Après l'introduction de GOST R 57580.1-2017 «Sécurité des opérations financières (bancaires). Protection des informations des organisations financières. La structure de base des mesures organisationnelles et techniques »et GOST R 57580.2-2018« Sécurité des opérations financières (bancaires). Protection des informations des organisations financières. Méthodologie d'évaluation de la conformité »Les acteurs du marché des SI ont rapidement constitué un ensemble de services connexes pour l'audit et l'harmonisation des mesures. Dans de nombreuses publications d'experts en sécurité de l'information, vous pouvez vous familiariser avec une analyse détaillée de ces normes, vous renseigner sur les exigences ambiguës et leur interprétation, y compris la Banque centrale de la Fédération de Russie. Cette activité a été développée parallèlement à l'émission par le principal régulateur de la sphère financière et financière russe d'actes juridiques réglementaires, où la mise en œuvre de certaines mesures GOST est déjà une exigence. Examinez ces documents plus en détail ...
Le paysage
Ainsi, la Banque centrale de la Fédération de Russie a publié un certain nombre de documents nécessitant la mise en œuvre de certaines mesures de la norme GOST R 57580. Nous les énumérons:
- Règlement n ° 683-P «Sur la détermination des exigences imposées aux établissements de crédit pour protéger les informations dans les activités bancaires afin de lutter contre les transferts d'argent sans le consentement du client».
- Règlement n ° 684-P «établissant des exigences pour les organisations financières non financières afin d'assurer la protection des informations dans l'exercice des activités dans le domaine des marchés financiers afin de contrecarrer la mise en œuvre d'opérations financières illégales»
- Règlement n ° 672-P «sur les exigences de protection des informations dans le système de paiement de la Banque de Russie».
Je voudrais également mentionner l'Ordonnance du Ministère des communications de la Russie «sur l'approbation de la procédure de traitement, y compris la collecte et le stockage, des paramètres de données personnelles biométriques pour l'identification, la procédure de placement et de mise à jour des données personnelles biométriques dans un seul système biométrique, ainsi que les exigences en matière de technologies de l'information et de moyens techniques destinés à traitement des données personnelles biométriques afin de procéder à l'identification », qui introduit également des exigences pour les banques concernant la mise en œuvre des mesures GOST lorsque Travailler avec un seul système biométrique.
Il est impossible d'ignorer le projet de nouveau (au lieu du règlement n ° 382-P) du règlement "sur les exigences pour assurer la protection des informations lors des transferts d'argent et la procédure pour la Banque de Russie pour contrôler le respect des exigences pour assurer la protection des informations lors des transferts d'argent", où à toutes les entités le système de paiement national a prescrit la mise en œuvre de certaines mesures GOST.
De toute évidence, la structure des documents ultérieurs de la Banque centrale impliquera une référence à GOST en termes de mesures organisationnelles et techniques, en tenant compte des spécificités des organisations (nature et ampleur de l'activité), tandis que les documents eux-mêmes montreront des mesures technologiques qui tiennent compte des particularités des processus opérationnels mis en œuvre par les entités supervisées. Les exigences existantes couvrent déjà un grand nombre de processus et d'acteurs du secteur financier.
Ce qui menace la non-conformité
Conformément à la loi fédérale sur la banque centrale de la Fédération de Russie (Banque de Russie) du 10 juillet 2002 N 86-, le non-respect des exigences peut entraîner la suspension des opérations, le remplacement de la direction de l'organisation, une amende pouvant aller jusqu'à 0,1% du capital autorisé, etc. Cependant, maintenant les participants (la Banque centrale et les organisations supervisées) n'ont pas de lien clair entre les violations des exigences et les sanctions du SI, et il n'y a aucun moyen d'évaluer les risques correspondants, d'affecter correctement le budget du SI, etc. Le mécanisme transparent apportera des avantages évidents à tous.
Les tendances observées nous permettent de conclure que la Banque centrale travaille activement à cette tâche et que dans les années à venir, un certain nombre de nouveaux documents seront publiés. Dans ce contexte, je voudrais tout d'abord attirer l'attention sur le projet de règlement de la Banque de Russie «Sur les exigences du système de gestion des risques opérationnels dans un établissement de crédit et un groupe bancaire», qui annonçait des ensembles d'indicateurs du système de gestion des risques SI et des méthodes de calcul du capital requis pour couvrir les pertes de la mise en œuvre du risque opérationnel (avec une identification claire du risque de sécurité de l'information).
Lors du Forum de l'Oural, dans les présentations des représentants de la Banque centrale, les mécanismes ci-dessus pour créer l'intérêt économique de la direction des institutions financières pour augmenter le niveau de sécurité de l'information et de fiabilité opérationnelle ont été indiqués, notamment, par la mise en œuvre d'un système de gestion des risques et du capital à travers un profil de risque:
La structure du profil de risque de la présentation du représentant de la Banque centraleComme vous pouvez le voir, la clé (et l'une des plus évidentes) est l'indicateur de l'évaluation de la conformité aux exigences GOST.
En résumé: en cas de non-respect de GOST, le régulateur obligera de manière transparente le coupable à facturer des réserves supplémentaires (et ce, en plus d'éventuelles amendes et autres mesures conformément à l'article 74 n ° 86-FZ). Et comme la mise en œuvre des exigences GOST prend beaucoup de temps, ces sanctions affecteront sérieusement les performances économiques de l'organisation.
Automatisation et contrôle
Lorsqu'elle satisfait aux exigences du régulateur, l'organisation peut rencontrer le problème classique de la fréquence du contrôle, lorsqu'entre les audits (particulièrement pertinent pour les organisations où des changements se produisent constamment), un changement sérieux dans l'infrastructure et les processus est possible.
En l'absence d'un processus de gestion de la conformité continu rationalisé, lors du prochain audit, il peut s'avérer que les systèmes doivent être améliorés et mettre en œuvre des mesures (c'est là que des réserves supplémentaires peuvent être ajoutées jusqu'à ce que les problèmes soient résolus). Sans oublier que le problème de la mise en œuvre des mesures peut conduire à la mise en œuvre effective des risques de sécurité de l'information eux-mêmes et des pertes directes.
De toute évidence, avec le développement de la fonction de régulation des institutions publiques, il est nécessaire d'automatiser les processus de conformité afin de surveiller en permanence les acteurs du secteur financier et du crédit. La mise en œuvre de solutions d'automatisation appropriées résoudra le problème de la surveillance constante des risques SI et du respect des exigences, simplifiera et réduira le coût des audits et aidera à établir correctement les priorités lors de la réponse aux problèmes. Cette décision est devenue plus facile que jamais à justifier économiquement, au regard des exigences du régulateur, et à voir son besoin en pratique:
Vision des systèmes de gestion de la sécurité de Security VisionDeux produits de la société "Intelligent Security" (marque Security Vision), testés et éprouvés dans les banques du TOP-10, mettent pleinement en œuvre les exigences du régulateur. À savoir:
1. Security Vision Cyber Risk System - vise à garantir le respect des exigences du projet de règlement de la Banque de Russie «Sur les exigences relatives au système de gestion des risques opérationnels dans un établissement de crédit et un groupe bancaire».
2. Vision de sécurité SGRC - visant à automatiser les processus de sécurité de l'information de la Banque. Le produit automatise à la fois les processus classiques de sécurité de l'information, tels que les audits, les risques, les incidents, les vulnérabilités, les documents, la conformité - ainsi que de nouveaux éléments intéressants dans le domaine de la gestion de la conformité. En particulier, des mesures ont été prises pour passer aux questions de l'auto-conformité, l'automatisation de la conformité aux normes et standards les plus importants:
- Conformité automatique avec GOST R 57580, Règlement général sur la protection des données (RGPD);
- Satisfaction des exigences du FZ-187 «Sur la sécurité des infrastructures d'information critiques de la Fédération de Russie»;
- Interaction avec FinCERT / NCCCC;
- Auto-conformité aux normes et exigences réglementaires applicables à l'entreprise (ISO, loi fédérale, STP);
- Fournir des informations à l'auditeur externe - le bureau de l'auditeur.