Nach der Einführung von GOST R 57580.1-2017 „Sicherheit von Finanzgeschäften (Bankgeschäften). Schutz der Informationen von Finanzorganisationen. Die Grundstruktur der organisatorischen und technischen Maßnahmen “und GOST R 57580.2-2018„ Sicherheit der Finanzgeschäfte (Bankgeschäfte). Schutz der Informationen von Finanzorganisationen. Konformitätsbewertungsmethode »Die IS-Marktteilnehmer bildeten schnell ein Paket verwandter Dienstleistungen für die Prüfung und Harmonisierung von Maßnahmen. In zahlreichen Veröffentlichungen von Informationssicherheitsexperten können Sie sich mit einer detaillierten Analyse dieser Standards vertraut machen, sich über mehrdeutige Anforderungen und deren Interpretation informieren, einschließlich der Zentralbank der Russischen Föderation. Diese Tätigkeit wurde zusammen mit der Erteilung von Rechtsakten durch die Hauptregulierungsbehörde für den russischen Kredit- und Finanzbereich weiterentwickelt, in denen die Umsetzung bestimmter GOST-Maßnahmen bereits vorgeschrieben ist. Betrachten Sie diese Dokumente im Detail ...
Die landschaft
Daher hat die Zentralbank der Russischen Föderation eine Reihe von Dokumenten herausgegeben, die die Umsetzung bestimmter Maßnahmen der Norm GOST R 57580 erfordern. Wir listen sie auf:
- Vorschrift Nr. 683-P „Zur Festlegung von Anforderungen an Kreditinstitute zum Schutz von Informationen bei Bankgeschäften zur Abwehr von Geldtransfers ohne Zustimmung des Kunden“.
- Verordnung Nr. 684-P über die Festlegung von Anforderungen an Nichtkreditinstitute zur Gewährleistung des Informationsschutzes bei der Ausübung von Tätigkeiten auf dem Gebiet der Finanzmärkte, um der Durchführung illegaler Finanztransaktionen entgegenzuwirken.
- Vorschrift Nr. 672-P „Über Anforderungen zum Schutz von Informationen im Zahlungssystem der Bank von Russland“.
Ich möchte auch den Befehl des russischen Kommunikationsministeriums erwähnen: „Bei der Genehmigung des Verfahrens zur Verarbeitung, einschließlich der Erhebung und Speicherung biometrischer personenbezogener Daten zur Identifizierung, des Verfahrens zur Platzierung und Aktualisierung biometrischer personenbezogener Daten in einem einzigen biometrischen System sowie der Anforderungen an Informationstechnologien und technische Mittel für Verarbeitung biometrischer personenbezogener Daten zur Durchführung der Identifizierung “, die auch Anforderungen an die Banken hinsichtlich der Umsetzung von GOST-Maßnahmen bei Arbeiten mit einem einzigen biometrischen System.
Es ist nicht zu übersehen, dass der Entwurf der neuen Verordnung (anstelle der Verordnung Nr. 382-P) "Über die Anforderungen zur Gewährleistung des Schutzes von Informationen bei Geldüberweisungen und das Verfahren für die Bank von Russland zur Überwachung der Einhaltung der Anforderungen zur Gewährleistung des Schutzes von Informationen bei Geldüberweisungen" an alle Stellen gerichtet ist Das nationale Zahlungssystem hat die Durchführung bestimmter GOST-Maßnahmen vorgeschrieben.
Offensichtlich wird die Struktur der nachfolgenden Dokumente der Zentralbank eine Bezugnahme auf GOST in Bezug auf organisatorische und technische Maßnahmen unter Berücksichtigung der Besonderheiten der Organisationen (Art und Umfang der Tätigkeit) beinhalten, während die Dokumente selbst technologische Maßnahmen aufzeigen, die die Besonderheiten der von den beaufsichtigten Geschäftsprozessen implementierten Geschäftsprozesse berücksichtigen. Bestehende Anforderungen decken bereits eine Vielzahl von Prozessen und Akteuren des Finanzsektors ab.
Was droht die Nichteinhaltung
Gemäß dem Bundesgesetz „Über die Zentralbank der Russischen Föderation (Bank of Russia)“ vom 10. Juli 2002, N 86-, kann die Nichteinhaltung der Anforderungen zur Aussetzung des Betriebs, zur Ersetzung der Geschäftsführung der Organisation, zu einer Geldstrafe von bis zu 0,1% des genehmigten Kapitals usw. führen. Jetzt haben die Teilnehmer (die Zentralbank und die beaufsichtigten Organisationen) jedoch keinen klaren Zusammenhang zwischen Verstößen gegen IS-Anforderungen und Strafen, und es gibt keine Möglichkeit, die entsprechenden Risiken einzuschätzen, das Budget für IS korrekt zuzuweisen usw. Der transparente Mechanismus bringt jedem offensichtliche Vorteile.
Die beobachteten Trends lassen den Schluss zu, dass die Zentralbank aktiv an dieser Aufgabe arbeitet und in den kommenden Jahren eine Reihe neuer Dokumente veröffentlicht werden. In diesem Zusammenhang möchte ich zunächst auf den Verordnungsentwurf der Bank von Russland „Zu den Anforderungen an das operationelle Risikomanagementsystem eines Kreditinstituts und einer Bankengruppe“ hinweisen, in dem Indikatoren für das IS-Risikomanagementsystem und Methoden zur Berechnung des zur Deckung von Verlusten erforderlichen Kapitals bekannt gegeben wurden von der Umsetzung des operationellen Risikos (mit einer eindeutigen Identifizierung des Risikos der Informationssicherheit).
Auf dem Ural-Forum wurden in den Präsentationen der Vertreter der Zentralbank die oben genannten Mechanismen zur Schaffung des wirtschaftlichen Interesses des Managements von Finanzinstituten an der Erhöhung der Informationssicherheit und der Betriebssicherheit aufgezeigt, insbesondere durch die Implementierung eines Risiko- und Kapitalmanagementsystems über ein Risikoprofil:
Die Struktur des Risikoprofils ergibt sich aus der Darstellung des Vertreters der ZentralbankWie Sie sehen, ist der Schlüssel (und einer der offensichtlichsten) der Indikator für die Bewertung der Einhaltung der GOST-Anforderungen.
Zusammenfassend: Bei Nichteinhaltung der GOST wird die Regulierungsbehörde auf transparente Weise die Schuldigen zur Erhebung zusätzlicher Rückstellungen zwingen (und dies zusätzlich zu möglichen Bußgeldern und sonstigen Maßnahmen gemäß Artikel 74 Nr. 86-FZ). Und da die Umsetzung der GOST-Anforderungen lange dauert, werden diese Sanktionen die wirtschaftliche Leistung der Organisation erheblich beeinträchtigen.
Automatisierung und Steuerung
Wenn die Anforderungen der Regulierungsbehörde erfüllt werden, kann die Organisation auf das klassische Problem der Kontrollhäufigkeit stoßen, wenn zwischen Audits (besonders relevant für Organisationen, in denen ständig Änderungen stattfinden) eine gravierende Änderung der Infrastruktur und der Prozesse möglich ist.
In Ermangelung eines straffen laufenden Compliance-Management-Prozesses kann sich beim nächsten Audit herausstellen, dass die Systeme verbessert und Maßnahmen umgesetzt werden müssen (hier können zusätzliche Reserven hinzugefügt werden, bis die Probleme behoben sind). Ganz zu schweigen davon, dass das Problem bei der Umsetzung von Maßnahmen zur tatsächlichen Umsetzung der Informationssicherheitsrisiken selbst und zu direkten Verlusten führen kann.
Es ist offensichtlich, dass mit der Entwicklung der Regulierungsfunktion staatlicher Institutionen eine Automatisierung der Compliance-Prozesse erforderlich ist, um die Teilnehmer im Kredit- und Finanzsektor ständig zu überwachen. Die Implementierung geeigneter Automatisierungslösungen wird das Problem der ständigen Überwachung der IS-Risiken und der Einhaltung der Anforderungen lösen, die Kosten für Audits vereinfachen und senken und dazu beitragen, Prioritäten bei der Reaktion auf Probleme zu setzen. Diese Entscheidung ist im Hinblick auf die Anforderungen der Regulierungsbehörde wirtschaftlicher als je zuvor zu rechtfertigen und in der Praxis für erforderlich zu halten:
Vision von Sicherheitsmanagementsystemen von Security VisionZwei in Banken der TOP-10 getestete und bewährte Produkte der Firma "Intelligent Security" (Marke Security Vision) setzen die Anforderungen der Aufsichtsbehörde voll um. Nämlich:
1. Security Vision Cyber Risk System - soll sicherstellen, dass die Anforderungen des Verordnungsentwurfs der Bank von Russland „Zu den Anforderungen an das operationelle Risikomanagementsystem eines Kreditinstituts und einer Bankengruppe“ erfüllt werden.
2. Security Vision SGRC - soll die Informationssicherheitsprozesse der Bank automatisieren. Das Produkt automatisiert sowohl klassische Informationssicherheitsprozesse wie Audits, Risiken, Vorfälle, Schwachstellen, Dokumente, Compliance als auch interessante Neuheiten im Bereich Compliance-Management. Insbesondere wurden Maßnahmen ergriffen, um auf die Themen Auto-Compliance, Automatisierung der Einhaltung der wichtigsten Normen und Standards zuzugreifen:
- Automatische Einhaltung von GOST R 57580, Allgemeine Datenschutzverordnung (DSGVO);
- Erfüllung der Anforderungen von FZ-187 „Zur Sicherheit der kritischen Informationsinfrastruktur der Russischen Föderation“;
- Interaktion mit FinCERT / NCCCC;
- Auto-Compliance mit den für das Unternehmen geltenden Standards und behördlichen Anforderungen (ISO, Federal Law, STP);
- Weitergabe von Informationen an den externen Wirtschaftsprüfer - das Büro des Wirtschaftsprüfers.