Después de la introducción de GOST R 57580.1-2017 “Seguridad de las operaciones financieras (bancarias). Protección de la información de las organizaciones financieras. La estructura básica de las medidas organizativas y técnicas "y GOST R 57580.2-2018" Seguridad de las operaciones financieras (bancarias). Protección de la información de las organizaciones financieras. Metodología de evaluación de la conformidad »Los participantes en el mercado de SI formaron rápidamente un paquete de servicios relacionados para la auditoría y la armonización de medidas. En numerosas publicaciones de expertos en seguridad de la información, puede familiarizarse con un análisis detallado de estos estándares, conocer los requisitos ambiguos y su interpretación, incluido el Banco Central de la Federación de Rusia. Esta actividad se desarrolló aún más junto con la emisión por parte del regulador principal de la esfera crediticia y financiera rusa de actos legales regulatorios, donde la implementación de ciertas medidas GOST ya es un requisito. Considere estos documentos con más detalle ...
El paisaje
Entonces, el Banco Central de la Federación Rusa ha emitido una serie de documentos que requieren la implementación de ciertas medidas del estándar GOST R 57580. Los enumeramos:
- Reglamento Nº 683-P "sobre el establecimiento de requisitos para que las entidades de crédito protejan la información en las actividades bancarias para contrarrestar las transferencias de dinero sin el consentimiento del cliente".
- Reglamento N ° 684-P "sobre el establecimiento de requisitos para que las organizaciones financieras no crediticias garanticen la protección de la información en el desempeño de las actividades en el campo de los mercados financieros para contrarrestar la implementación de transacciones financieras ilegales"
- Reglamento Nº 672-P "Sobre los requisitos para la protección de la información en el sistema de pago del Banco de Rusia".
También me gustaría mencionar la Orden del Ministerio de Comunicaciones de Rusia "Al aprobar el procedimiento de procesamiento, incluida la recopilación y el almacenamiento, de parámetros de datos personales biométricos para identificación, el procedimiento para colocar y actualizar datos personales biométricos en un solo sistema biométrico, así como los requisitos para tecnologías de información y medios técnicos destinados a procesamiento de datos personales biométricos para llevar a cabo la identificación ”, que también introduce requisitos para los bancos con respecto a la implementación de medidas GOST cuando Trabajar con un único sistema biométrico.
Es imposible ignorar el proyecto de nuevo (en lugar del Reglamento Nº 382-P) del Reglamento "Sobre los requisitos para garantizar la protección de la información al realizar transferencias de dinero y el procedimiento para que el Banco de Rusia supervise el cumplimiento de los requisitos para garantizar la protección de la información al realizar transferencias de dinero", donde a todas las entidades El sistema de pago nacional prescribe la implementación de ciertas medidas GOST.
Obviamente, la estructura de los documentos posteriores del Banco Central implicará una referencia a GOST en términos de medidas organizativas y técnicas, teniendo en cuenta las características específicas de las organizaciones (naturaleza y escala de actividad), mientras que los documentos mismos mostrarán medidas tecnológicas que tienen en cuenta las peculiaridades de los procesos comerciales implementados por los supervisados. Los requisitos existentes ya cubren una gran cantidad de procesos y participantes en el sector financiero.
Lo que amenaza el incumplimiento
De conformidad con la Ley Federal "Sobre el Banco Central de la Federación de Rusia (Banco de Rusia)", de fecha 10 de julio de 2002 N 86-, el incumplimiento de los requisitos puede conducir a la suspensión de las operaciones, el reemplazo de la administración de la organización, una multa de hasta el 0.1% del capital autorizado, etc. Sin embargo, ahora los participantes (el Banco Central y las organizaciones supervisadas) no tienen una conexión clara entre las violaciones de los requisitos de IS y las sanciones, y no hay forma de evaluar los riesgos correspondientes, asignar correctamente el presupuesto para IS, etc. El mecanismo transparente traerá beneficios obvios para todos.
Las tendencias observadas nos permiten concluir que el Banco Central está trabajando activamente en esta tarea y en los próximos años se publicarán varios documentos nuevos. En este contexto, en primer lugar, me gustaría llamar la atención sobre el proyecto de Reglamento del Banco de Rusia "Sobre los requisitos para el sistema de gestión de riesgos operacionales en una institución de crédito y grupo bancario", que anunció conjuntos de indicadores del sistema de gestión de riesgos de SI y métodos para calcular el capital requerido para cubrir pérdidas desde la implementación del riesgo operativo (con una identificación clara del riesgo de seguridad de la información).
En el Foro Ural, en las presentaciones de los representantes del Banco Central, se indicaron los mecanismos anteriores para crear el interés económico de la administración de las instituciones financieras en aumentar el nivel de seguridad de la información y la confiabilidad operativa, en particular, mediante la implementación de un sistema de gestión de riesgos y capital a través de un perfil de riesgos:
La estructura del perfil de riesgo a partir de la presentación del representante del Banco Central.Como puede ver, la clave (y una de las más obvias) es el indicador de evaluar el cumplimiento de los requisitos de GOST.
Resumiendo: en caso de incumplimiento de GOST, el regulador de manera transparente obligará al culpable a cobrar reservas adicionales (y esto, además de posibles multas y otras medidas de conformidad con el Artículo 74 No. 86-FZ). Y dado que la implementación de los requisitos de GOST lleva mucho tiempo, estas sanciones afectarán seriamente el desempeño económico de la organización.
Automatizacion y control
Al cumplir con los requisitos del regulador, la organización puede encontrar el problema clásico de la frecuencia de control, cuando entre auditorías (especialmente relevante para organizaciones donde los cambios se producen constantemente) es posible un cambio serio en la infraestructura y los procesos.
En ausencia de un proceso de gestión de cumplimiento continuo y racionalizado, durante la próxima auditoría, puede resultar que los sistemas necesitan mejoras e implementación de medidas (aquí es donde se pueden agregar reservas adicionales hasta que se solucionen los problemas). Sin mencionar que el problema con la implementación de medidas puede conducir a la implementación real de los riesgos de seguridad de la información y pérdidas directas.
Obviamente, con el desarrollo de la función reguladora de las instituciones estatales, es necesario automatizar los procesos de Cumplimiento para monitorear constantemente a los participantes en el sector crediticio y financiero. La implementación de soluciones de automatización apropiadas resolverá el problema del monitoreo constante de los riesgos de SI y el cumplimiento de los requisitos, simplificará y reducirá el costo de las auditorías y ayudará a priorizar correctamente al responder a los problemas. Esta decisión se ha vuelto más fácil que nunca justificar económicamente, en vista de los requisitos del regulador, y ver su necesidad en la práctica:
Visión de los sistemas de gestión de seguridad de Security VisionDos productos de la compañía "Seguridad inteligente" (marca Security Vision), probados y probados en bancos del TOP-10, implementan completamente los requisitos del regulador. A saber:
1. Security Vision Cyber Risk System: tiene como objetivo garantizar el cumplimiento de los requisitos del proyecto de Reglamento del Banco de Rusia "Sobre los requisitos para el sistema de gestión de riesgos operativos en una institución de crédito y un grupo bancario".
2. Security Vision SGRC: destinado a automatizar los procesos de seguridad de la información del Banco. El producto automatiza tanto los procesos clásicos de seguridad de la información, como auditorías, riesgos, incidentes, vulnerabilidades, documentos, cumplimiento, así como nuevos elementos interesantes en el campo de la gestión del cumplimiento. En particular, se tomaron medidas para pasar a los temas de cumplimiento automático, automatización del cumplimiento de las normas y estándares más importantes:
- Conformidad automática con GOST R 57580, Reglamento general de protección de datos (GDPR);
- Cumplimiento de los requisitos de FZ-187 "Sobre la seguridad de la infraestructura de información crítica de la Federación de Rusia";
- Interacción con FinCERT / NCCCC;
- Cumplimiento automático de normas y requisitos reglamentarios aplicables a la empresa (ISO, Ley Federal, STP);
- Proporcionar información al auditor externo: la oficina del auditor.