Журнал "Information Security/ Информационная безопасность" #6, 2022

В основных требованиях присутствует обязанность НФО предусматривать защиту информационной инфраструктуры через идентификацию, учет, оцен- ку и анализ рисков, разра- батывать защитные меро- приятия по предотвраще- нию нарушений операцион- ной надежности, а также указывается на необходи- мость проведения посто- янного мониторинга. Чтобы организации НФО могли сохранять высокий уровень операционной надежности, а при необхо- димости и повышать его, необходимо соблюдать ряд мер и осуществлять меро- приятия по защите инфор- мации.. Учитывая постоянное совершенствование методов хакерских атак и высокие риски, связанные с челове- ческим фактором, важным пунктом обеспечения без- опасности является регуляр- ное обучение сотрудников и определение ответствен- ности за нарушения. ций требований к операционной надежности при осуществлении видов деятельности, предусмот- ренных частью первой статьи 761 Федерального закона от 10 июля 2002 года № 86-ФЗ "О Центральном банке Россий- ской Федерации (Банке Рос- сии)", в целях обеспечения непрерывности оказания финансовых услуг (за исключе- нием банковских услуг)" (далее 779-П). Частично технические требования по устойчивости определяет стандарт ГОСТ 57580.1, описывающий уровни защиты информации и содер- жание базового состава мер защиты информации. В одном домене с ним разработаны ТК-122 – это еще два схожих по структуре документа на тему киберрисков и киберустойчиво- сти, ожидается их принятие и присвоение им номеров Рос- стандарта. Выполнение положений этих документов напрямую влияет на уровень операционной надежности. В их основных тре- бованиях присутствует обязан- ность НФО предусматривать защиту информационной инфраструктуры через иденти- фикацию, учет, оценку и анализ рисков, разрабатывать защит- ные мероприятия по предотвра- щению нарушений операцион- ной надежности, а также ука- зывается на необходимость про- ведения постоянного монито- ринга. Применяемые меры направлены на определение потенциальных угроз бизнес- и технологическим процессам НФО как со стороны внешних, так и со стороны внутренних источников. Мероприятия финансовых организаций по повышению операционной надежности Чтобы организации НФО могли сохранять высокий уро- вень операционной надежности, а при необходимости и повы- шать его, необходимо соблю- дать ряд мер и осуществлять мероприятия, предлагаемые регулятором, такие как: l соблюдение усиленного, стан- дартного или минимального уровня защиты информации; l проведение внешнего аудита по ГОСТ 57580–2017, 716П, 719П и иным регламентирую- щим документам; l обеспечение учета и контроля критичной архитектуры и всех ее элементов; l моделирование информа- ционных угроз в отношении кри- тичной архитектуры (проведе- ние как сценарного анализа, так и тестов на проникнове- ние); l применение организационных и технических мер, направлен- ных на реализацию требований к операционной надежности, на основе результатов оценки риска осуществления инфор- мационных угроз в рамках системы управления рисками; l обучение сотрудников НФО методам защиты от социотех- нических атак; l проведение независимой оценки эффективности управ- ления рисками информацион- ной безопасности; l проведение контроля защи- щенности исходного кода мобильных и веб-приложений; l выделение ресурсного обес- печения для выполнения тре- бований к операционной надеж- ности, в том числе обновление средств защиты информацион- ной инфраструктуры; l обеспечение мер физической защиты информационной системы. Помимо вышеперечисленно- го, обязательным элементом является резервирование кри- тичных информационных ресур- сов как от "мягких", так и от "жестких" сбоев. При этом SLA восстановления должен учиты- вать вероятные масштабы рис- ков конкретной организации. Если нет возможности реа- лизовать все перечисленные меры, то необходимо разрабо- тать способы организационно- технической защиты, провести оценку соответствия ГОСТ 57580–2017, 716П, 779П, про- верять защищенность инфор- мационной инфраструктуры через моделирование угроз и независимую оценку. Учитывая постоянное совер- шенствование методов хакер- ских атак и высокие риски, свя- занные с человеческим факто- ром, важным пунктом обеспече- ния безопасности является регу- лярное обучение сотрудников и определение ответственности за нарушения. Идет постоянная борьба между теми, кто совершает хакерские атаки, и теми, кто им противостоит. И чем меньше дистанция между злоумышлен- никами и безопасниками, тем выше эффективность опера- ционной надежности. В современных условиях основной возможностью для снижения операционных рис- ков и повышения операцион- ной надежности НФО является взаимодействие государства (прежде всего правоохрани- тельных органов и регулято- ра), служб и организаций, обеспечивающих информа- ционную безопасность опера- торов платежной системы и их клиентов. l • 45 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru