Журнал "Information Security/ Информационная безопасность" #1, 2023

Неверно определенный перечень операций, состав обрабатываемой информа- ции и объем обрабатывае- мой информации могут при- вести к ошибкам в опреде- лении УЗ согласно п. 1.4 757-П. Получение актуальной информации о протекающих в организации финансовых процессах поможет специа- листам по безопасности заблаговременно опреде- лить изменения требований по 757-П. Процесс защиты инфор- мации в идеальном случае начинается с этапа планиро- вания, на котором выделяет- ся будущая инфраструктура или вносимые изменения, область защиты и конфиден- циальная информация, под- лежащая защите. Регулятор предъявляет ряд жестких требований в области информацион- ной безопасности не только к банкам, но и к некредитным финансо- вым организациям. Чтобы эффективно выполнять эти требования, сначала необхо- димо определить, какие именно ресурсы и в какой степени нуж- даются в защите. Определение уровня защиты: просто, необходимо и очень полезно Положение ЦБ РФ № 757 обязывает НФО в начале каж- дого года определять уровень защищенности для проведения дальнейших работ по обеспече- нию информационной безопас- ности. Это необходимо для построения системы защиты и реализации мер защиты по ГОСТ 57580.1, согласно требо- ваниям самого положения. Всего ГОСТ выделяет три уровня защиты, один из которых и необходимо определить для своей инфраструктуры: мини- мальный, стандартный и уси- ленный. Сделать это можно при помощи критериев, указанных в положении, определив все виды деятельности вашей финансовой организации, а если речь идет об инвестицион- ных фондах, страховых органи- зациях и негосударственных пенсионных фондах, кроме этого необходимо определить стоимость активов и резервов. Для определения уровня защиты потребуется привлечь сотрудников различных отде- лов, которые обладают опреде- ленными компетенциями в необходимых областях, и совместно с отделом информа- ционной безопасности соста- вить перечень бизнес-процес- сов финансовой организации, примерную ценность активов, состав обрабатываемой инфор- мации, планы по введению новых услуг и т.д. В процессе может понадобиться присут- ствие сотрудников бухгалтерии, отдела продаж, ответственных за ведение коммерческой дея- тельности руководителей и иных сотрудников. Неверно определенный пере- чень операций, состав обраба- тываемой информации и объем обрабатываемой информации могут привести к ошибкам в определении УЗ согласно п. 1.4 757-П. Если был выбран, напри- мер, минимальный УЗ, когда фактически должен реализовы- ваться стандартный, то далее на основании определения мини- мального УЗ будет построена система защиты, не соответ- ствующая требованиям ЦБ. При выявлении такого случая ком- пания в экстренном порядке будет вынуждена исполнять предписания и затратит гораздо больше ресурсов на экстренное построение системы защиты, соответствующей требованиям по достижению уровня соответ- ствия по ГОСТ 57580.2. Определение уровня защиты: стоит копнуть глубже Определение уровня защиты производится раз в год. Основ- ной задачей является установ- ление необходимого уровня защиты на этот период, но дан- ный процесс может дать и допол- нительные результаты. Напри- мер, сотрудники отдела ИБ могут заранее на общем совещании узнать о планах реализации новых функций и услуг в компа- нии, о повышении стоимости активов и об иных изменениях. Перспективы роста организации Получение актуальной инфор- мации о протекающих в орга- низации финансовых процессах поможет специалистам по без- опасности заблаговременно определить изменения требо- ваний по 757-П, скорректиро- вать долгосрочные планы ком- пании, сформировать список новых расходов и т.п. Процесс защиты информации в идеальном случае начинается с этапа планирования, на кото- ром выделяется будущая инфра- структура или вносимые изме- нения, область защиты и кон- фиденциальная информация, подлежащая защите. На общем совещании проводятся те же мероприятия, что и при построе- нии системы защиты с нуля: определение обрабатываемой информации, утверждение тех- нологических процессов обра- ботки данных, формирование перечня используемого ПО и др. Обеспечение реальной безопасности С точки зрения фактической безопасности мониторинг уровня защищенности по 757-п – это определение актуальных угроз безопасности и актуальных нару- шителей. Например, при плани- ровании новой информационной системы сотрудники отдела ИБ своевременно узнают о необхо- димости формирования техни- ческой документации. В положении 757-п в п. 1.4 для страховых организаций и негосударственных пенсионных 4 • В ФОКУСЕ Как НФО выполнить требования ЦБ в области информационной безопасности? Практический аспект. Часть 1 этой статье поговорим о том, как разобраться в требованиях по информационной безопасности к некредитным финансовым организациям и обеспечить их выполнение, о существующих особенностях обработки и защиты персональных данных при осуществлении финансовой деятельности в НФО, а также затронем вопросы применения отечественной криптографии, ГОСТ 57580 и технологических мер защиты. В Федор Музалевский, директор технического департамента RTM Group