Журнал "Information Security/ Информационная безопасность" #1, 2023

На практике фиксируется множество случаев наруше- ния требования о сертифи- кации прикладного ПО согласно п. 1.8 положения № 757, что не остается без внимания проверяющих из ЦБ. 757-П защищает главным образом информацию о кли- ентах и платежных сообще- ниях. Часть этих данных отно- сится к категории персональ- ных данных, а потому к их защите предъявляются отдельные требования. фондов определен численный порог стоимости активов и пен- сионных резервов соответствен- но, при которых изменяется их уровень защиты. Корректный экономический расчет темпов развития организации может заблаговременно утвердить необходимость модернизации системы защиты для успешного прохождения аудита по ГОСТ 57580.1 в будущем. Принятие решения о выполнении ОУД4 В положении 757-п для некре- дитных финансовых организа- ций, реализующих усиленный и стандартный уровень защиты информации, указано требова- ние использовать для осуществ- ления финансовых операций прикладное ПО для автомати- зированных систем и приложе- ний, распространяемых НФО своим клиентам, а также ПО, обрабатывающее защищаемую информацию при приеме элек- тронных сообщений. Эти реше- ния должны пройти сертифика- цию в системе сертификации Федеральной службы по техни- ческому и экспортному контролю или оценку соответствия по тре- бованиям к оценочному уровню доверия не ниже, чем ОУД4. Согласно п. 1.8 положения 757-П некредитная финансовая организация принимает реше- ние, проводить ли ей оценку самостоятельно по ОУД4 или привлечь проверяющую орга- низацию – лицензиата ФСТЭК. Результатом таких работ будет: l комплект документации для ПО; l результаты тестирования, перечень выявленных угроз и несоответствий; l полный набор документов о составе и содержании прово- димых работ. На практике фиксируется мно- жество случаев нарушения тре- бования о сертификации при- кладного ПО согласно п. 1.8 положения № 757, что не оста- ется без внимания проверяющих из ЦБ. Проведение тестирования должен производить разработ- чик ПО, а потому НФО могут выбрать один из вариантов: либо возложить дополнительные обя- зательства по проведению сер- тификации на поставщика ПО, либо игнорировать продукты, не прошедшие сертификацию. Защита персональных данных: меж двух огней – ЦБ и РКН 757-П защищает главным образом информацию о клиентах и платежных сообщениях. Часть этих данных относится к катего- рии персональных данных, а потому к их защите предъ- являются отдельные требования. Основным регулятором в обла- сти защиты персональных дан- ных является Роскомнадзор, а в области защиты финансовых операций – Центральный Банк РФ. Требования по обеспечению ИБ в обоих случаях во многом совпадают: разграничение досту- па к информации, антивирусная защита, резервное копирование и т.д. Но такое сходство не является определяющим. Для реализации системы защиты ПДн и системы защиты платеж- ной информации потребуется реализовать каждый пункт тре- бований регуляторов из обшир- ного перечня требований. Если будут допущены ошибки в построении системы защиты, у ЦБ или Роскомнадзора воз- никнут вопросы именно по кон- кретным нереализованным мерам, с устранением которых в таком случае придется спешить. По сути, в обоих случаях потребуется регламентировать все мероприятия и меры по защите информации и исполь- зовать набор технических средств, реализующих отдель- ные требования. Нужно будет корректно определить состав защищаемой информации. На практике встречаются слу- чаи, когда область защиты определена с грубыми ошибка- ми: не все ИС определены как ИСПДн или, например, при определении контура безопас- ности не были учтены системы обработки платежной инфор- мации. Самый распространен- ный случай – это неверное опре- деление состава обрабатывае- мых Пдн согласно ФЗ-152. В ряде случаев умышленно или случайно из области защиты исключены процессы и системы обработки информации, кото- рые фактически обрабатывают ПДн определенной категории. Например, при трудоустрой- стве производится сбор персо- нальных данных кандидатов на должность: l в худшем случае сбор произво- дится неформально, никак не рег- ламентирован и не защищен, что является грубым нарушением тре- бований Федерального закона № 152 по многим пунктам; l в некоторых случаях некор- ректно определен состав ПДн: в анкетах на трудоустройство может быть указан вопрос по национальности, судимости, категории инвалидности и т.п., а при определении уровня защиты по постановлению Пра- вительства РФ № 1119 упущен факт обработки таких ПДн спе- циальной категории. Продолжение статьи читайте в следующем номере журнала. • 5 В ФОКУСЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама