Информационная безопасность кредитных организаций
Информационная безопасность кредитных организаций
Информационная безопасность кредитных организаций всегда являлась самой развитой и высокотехнологичной в стране и на данный момент имеет жесткую и обширную нормативную регламентацию:
- Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
- Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
- Положение Банка России от 23.12.2020 № 747-П «О требованиях к защите информации в платежной системе Банка России»;
- ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
- ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»;
- Комплекс документов Банка России Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС), содержащий 5 стандартов и 10 рекомендаций в области стандартизации;
- ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»;
- А также нормативные акты в области защиты персональных данных и использования средств криптографической защиты информации.
В июне 2020 опубликовано Положение Банка России от 08.04.2020 № 716‑П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». В Положении № 716-П Банк России устанавливает, в том числе, требования к управлению рисками информационной безопасности и информационных систем в кредитной организации. Что существенно повышает значимость вопросов информатизации и защиты информации.
Также с ослаблением позиций СТО БР ИББС и 382-П и усилением позиций 683-П и ГОСТ Р 57580.1-2017 необходимо перестраивать систему защиты информации под новые требования. Кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года.
Для обеспечения информационной безопасности в Вашей организации мы предлагаем следующие услуги:
- Предварительная оценка соответствия требованиям Банка России.
- Внедрение организационных и технических мер защиты в соответствия требованиям Банка России.
- Проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.
- Анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений по требованиям к оценочному уровню доверия (не ниже ОУД 4).
- Оценка по требованиям ГОСТ Р 57580.2 -2018.
- Оценка по требованиям Положения Банка России от 09.06.2012 № 382-П.
- Разработка документации в соответствии с СТО БР ИББС.
Информационная безопасность некредитных организаций
Требования аналогичные кредитным организациям, с учетом некоторых послаблений распространились на некредитные финансовые организации (перечень организаций определен, статьей 76.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»). В требования вошли:
- Положения Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»;
- ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
- ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»;
- ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»;
- А также нормативные акты в области защиты персональных данных и использования средств криптографической защиты информации.
Согласно требованиям, некредитные финансовые организации должны провести оценку уровня соответствия требованиям ГОСТ Р 57580.2-2018 с 1 января 2021 года.
Для обеспечения информационной безопасности в Вашей организации мы предлагаем следующие услуги:
- Предварительная оценка соответствия требованиям Банка России №684-П.
- Внедрение организационных и технических мер защиты в соответствия требованиям Банка России №684-П.
- Проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.
- Анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений по требованиям к оценочному уровню доверия (не ниже ОУД 4).
- Оценка по требованиям ГОСТ Р 57580.2 -2018.