بعد تقديم GOST R 57580.1-2017 "أمان العمليات المالية (المصرفية). حماية معلومات المنظمات المالية. الهيكل الأساسي للتدابير التنظيمية والتقنية "و GOST R 57580.2-2018" أمن العمليات المالية (المصرفية). حماية معلومات المنظمات المالية. منهجية تقييم المطابقة »سرعان ما شكل المشاركون في السوق مجموعة من الخدمات ذات الصلة لمراجعة وتنسيق التدابير. في العديد من المنشورات التي أجراها خبراء أمن المعلومات ، يمكنك التعرف على تحليل مفصل لهذه المعايير ، والتعرف على المتطلبات الغامضة وتفسيرها ، بما في ذلك البنك المركزي للاتحاد الروسي. تم تطوير هذا النشاط بشكل إضافي إلى جانب إصداره من قبل الجهة التنظيمية الرئيسية للائتمان الروسي والمجال المالي للأفعال القانونية التنظيمية ، حيث يكون تنفيذ بعض إجراءات GOST بالفعل شرطًا بالفعل. النظر في هذه الوثائق بمزيد من التفاصيل ...
المشهد
لذلك ، أصدر البنك المركزي للاتحاد الروسي عددًا من الوثائق التي تتطلب تنفيذ تدابير معينة من المعيار GOST R 57580. ندرجها:
- اللائحة رقم 683-P "بشأن وضع متطلبات للمؤسسات الائتمانية لحماية المعلومات في الأنشطة المصرفية من أجل مواجهة عمليات تحويل الأموال دون موافقة العميل".
- اللائحة رقم 684-P "بشأن وضع متطلبات للمنظمات المالية غير الائتمانية لضمان حماية المعلومات في أداء الأنشطة في مجال الأسواق المالية من أجل مواجهة تنفيذ المعاملات المالية غير القانونية".
- اللائحة رقم 672-P "بشأن متطلبات حماية المعلومات في نظام الدفع لبنك روسيا".
أود أيضًا أن أذكر أمر وزارة الاتصالات في روسيا "بشأن الموافقة على إجراءات المعالجة ، بما في ذلك جمع وتخزين معلمات البيانات الشخصية الخاصة بالبيانات الحيوية لتحديد الهوية ، وإجراءات وضع وتحديث البيانات الشخصية البيومترية في نظام بيومتري واحد ، فضلاً عن متطلبات تكنولوجيا المعلومات والوسائل التقنية المخصصة لـ معالجة البيانات الشخصية البيومترية من أجل إجراء تحديد الهوية "، والذي يقدم أيضا متطلبات للبنوك فيما يتعلق بتنفيذ تدابير GOST عندما تعمل مع نظام التحقق من الهوية واحد.
من المستحيل تجاهل المسودة الجديدة (بدلاً من اللائحة رقم 382-P) من اللائحة "بشأن متطلبات ضمان حماية المعلومات عند إجراء التحويلات المالية والإجراءات المتبعة في بنك روسيا لرصد الامتثال لمتطلبات ضمان حماية المعلومات عند إجراء تحويلات الأموال" ، إلى جميع الكيانات نظام الدفع الوطني المقررة لتنفيذ بعض التدابير GOST.
من الواضح أن هيكل الوثائق اللاحقة للبنك المركزي سوف يتضمن إشارة إلى GOST فيما يتعلق بالتدابير التنظيمية والتقنية ، مع مراعاة خصوصيات المنظمات (طبيعة وحجم النشاط) ، في حين أن الوثائق نفسها ستظهر التدابير التكنولوجية التي تأخذ بعين الاعتبار خصوصيات العمليات التجارية التي تنفذها الجهات الخاضعة للإشراف. تغطي المتطلبات الحالية بالفعل عددًا كبيرًا من العمليات والمشاركين في القطاع المالي.
ما يهدد عدم الامتثال
وفقًا للقانون الاتحادي "بشأن البنك المركزي للاتحاد الروسي (بنك روسيا)" المؤرخ في 10 يوليو 2002 N 86- ، قد يؤدي عدم الامتثال للمتطلبات إلى تعليق العمليات واستبدال إدارة المنظمة وغرامة تصل إلى 0.1٪ من رأس المال المصرح به ، إلخ. ومع ذلك ، فإن المشاركين (البنك المركزي والمؤسسات الخاضعة للإشراف) ليس لديهم الآن صلة واضحة بين انتهاكات متطلبات IS والعقوبات ، ولا توجد طريقة لتقييم المخاطر المقابلة ، وتخصيص ميزانية النظام بشكل صحيح ، إلخ. ستوفر الآلية الشفافة فوائد واضحة للجميع.
تتيح لنا الاتجاهات الملحوظة أن نستنتج أن البنك المركزي يعمل بنشاط على هذه المهمة وفي الأعوام المقبلة سيتم إصدار عدد من الوثائق الجديدة. في هذا السياق ، أود أولاً أن أسترعي الانتباه إلى مشروع لائحة بنك روسيا "بشأن متطلبات نظام إدارة المخاطر التشغيلية في مؤسسة ائتمانية ومجموعة مصرفية" ، والتي أعلنت عن مجموعة من مؤشرات نظام إدارة المخاطر وطرق حساب رأس المال اللازم لتغطية الخسائر من تنفيذ المخاطر التشغيلية (مع تحديد واضح لخطر أمن المعلومات).
في منتدى الأورال ، في عروض ممثلي البنك المركزي ، أشير إلى الآليات المذكورة أعلاه لخلق المصلحة الاقتصادية لإدارة المؤسسات المالية في زيادة مستوى أمن المعلومات والموثوقية التشغيلية ، على وجه الخصوص ، من خلال تنفيذ نظام لإدارة المخاطر ورأس المال من خلال لمحة عن المخاطر:
هيكل بيان المخاطر من عرض ممثل البنك المركزيكما ترون ، المفتاح (والأكثر وضوحًا) هو مؤشر تقييم الامتثال لمتطلبات GOST.
التلخيص: في حالة عدم الامتثال لـ GOST ، فإن الجهة المنظمة بطريقة شفافة ستجبر المذنب على فرض احتياطيات إضافية (وهذا بالإضافة إلى الغرامات المحتملة وغيرها من التدابير وفقًا للمادة 74 رقم 86-FZ). وبما أن تنفيذ متطلبات GOST يستغرق وقتًا طويلاً ، فإن هذه العقوبات ستؤثر بشكل خطير على الأداء الاقتصادي للمنظمة.
الأتمتة والتحكم
عند الوفاء بمتطلبات المنظم ، قد تواجه المنظمة المشكلة التقليدية المتمثلة في تواتر التحكم ، عندما يكون التغيير الجاد في البنية التحتية والعمليات أمرًا ممكنًا بين المراجعات (ذات الصلة خاصة بالمنظمات التي تحدث فيها التغييرات باستمرار)
في حالة عدم وجود عملية مبسطة لإدارة الامتثال المستمرة ، أثناء المراجعة التالية ، قد يتضح أن الأنظمة تحتاج إلى تحسين وتنفيذ التدابير (هذا هو المكان الذي يمكن فيه إضافة احتياطيات إضافية حتى يتم حل المشكلات). ناهيك عن أن مشكلة تنفيذ التدابير قد تؤدي إلى التنفيذ الفعلي لمخاطر أمن المعلومات نفسها وخسائر مباشرة.
من الواضح ، مع تطور الوظيفة التنظيمية لمؤسسات الدولة ، هناك حاجة إلى أتمتة عمليات الامتثال من أجل مراقبة المشاركين في قطاع الائتمان والمالية باستمرار. سيؤدي تنفيذ حلول الأتمتة المناسبة إلى حل مشكلة المراقبة المستمرة لمخاطر IS والامتثال للمتطلبات ، وتبسيط وتقليل تكلفة عمليات التدقيق ، ويساعد على تحديد الأولويات بشكل صحيح عند الاستجابة للمشاكل. أصبح هذا القرار أسهل من أي وقت مضى لتبرير اقتصاديًا ، نظرًا لمتطلبات الجهة المنظمة ، ومعرفة حاجته في الممارسة:
رؤية نظم إدارة الأمن من رؤية الأمنيطبق اثنان من منتجات شركة "الأمن الذكي" (العلامة التجارية Security Vision) ، التي تم اختبارها وإثباتها في البنوك من TOP-10 ، متطلبات المنظم بالكامل. وهي:
1. نظام Security Vision Cyber Risk System - يهدف إلى ضمان الامتثال لمتطلبات مشروع لائحة بنك روسيا "بشأن متطلبات نظام إدارة المخاطر التشغيلية في مؤسسة ائتمانية ومجموعة مصرفية".
2. رؤية الأمن SGRC - تهدف إلى أتمتة عمليات أمن المعلومات للبنك. يقوم المنتج بأتمتة كلاً من عمليات أمان المعلومات الكلاسيكية ، مثل عمليات التدقيق والمخاطر والحوادث ونقاط الضعف والمستندات والامتثال - بالإضافة إلى عناصر جديدة مثيرة للاهتمام في مجال إدارة الامتثال. على وجه الخصوص ، تم اتخاذ تدابير للانتقال إلى قضايا الامتثال التلقائي وأتمتة الامتثال لأهم القواعد والمعايير:
- التوافق التلقائي مع GOST R 57580 ، اللائحة العامة لحماية البيانات (GDPR) ؛
- الوفاء بمتطلبات FZ-187 "بشأن أمن البنية التحتية للمعلومات الهامة في الاتحاد الروسي" ؛
- التفاعل مع FinCERT / NCCCC ؛
- الامتثال التلقائي للمعايير والمتطلبات التنظيمية المطبقة على الشركة (ISO ، القانون الاتحادي ، STP) ؛
- تقديم المعلومات إلى المراجع الخارجي - مكتب المدقق.