Приведение в соответствие требованиям Банка России по защите информации при осуществлении переводов денежных средств

Реализация требований нормативных документов по защите информации при осуществлении переводов денежных средств предполагает проведение комплекса организационных и технических мероприятий по модернизации системы обеспечения информационной безопасности организации-субъекта НПС.

«Лаборатория ВС» предлагает услуги по приведению в соответствие системы обеспечения информационной безопасности организации-субъекта НПС обязательным требованиям законодательства к защите информации при осуществлении переводов денежных средств (требования Положения 382-П).

Специалисты нашей компании являются сертифицированными специалистами по проведению аудитов информационной безопасности и внедрению СТО БР ИББС, обладают необходимым практическим опытом реализации проектов по построению/модернизации систем обеспечения информационной безопасности в соответствии с требованиями отраслевых и международных стандартов в области информационной безопасности, что гарантирует квалифицированный подход к реализации обязательных требований по защите информации при осуществлении переводов денежных средств.

Внешняя оценка соответствия

На данном этапе осуществляется сбор информации о текущем состоянии системы обеспечения информационной безопасности, реализованных организационных и технических мерах по защите информации при осуществлении переводов денежных средств, разрабатываются общие рекомендации по документированию отдельных технологических процессов (доработки имеющейся документации), связанных с выполнением требований Положения 382-П, и модернизации системы информационной безопасности в части корректировки реализованных и (при необходимости) внедрению дополнительных мер и средств защиты информации.

Планирование работ

Планирование работ по созданию/модернизации системы обеспечения информационной безопасности организации субъекта-НПС осуществляется на основе результатов самооценки организации-субъекта НПС и (или) результатов внешней оценки соответствия системы обеспечения информационной безопасности организации-субъекта НПС требованиям Положения 382-П.

В ходе планирования работ по созданию/модернизации системы обеспечения информационной безопасности организации субъекта-НПС специалисты «Лаборатории ВС» выделяют приоритетные мероприятия (не требующие существенных затрат) и перспективные мероприятия (требующие внедрения дополнительных средств и систем или значительных изменений в системе менеджмента информационной безопасности).

В ходе работ специалистами нашей компании проводится оценка степени влияния рекомендуемых мероприятий на значения итоговых показателей и оценка финансовых и временных затрат на их реализацию. Результаты данной оценки могут использоваться Заказчиком для определения приемлемого уровня соответствия требованиям к защите информации при осуществлении переводов денежных средств на текущий момент и позволяют спрогнозировать рост показателей соответствия в зависимости от затраченных ресурсов.

Исходя из составленных экспертами нашей компании рекомендаций и определенной Заказчиком допустимой (приемлемой) оценки соответствия, на данном этапе разрабатывается техническое задание на создание/модернизацию системы обеспечения информационной безопасности.

Модернизация системы обеспечения информационной безопасности

На данном этапе осуществляется реализация мероприятий по модернизации системы обеспечения информационной безопасности в соответствии с требованиями Технического задания, разработанного в процессе планирования.
Модернизации системы обеспечения информационной безопасности включает в себя:

1) Модернизацию системы менеджмента информационной безопасности (СМИБ) и ее организационной основы.

В соответствии с рекомендациями, сформированными на этапе проведения внешней оценки соответствия, или по результатам анализа системы документации в области обеспечения информационной безопасности организации–субъекта НПС, осуществляется разработка (доработка) локальных нормативных актов (положений, частных политик, регламентов, инструкций и пр.) и документирование отдельных технологических процессов, связанных с обеспечением защиты информации при осуществлении переводов денежных средств.

Разработка необходимой документации осуществляется в соответствии с рекомендациями Банка России РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0». Это обусловлено тем, что требования Положения 382-П и Стандарта по обеспечению информационной безопасности организаций банковской системы РФ (СТО БР ИББС) во многом схожи, а система документации, предлагаемая СТО БР ИББС, отвечает международным стандартам и лучшим мировым практикам в области информационной безопасности. Кроме того, внедрение системы документации в соответствии с РС БР ИББС-2.0-2007 позволит значительно упростить внедрение СТО БР ИББС в случае, если кредитная организация-субъект НПС примет решение о присоединении.

Также осуществляется пересмотр организационной основы СМИБ, в том числе, определение ответственных за осуществление деятельности в области информационной безопасности лиц и требований к их квалификации.

2) Модернизацию системы информационной безопасности (СИБ).

В процессе модернизации СИБ осуществляется устранение выявленных в ходе оценки соответствия недостатков, конфигурация имеющегося оборудования, производится установка и подготовка к эксплуатации выбранных на этапе планирования технических решений и средств защиты информации.

При необходимости реализуется полноценное (с разработкой необходимой проектной и эксплуатационной документации) проектирование и внедрение подсистем защиты информации (управления доступом, антивирусной защиты, межсетевого экранирования, обнаружения вторжений, криптографической защиты информации, резервного копирования и восстановления информации) с предоставлением различных вариантов реализации, наиболее полно отвечающих требованиям Заказчика и обязательным требованиям законодательства.

По согласованию с Заказчиком, данный этап может включать настройку и испытание средств защиты информации в пилотной зоне, в зоне внедрения, сдачу системы защиты в промышленную эксплуатацию, обучение персонала правилам работы с компонентами системы защиты информации.

Работы по модернизации СОИБ осуществляются в тесном сотрудничестве с Заказчиком, что позволяет адаптировать реально существующие бизнес-процессы управления ИБ и осуществить модернизацию ИТ-инфраструктуры с наименьшими затратами.

Критерием выполнения указанных работ является обеспечение допустимой (приемлемой) оценки соответствия требованиям Положения 382-П, которая должна быть подтверждена на этапе итоговой оценки соответствия.

Проведение итоговой оценки соответствия требованиям Положения 382-П

На этапе проведения итоговой оценки соответствия требованиям к обеспечению защиты информации при переводе денежных средств осуществляется разработка технологии и консалтинг по реализации системы отчетности по форме 0403203 в соответствии с Указанием Банка России № 2831-У, подготовка и направление отчетности по форме 0403202 в соответствии с Указанием Банка России № 2831-У.

На данном этапе проводится оценка достигнутого уровня соответствия системы обсечения информационной безопасности организации-субъекта НПС требованиям нормативных документов по защите информации в НПС и подготовка рекомендуемых мероприятий по дальнейшему развитию системы обеспечения информационной безопасности.

Оценка соответствия может выполняться как самой организацией-субъектом НПС (самооценка), так и с привлечением специалистов «Лаборатории ВС» или сторонней организации, имеющей лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.