Setelah pengenalan GOST R 57580.1-2017 “Keamanan operasi keuangan (perbankan). Perlindungan informasi organisasi keuangan. Struktur dasar dari langkah-langkah organisasi dan teknis "dan GOST R 57580.2-2018" Keamanan operasi keuangan (perbankan). Perlindungan informasi organisasi keuangan. Metodologi penilaian kesesuaian »IS pelaku pasar dengan cepat membentuk paket layanan terkait untuk audit dan harmonisasi tindakan. Dalam berbagai publikasi oleh para pakar keamanan informasi, Anda dapat membiasakan diri dengan analisis terperinci dari standar-standar ini, belajar tentang persyaratan yang tidak jelas dan interpretasinya, termasuk Bank Sentral Federasi Rusia. Kegiatan ini dikembangkan lebih lanjut bersama dengan penerbitan oleh regulator utama kredit Rusia dan bidang keuangan dari tindakan hukum regulatori, di mana implementasi langkah-langkah GOST tertentu sudah menjadi persyaratan. Pertimbangkan dokumen-dokumen ini secara lebih rinci ...
Bentang alam
Jadi, Bank Sentral Federasi Rusia telah mengeluarkan sejumlah dokumen yang mensyaratkan penerapan langkah-langkah tertentu dari standar GOST R 57580. Kami mencantumkannya:
- Peraturan No. 683-P "Tentang Pembentukan Persyaratan untuk Lembaga Kredit untuk Melindungi Informasi dalam Kegiatan Perbankan untuk Menangkal Transfer Uang tanpa persetujuan Klien".
- Peraturan No. 684-P "Tentang Pembentukan Persyaratan untuk Organisasi Keuangan Non-Kredit untuk Memastikan Perlindungan Informasi dalam Kinerja Kegiatan di Bidang Pasar Keuangan untuk Menangkal Implementasi Transaksi Keuangan Ilegal".
- Peraturan No. 672-P "Tentang persyaratan untuk perlindungan informasi dalam sistem pembayaran Bank Rusia".
Saya juga ingin menyebutkan Orde Kementerian Komunikasi Rusia “Atas persetujuan prosedur pemrosesan, termasuk pengumpulan dan penyimpanan, parameter data pribadi biometrik untuk identifikasi, prosedur untuk menempatkan dan memperbarui data pribadi biometrik dalam sistem biometrik tunggal, serta persyaratan untuk teknologi informasi dan sarana teknis yang dimaksudkan untuk pemrosesan data pribadi biometrik untuk melakukan identifikasi ”, yang juga memperkenalkan persyaratan bagi bank mengenai penerapan tindakan GOST saat Bekerja dengan sistem biometrik tunggal.
Tidak mungkin untuk mengabaikan rancangan baru (bukan Peraturan No. 382-P) dari Peraturan "Pada persyaratan untuk memastikan perlindungan informasi ketika melakukan transfer uang dan prosedur untuk Bank Rusia untuk memantau kepatuhan dengan persyaratan untuk memastikan perlindungan informasi ketika membuat transfer uang", di mana untuk semua entitas sistem pembayaran nasional menentukan penerapan langkah-langkah GOST tertentu.
Jelas, struktur dokumen Bank Sentral berikutnya akan menyiratkan referensi ke GOST dalam hal langkah-langkah organisasi dan teknis, dengan mempertimbangkan spesifikasi organisasi (sifat dan skala kegiatan), sementara dokumen itu sendiri akan menunjukkan langkah-langkah teknologi yang memperhitungkan kekhasan proses bisnis yang diterapkan oleh yang diawasi. Persyaratan yang ada sudah mencakup sejumlah besar proses dan peserta di sektor keuangan.
Apa yang mengancam ketidakpatuhan
Sesuai dengan Undang-Undang Federal "Di Bank Sentral Federasi Rusia (Bank Rusia)" tanggal 10 Juli 2002 N 86-, ketidakpatuhan terhadap persyaratan dapat menyebabkan penangguhan operasi, penggantian manajemen organisasi, denda hingga 0,1% dari modal dasar, dll. Namun, sekarang para peserta (Bank Sentral dan organisasi yang diawasi) tidak memiliki hubungan yang jelas antara pelanggaran persyaratan IS dan hukuman, dan tidak ada cara untuk menilai risiko yang sesuai, mengalokasikan anggaran untuk IS dengan benar, dll. Mekanisme transparan akan membawa manfaat nyata bagi semua orang.
Tren yang diamati memungkinkan kita untuk menyimpulkan bahwa Bank Sentral secara aktif mengerjakan tugas ini dan di tahun-tahun mendatang sejumlah dokumen baru akan dirilis. Dalam konteks ini, pertama-tama, saya ingin menarik perhatian pada rancangan Peraturan Bank Rusia "Pada persyaratan untuk sistem manajemen risiko operasional di lembaga kredit dan kelompok perbankan," yang mengumumkan serangkaian indikator sistem manajemen risiko IS dan metode untuk menghitung modal yang diperlukan untuk menutupi kerugian. dari penerapan risiko operasional (dengan identifikasi risiko keamanan informasi yang jelas).
Di Forum Ural, dalam presentasi perwakilan Bank Sentral, mekanisme di atas untuk menciptakan kepentingan ekonomi manajemen lembaga keuangan dalam meningkatkan tingkat keamanan informasi dan keandalan operasional ditunjukkan, khususnya, dengan menerapkan sistem manajemen risiko dan modal melalui profil risiko:
Struktur profil risiko dari presentasi perwakilan Bank SentralSeperti yang Anda lihat, kuncinya (dan salah satu yang paling jelas) adalah indikator penilaian kepatuhan dengan persyaratan GOST.
Meringkas: dalam hal kegagalan untuk mematuhi GOST, regulator secara transparan akan memaksa bersalah untuk membebankan biaya tambahan (dan ini, di samping kemungkinan denda dan tindakan lain sesuai dengan Pasal 74 No. 86-FZ). Dan karena penerapan persyaratan GOST membutuhkan waktu lama, sanksi ini akan sangat memengaruhi kinerja ekonomi organisasi.
Otomatisasi dan kontrol
Ketika memenuhi persyaratan regulator, organisasi mungkin menghadapi masalah klasik dari frekuensi kontrol, ketika di antara audit (terutama yang relevan untuk organisasi di mana perubahan terus-menerus terjadi), perubahan serius dalam infrastruktur dan proses dimungkinkan.
Dengan tidak adanya proses manajemen kepatuhan berkelanjutan yang disederhanakan, selama audit berikutnya, mungkin ternyata sistem membutuhkan perbaikan dan implementasi langkah-langkah (ini adalah di mana cadangan tambahan dapat ditambahkan sampai masalah diperbaiki). Belum lagi bahwa masalah dengan implementasi tindakan dapat mengarah pada implementasi aktual dari risiko keamanan informasi itu sendiri dan kerugian langsung.
Jelas, dengan pengembangan fungsi pengaturan lembaga negara, ada kebutuhan untuk otomatisasi proses Kepatuhan untuk terus memantau para peserta di sektor kredit dan keuangan. Penerapan solusi otomasi yang tepat akan menyelesaikan masalah pemantauan risiko IS dan kepatuhan terhadap persyaratan, menyederhanakan dan mengurangi biaya audit, dan membantu memprioritaskan dengan benar ketika merespons masalah. Keputusan ini menjadi lebih mudah dari sebelumnya untuk dibenarkan secara ekonomi, mengingat persyaratan regulator, dan melihat kebutuhannya dalam praktik:
Visi sistem manajemen keamanan dari Visi KeamananDua produk perusahaan "Keamanan Cerdas" (Visi Keamanan merek), diuji dan dibuktikan di bank-bank dari TOP-10, sepenuhnya menerapkan persyaratan regulator. Yaitu:
1. Visi Keamanan Sistem Risiko Maya - ditujukan untuk memastikan kepatuhan terhadap persyaratan rancangan Peraturan Bank Rusia "Tentang persyaratan untuk sistem manajemen risiko operasional di lembaga kredit dan kelompok perbankan".
2. Visi Keamanan SGRC - bertujuan untuk mengotomatisasi proses keamanan informasi Bank. Produk ini mengotomatiskan kedua proses keamanan informasi klasik, seperti audit, risiko, insiden, kerentanan, dokumen, kepatuhan - serta item baru yang menarik di bidang manajemen kepatuhan. Secara khusus, langkah-langkah diambil untuk pindah ke masalah Kepatuhan Otomatis, otomatisasi kepatuhan dengan norma dan standar paling penting:
- Kepatuhan otomatis dengan GOST R 57580, Peraturan Perlindungan Data Umum (GDPR);
- Pemenuhan persyaratan FZ-187 "Tentang keamanan infrastruktur informasi kritis Federasi Rusia";
- Interaksi dengan FinCERT / NCCCC;
- Kepatuhan otomatis dengan standar dan persyaratan peraturan yang berlaku untuk perusahaan (ISO, Hukum Federal, STP);
- Memberikan informasi kepada auditor eksternal - kantor auditor.