Após a introdução do GOST R 57580.1-2017, “Segurança das operações financeiras (bancárias). Proteção de informações de organizações financeiras. A estrutura básica de medidas organizacionais e técnicas ”e GOST R 57580.2-2018“ Segurança de operações financeiras (bancárias). Proteção de informações de organizações financeiras. Metodologia de avaliação da conformidade »Os participantes do mercado de SI formaram rapidamente um pacote de serviços relacionados para auditoria e harmonização de medidas. Em várias publicações de especialistas em segurança da informação, você pode se familiarizar com uma análise detalhada desses padrões, aprender sobre requisitos ambíguos e sua interpretação, incluindo o Banco Central da Federação Russa. Essa atividade foi desenvolvida em conjunto com a emissão pelo principal regulador da esfera de crédito e financeira da Rússia de atos jurídicos regulatórios, onde a implementação de determinadas medidas GOST já é um requisito. Considere estes documentos em mais detalhes ...
A paisagem
Portanto, o Banco Central da Federação Russa emitiu uma série de documentos exigindo a implementação de certas medidas da norma GOST R 57580. Listamos-as:
- Regulamento No. 683-P "Sobre o estabelecimento de requisitos para instituições de crédito protegerem informações em atividades bancárias, a fim de neutralizar transferências de dinheiro sem o consentimento do cliente".
- Regulamento nº 684-P “Sobre o Estabelecimento de Requisitos para Organizações Financeiras sem Crédito para Garantir a Proteção de Informações no Desempenho das Atividades no Campo de Mercados Financeiros, a fim de neutralizar a implementação de transações financeiras ilegais”.
- Regulamento nº 672-P “Sobre requisitos para a proteção de informações no sistema de pagamento do Banco da Rússia”.
Gostaria também de mencionar a Ordem do Ministério das Comunicações da Rússia: “Aprovar o procedimento de processamento, incluindo a coleta e o armazenamento de parâmetros biométricos de dados pessoais para identificação, o procedimento de colocação e atualização de dados pessoais biométricos em um único sistema biométrico, bem como os requisitos de tecnologias da informação e meios técnicos destinados a processamento de dados pessoais biométricos para realizar a identificação ”, que também introduz requisitos para os bancos quanto à implementação das medidas GOST quando Trabalhando com um único sistema biométrico.
É impossível ignorar o projeto de novo (em vez do Regulamento nº 382-P) do Regulamento “Sobre os requisitos para garantir a proteção das informações ao fazer transferências de dinheiro e o procedimento para o Banco da Rússia monitorar o cumprimento dos requisitos para garantir a proteção das informações ao fazer transferências de dinheiro”, onde todas as entidades sistema nacional de pagamentos prescreveu a implementação de certas medidas GOST.
Obviamente, a estrutura dos documentos subsequentes do Banco Central implicará uma referência ao GOST em termos de medidas organizacionais e técnicas, levando em consideração as especificidades das organizações (natureza e escala de atividade), enquanto os próprios documentos mostrarão medidas tecnológicas que levam em consideração as peculiaridades dos processos de negócios implementados pelos supervisionados. Os requisitos existentes já abrangem um grande número de processos e participantes no setor financeiro.
O que ameaça a não conformidade
De acordo com a Lei Federal “No Banco Central da Federação Russa (Banco da Rússia)” de 10 de julho de 2002 N 86-, o não cumprimento dos requisitos pode levar à suspensão das operações, substituição da administração da organização, multa de até 0,1% do capital autorizado, etc. No entanto, agora os participantes (o Banco Central e as organizações supervisionadas) não têm uma conexão clara entre violações dos requisitos e multas de SI, e não há como avaliar os riscos correspondentes, alocar corretamente o orçamento para SI, etc. O mecanismo transparente trará benefícios óbvios para todos.
As tendências observadas permitem concluir que o Banco Central está trabalhando ativamente nessa tarefa e, nos próximos anos, vários novos documentos serão divulgados. Neste contexto, antes de mais, gostaria de chamar a atenção para o projeto de regulamento do Banco da Rússia “Sobre os requisitos para o sistema de gerenciamento de risco operacional em uma instituição de crédito e grupo bancário”, que anunciou conjuntos de indicadores do sistema de gerenciamento de risco de SI e métodos para calcular o capital necessário para cobrir perdas desde a implementação do risco operacional (com uma identificação clara do risco de segurança da informação).
No Fórum Ural, nas apresentações dos representantes do Banco Central, os mecanismos acima mencionados para criar o interesse econômico da administração das instituições financeiras em aumentar o nível de segurança da informação e confiabilidade operacional foram indicados, em particular, pela implementação de um sistema de gerenciamento de risco e capital por meio de um perfil de risco:
A estrutura do perfil de risco da apresentação do representante do Banco CentralComo você pode ver, a chave (e uma das mais óbvias) é o indicador da avaliação da conformidade com os requisitos do GOST.
Resumindo: em caso de não cumprimento do GOST, o regulador de maneira transparente forçará o culpado a cobrar reservas adicionais (e isso, além de possíveis multas e outras medidas de acordo com o Artigo 74 Nº 86-FZ). E como a implementação dos requisitos do GOST leva muito tempo, essas sanções afetam seriamente o desempenho econômico da organização.
Automação e controle
Ao atender aos requisitos do regulador, a organização pode encontrar o problema clássico da frequência de controle, quando entre auditorias (especialmente relevantes para organizações onde ocorrem mudanças constantemente), é possível uma mudança séria na infraestrutura e nos processos.
Na ausência de um processo contínuo de gerenciamento de conformidade, durante a próxima auditoria, pode ser que os sistemas precisem melhorar e implementar medidas (é aqui que reservas adicionais podem ser adicionadas até que os problemas sejam resolvidos). Sem mencionar que o problema com a implementação de medidas pode levar à implementação real dos próprios riscos à segurança da informação e a perdas diretas.
Obviamente, com o desenvolvimento da função regulatória das instituições estatais, é necessário automatizar os processos de Compliance para monitorar constantemente os participantes do setor financeiro. A implementação de soluções de automação apropriadas resolverá o problema do monitoramento constante dos riscos de SI e da conformidade com os requisitos, simplificará e reduzirá o custo das auditorias e ajudará a priorizar corretamente a resposta aos problemas. Essa decisão tornou-se mais fácil do que nunca para justificar economicamente, tendo em vista os requisitos do regulador, e ver sua necessidade na prática:
Visão dos sistemas de gerenciamento de segurança da Security VisionDois produtos da empresa "Intelligent Security" (marca Security Vision), testados e comprovados em bancos do TOP-10, implementam totalmente os requisitos do regulador. Ou seja:
1. Sistema de Risco Cibernético da Visão de Segurança - visa garantir a conformidade com os requisitos do projeto de regulamento do Banco da Rússia “Sobre os requisitos para o sistema de gerenciamento de risco operacional em uma instituição de crédito e grupo bancário”.
2. Visão de Segurança SGRC - visa automatizar os processos de segurança da informação do Banco. O produto automatiza os processos clássicos de segurança da informação, como auditorias, riscos, incidentes, vulnerabilidades, documentos, conformidade - e também novos itens interessantes no campo do gerenciamento de conformidade. Em particular, foram tomadas medidas para avançar para as questões de conformidade automática, automação da conformidade com as normas e padrões mais importantes:
- Auto-conformidade com GOST R 57580, Regulamento Geral de Proteção de Dados (GDPR);
- Cumprimento dos requisitos da FZ-187 "Sobre a segurança da infraestrutura de informações críticas da Federação Russa";
- Interação com FinCERT / NCCCC;
- Auto-conformidade com padrões e requisitos regulatórios aplicáveis à empresa (ISO, Lei Federal, STP);
- Fornecer informações ao auditor externo - o escritório do auditor.