений Банка России

Сложные вопросы. Про соответствие требованиям новых положений Банка России

С конца февраля специалисты финансового сектора фиксируют новую масштабную волну DDoS-атак на ключевые российские компании банковской отрасли: атакам подверглись в том числе Сбербанк, ВТБ, Газпромбанк. Соответствие требованиям информационной безопасности становится приоритетным вектором и самым острым вопросом.

За последние три года Банк России выпустил целый ряд положений в области информационной безопасности (683, 747, 719, 757). Наиболее трудоёмким требованием новых документов является оценка соответствия требованиям ГОСТ Р 57580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», который включает в себя требования к восьми процессам защиты информации, требования к защите информации на этапах жизненного цикла АС, а также требования по направлениям процессов защиты информации (планирование, реализация, контроль и совершенствование) – всего 667 требований.

Оценка соответствия требованиям ГОСТ Р 57580.1–2017: сложный и трудоёмкий процесс

Перед началом оценки соответствия организациям необходимо понять определение контуров безопасности. Малым организациям рекомендуется рассматривать единый контур безопасности, который будет включать в себя всю внутреннюю инфраструктуру организации, за исключением сегментов SWIFT и PCIDSS, так как данные сегменты оцениваются в рамках проведения отдельных аудитов. Оценку платёжного сегмента Банка России рекомендуется провести в рамках оценки единого контура безопасности с учётом того, что данный сегмент является выделенным во внутренней инфраструктуре организации.

Описание контуров рекомендуется оформить документально. Кроме того, для каждого контура необходимо составить ведомость применимости требований ГОСТ, для неоцениваемых параметров необходимо составить обоснование исключения их из оценки. Таким обоснованием может являться то, что некоторые технологии могут не использоваться в данных контурах (беспроводные сети, виртуализация серверов и рабочих станций, удалённый доступ).

По нашим оценкам, в крупных финансовых организациях может выделяться 4–5 контуров безопасности, включая контур обработки биометрических персональных данных. Простой математический подсчёт показывает, что при рассмотрении пяти контуров безопасности оценивать необходимо будет 3335 требований.

Оценка контуров безопасности требованиям ГОСТ Р 57580.1–2017 – трудоёмкий процесс, что связано с большим количеством оцениваемых параметров, а также с удалённым режимом работы сотрудников организаций. Из-за этого усложняется сбор свидетельств, подтверждающих выполнение того или иного требования.

Современные решения в области финансового комплаенса

Эксперты департамента финансового комплаенса ГК «ЦИБИТ» разработали сервис оценки, который позволяет загружать свидетельства выполнения требований аудиторами и сотрудниками оцениваемых организаций, сохранять все данные аудита в удобном формате, формировать список рекомендаций по повышению уровня оценки соответствия. Кроме того, сервис предоставляет возможность копирования полученных данных для проведения последующего аудита.

Данное решение позволит сосредоточиться на проверке выполнения рекомендаций, которые были даны при предыдущих оценках соответствия, а также выработке дальнейших рекомендаций по совершенствованию выполнения требований.

Пример. При первой оценке соответствия была дана рекомендация по отслеживанию неактивных (в течение 45 дней) учётных записей пользователей в ActiveDirectory. При следующей оценке соответствия аудитор проверяет, каким образом была выполнена данная рекомендация, и формирует рекомендацию, которая усовершенствует выполнение данного требования – отслеживание неактивных учётных записей пользователей в конкретных приложениях, которые попадают в оцениваемый контур безопасности.

Сервис позволяет сохранять данные оценок соответствия в течение пяти лет, а также копировать информацию по предыдущему аудиту для проведения текущей оценки. Это позволяет «обогащать» свидетельства выполнения требований новыми данными, а также удалять неактуальные свидетельства и добавлять актуальные.

Для доступа ко всем данным оценки соответствия в целях интеграции с другими приложениями у сервиса оценки разработано API.

Таким образом, новый сервис позволяет проводить оценку соответствия более комплексно, формировать рекомендации с учётом опыта предыдущих аудитов и постоянно совершенствовать выполнение требований к информационной безопасности, что в конечном итоге означает соответствовать запросам времени.