Аудит соответствия требованиям ИБ

Аудит соответствия ГОСТ Р 57580.1-2017

В 2017 году был принят ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Как и следует из названия стандарта, ГОСТ Р 57580.1-2017 устанавливает ряд базовых мер по защите информации в финансовых организациях. Область действия и субъекты, на которые распространяется действие настоящего стандарта, определяются рядом положений Банка России, введённых в действие позднее.

Методика оценки соответствия ГОСТ Р 57580.1-2017 определяется в другом стандарте - ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Проводить оценку соответствия ГОСТ Р 57580.1-2017 имеют право лицензиаты ФСТЭК России в области технической защиты информации.


Положение Банка России 747-П

Положение Банка России №747-П «О требованиях к защите информации в платёжной системе Банка России». Данное Положение пришло на смену Положению 672-П и отменяет его действие.

Положение 747-П устанавливает требования по защите информации для прямых участников платежной системы Банка России и операторов, использующих в осуществлении своей деятельности систему быстрых платежей (СБП).

Положение предусматривает, что в организации должен быть реализован выделенный сегмент платёжной системы Банка России. От основной инфраструктуры организации должна быть отделена инфраструктура данного сегмента, включая линии связи, компьютеры персонала, средства защиты информации.


Положение Банка России 683-П

Положение №683-П ЦБ РФ от 17.04.2019 устанавливает для банков обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента.

Все кредитные организации разделены на 2 группы:

  • системно значимые кредитные организации,
  • все остальные кредитные организации.

Все банки должны обеспечивать соответствие ГОСТ Р 57580.1-2017. При этом системно значимые банки должны реализовывать усиленный уровень защиты информации, а все остальные должны реализовывать стандартный уровень защиты информации.


Положение Банка России 684-П

Положение 684-П ЦБ РФ устанавливает обязательные требования к защите информации для некредитных финансовых организаций.

Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).

Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также на большой объём требований по работе со средствами криптографической защиты.

Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.


Положение Банка России 719-П

Положение Банка России от 4 июня 2020 г. №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Новое положение призвано заменить предыдущее Положение 382-П имеющее аналогичное название. 719-П, как и 382-П, устанавливает требования к обеспечению защиты информации при переводе денежных средств. При этом 719-П существенно отличается по структуре и подходу к защите информации от используемого ранее положения 382-П, это полностью отдельный документ с множеством новых требований.

Соответствие 719-П обязательно с 1 января 2022 г. Небольшая отсрочка есть только по нескольким отдельным пунктам и только для основных платёжных систем. Это связано с тем, что требования отдельных пунктов сложно выполнимы. Например, необходимо использовать криптографию, имеющую подтверждение соответствия требованиям исполнительного органа в области обеспечения безопасности.

Основные особенности Положения:

  • требование по сертификации или анализу уязвимостей по требованиям ОУД4, с ссылкой на ГОСТ Р 15408-3-2013;
  • увеличение требований по ИБ для банковских платёжных агентов (выделена отдельная глава);
  • Банк России впервые добавил в Положение по ИБ конкретную ответственность за его невыполнение;
  • добавлены Приложения 1 и 2, содержащие дополнительные технологические меры защиты для банковских платёжных агентов, операторов услуг информационного обмена, операторов услуг платёжной инфраструктуры;
  • всем субъектам НПС теперь предстоит в той или иной степени выполнять требования ГОСТ Р 57580 и проводить оценку соответствия;
  • четвёртый уровень соответствия, которому ранее необходимо было соответствовать с 01.01.2023 г., теперь необходимо соответствовать с 01.01.2022 г.


152-ФЗ "О персональных данных"

Федеральный закон №152-ФЗ «О персональных данных» вступил в силу в 2006 г.

Персональные данные – это личная информация о конкретном человеке. К ней относят ФИО, ИНН, код паспорта, номер телефона, адрес электронной почты и любые другие данные, которые как-то связаны с гражданином.

Обрабатывает ли организация персональные данные? Существует несколько простых примеров сбора и обработки персональных данных:

  • осуществляется сбор и хранение данных клиентов (e-mail, номер телефона, день рождения и т.п.);
  • осуществляется информационная рассылка (рассылка бумажной рекламы, SMS-сообщений или электронных писем);
  • осуществляется сбор и хранение персональных данных сотрудников;
  • на сайте есть любая форма регистрации с требованием для посетителей и покупателей ввести номер телефона или адрес электронной почты.

Персональными эти данные становятся только в связке: например, ФИО и телефон, адрес и ФИО. Такие связки с позиции закона становятся конфиденциальными, их нельзя разглашать и обрабатывать без согласия владельца. И тем более нельзя допустить их утечки. Если организация собирает персональные данные, то она обязана выполнять требования закона.

Закон обязывает защищать данные клиентов и сотрудников. Это обеспечивается:

  • созданием внутренней нормативной базы, в которой описываются требования по хранению, обработке и передаче персональных данных;
  • защитой информационных систем персональных данных с помощью ряда административных и технических мер.

С 27 марта 2021 г. значительно увеличены штрафы и ответственность за несоблюдение закона о персональных данных.


Оценка соответствия ЕБС в банке Приказу № 321

Оценка соответствия сегмента Единой Биометрической Системы в банке должен проводиться в соответствии с Приказом №321 Минкомсвязи России от 25.06.2018 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации». Приказ №321 содержит прямое указание использовать информационные технологии и технические средства, которые соответствуют второму (стандартному) уровню защиты информации по ГОСТ Р 57580.1-2017.

По Приказу №321 Минкомсвязи предусмотрена только внешняя оценка лицензиатом ФСТЭК России (лицензия на техническую защиту конфиденциальной информации). В требованиях 321-го Приказа не уточняется методика проведения оценки, однако, ГОСТ Р 57580.1-2017 содержит прямое указание проводить оценку соответствия согласно ГОСТ Р 57580.2-2018.


Аудит безопасности SWIFT - Customer Security Programme (CSP)

Компания SWIFT в 2016 году представила программу обеспечения безопасности клиентов Customer Security Programme (CSP), в рамках которой выпущено положение «The SWIFT Customer Security Controls Framework» (CSCF), для улучшения кибербезопасности в мировом финансовом сообществе.

Согласно Положению, финансовые организации должны ежегодно проводить самоаттестацию своей инфраструктуры, обеспечивающей функционирование SWIFT. Результаты данной самоаттестации должны быть опубликованы в SWIFT. Эти результаты будут доступны другим пользователям системы (контрагентам) SWIFT.

Требования к обеспечению безопасности становятся более строгими.

Ранее пользователи SWIFT должны были самостоятельно подтвердить соответствие требованиям CSCF v2019 до 31 декабря 2019 года. Структура CSCF v2019 содержала 19 обязательных и 11 рекомендуемых мер безопасности. С 2020 года SWIFT сделал две существующие рекомендуемые меры обязательными и ввёл две дополнительные рекомендуемые меры, что привело к 21-й обязательной и 10-и рекомендуемым мерам в CSCF v2020. В 2021 году 1 рекомендуемая мера стала обязательной и таким образом CSCF v2021 содержит 22 обязательных и 9 рекомендуемых мер.

Все финансовые организации, подключенные к SWIFT, должны проводить независимую оценку соответствия SWIFT CSCF, поскольку это является ключевым требованием их ежегодной аттестации.

Наши услуги:

  • оценка соответствия информационной инфраструктуры требованиям SWIFT;
  • прохождение аттестации на соответствие требованиям SWIFT CSP;
  • тестирование на проникновение в рамках инфраструктуры SWIFT;
  • определение работ по устранению выявленных несоответствий.

Свяжитесь с нами

Если Вас заинтересовали предоставляемые нами услуги по аудиту и анализу, просто напишите Ваш вопрос на promo@frodex.ru.

   +7 (495) 967-65-19

promo@frodex.ru