Все кредитные организации ежегодно обязаны проходить оценку соответствия по ГОСТ Р 57580.1-2017, который является национальным стандартом РФ для организации безопасности финансовых (банковских) операций. Процедура занимает около 3х месяцев. Проверяется сетевая часть, настройки средств защиты, документация по которой работает банк, бизнес-процессы. Система оценки – балльная, из нее выводится средний показатель. В случае если ЦБ получит отчет, в котором оценка ниже рекомендуемой, банк может получить предписание по проведению дополнительных мер, после этого проводится повторная оценка.
Как банку подготовиться к аудиту?
Пройтись предварительно самостоятельно по всем требованиям.
- Заранее подготовить организационно-распорядительную документацию;
- Назначить ответственных от банка за проведение аудита по направлениям;
- Подготовить свидетельства по перечню требований ГОСТ Р 57580.1-2017.
Процесс 1: «Обеспечение защиты информации при управлении доступом»
Содержит в себе меры, связанные с работой с учетными записями, разграничением прав доступа к информационным ресурсам и объектам доступа. А также меры по организации учета информационных ресурсов компании.
Процесс 2: «Обеспечение защиты вычислительных сетей»
Содержит в себе меры по защите трафика во внутренних сетях компании (включая беспроводные), а также при взаимодействии с сетью интернет. Процесс включает в себя меры по межсетевому экранированию, обнаружению сетевых атак, мониторингу сетевого трафика.
Процесс 3:»Контроль целостности и защищенности информационной инфраструктуры»
Содержит в себе меры по контролю состава разрешенного ПО, его своевременному обновлению и защите от уязвимостей .
Процесс 4: «Защита от вредоносного кода»
Содержит меры по антивирусной защите на разных уровнях информационной структуры.
Процесс 5:»Предотвращение утечек информации»
Содержит в себе меры по контролю за потенциальными каналами утечки информации, а также работе с машинными носителями информации.
Процесс 6: «Управление инцидентами защиты информации»
Содержит в себе меры по мониторингу и реагированию на обнаруженные инциденты защиты информации. В соответствии с требованиями данного процесса для соответствия первому и второму уровням защиты организации необходимо создать отдельное подразделение, под названием “Группа реагирования на инциденты защиты информации”.
Процесс 7: «Защита среды виртуализации»
Содержит в себе меры по защите виртуальной инфраструктуры организации, обеспечению контролируемого доступа к ней и защите образов виртуальных машин.
Процесс 8: «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»
Содержит меры по защите инфраструктуры компании при осуществлении удаленного доступа к ней и обеспечению контроля за удаленным доступом.
Обращаем ваше внимание, что помимо самих мер по защите, каждый процесс содержит в себе пункты, связанные с обязательной регистрацией и обработкой событий защиты информации. Таким образом, недостаточно просто внедрить средства защиты информации в инфраструктуру. Нужно в обязательной порядке непрерывно отслеживать их работу и при необходимости совершенствовать.