引入GOST R 57580.1-2017“金融(银行)运营的安全性。 保护金融机构的信息。 组织和技术措施的基本结构“以及GOST R 57580.2-2018”金融(银行)运营的安全性。 保护金融机构的信息。 合格评定方法»IS市场参与者迅速形成了一整套相关服务,用于审计和措施的统一。 在信息安全专家的大量出版物中,您可以熟悉这些标准的详细分析,了解含糊的要求及其解释,包括俄罗斯联邦中央银行。 随着俄罗斯信贷和金融领域的主要监管机构发布了监管法律行为,这项活动得到了进一步发展,在该领域中,必须实施某些GOST措施。 更详细地考虑这些文件...
风景
因此,俄罗斯联邦中央银行发布了许多文件,要求实施GOST R 57580标准的某些措施。我们将其列出:
- 第683-P号条例“关于建立信贷机构的要求,以保护银行活动中的信息,以便在未经客户同意的情况下阻止汇款”。
- 第684-P号条例,“关于建立非信贷金融组织的要求,以确保在金融市场领域的活动中保护信息,以打击非法金融交易的进行”
- 第672-P号条例“关于俄罗斯银行支付系统中信息保护的要求”。
我还要提及俄罗斯通信部的命令“关于批准用于识别的生物特征个人数据参数的处理程序(包括收集和存储),在单个生物特征系统中放置和更新生物特征个人数据的程序,以及针对信息技术和技术手段的要求,处理个人生物特征数据以进行识别”,这也为银行在实施GOST措施时提出了要求 与单一生物特征识别系统的工作。
对于所有实体,“关于在进行转账时确保信息保护的要求以及俄罗斯银行监督在进行转账时确保信息保护的要求的程序方面”的新草案(代替第382-P号法规)是不可忽视的国家支付系统规定了某些GOST措施的执行。
显然,中央银行后续文件的结构将暗示在组织和技术措施方面参考GOST,同时考虑到组织的具体特征(活动的性质和规模),而文件本身将显示技术措施,并考虑到受监管者所实施的业务流程的特殊性。 现有要求已经涵盖了金融部门的大量流程和参与者。
威胁不合规的因素
根据2002年7月10日N86-的《关于俄罗斯联邦中央银行(俄罗斯银行)的联邦法律》,不遵守这些要求可能会导致暂停运营,更换组织的管理层,最高处以法定资本0.1%的罚款等。 但是,现在参与者(中央银行和受监督的组织)在违反IS要求和处罚之间没有明确的联系,也无法评估相应的风险,正确分配IS预算等。 透明的机制将为每个人带来明显的好处。
观察到的趋势使我们得出结论,中央银行正在积极地完成这项任务,并且在未来几年中将发布许多新文件。 在这种情况下,首先,我要提请注意俄罗斯银行《关于信贷机构和银行集团的操作风险管理系统的要求》的法规草案,该草案宣布了一套IS风险管理体系的指标以及计算弥补亏损所需资本的方法实施操作风险(并明确识别信息安全风险)。
在乌拉尔论坛上,在中央银行代表的介绍中,特别指出了通过风险简介实施风险和资本管理系统来表明上述机制,以建立金融机构管理层在提高信息安全水平和运营可靠性方面的经济利益:
中央银行代表介绍的风险简介结构如您所见,关键(也是最显而易见的一项)是评估是否符合GOST要求的指标。
总结:在未遵守GOST的情况下,监管机构将以透明的方式强迫该罪名收取额外的准备金(以及根据第74-FZ条第74款可能的罚款和其他措施)。 而且由于实施GOST要求需要很长时间,因此这些制裁将严重影响组织的经济绩效。
自动化与控制
当满足监管机构的要求时,组织可能会遇到控制频率的经典问题,而在两次审核之间(尤其是与不断发生变化的组织相关),则可能会在基础架构和流程中进行重大更改。
如果没有简化的持续合规管理流程,则在下次审核期间,可能会发现系统需要改进和实施措施(在此之前,可以添加额外的储备金,直到问题解决为止)。 更不用说实施措施的问题可能会导致实际实施信息安全本身带来风险并造成直接损失。
显然,随着国家机构监管职能的发展,有必要对合规流程进行自动化,以便不断监控信贷和金融部门的参与者。 实施适当的自动化解决方案将解决不断监控IS风险和符合要求的问题,简化并减少审计成本,并有助于在响应问题时正确地确定优先级。 鉴于监管机构的要求,并在实践中看到其需要,这一决定变得比以往任何时候都更容易经济地证明其合理性:
来自安全愿景的安全管理系统愿景TOP-10银行中经过测试和验证的“ Intelligent Security”公司的两个产品(品牌Security Vision)完全满足了监管机构的要求。 即:
1.安全远景网络风险系统-旨在确保遵守俄罗斯银行《关于信贷机构和银行集团的操作风险管理系统的要求》法规草案的要求。
2.安全愿景SGRC-旨在实现银行信息安全流程的自动化。 该产品可以自动执行经典的信息安全流程,例如审计,风险,事件,漏洞,文档,合规性,以及合规性管理领域中有趣的新项目。 特别是,已采取措施来解决自动合规性问题,即自动遵守最重要的规范和标准的问题:
- 自动符合GOST R 57580,通用数据保护法规(GDPR);
- 满足FZ-187“关于俄罗斯联邦关键信息基础设施的安全性”的要求;
- 与FinCERT / NCCCC的互动;
- 自动遵守适用于公司的标准和法规要求(ISO,联邦法律,STP);
- 向外部审核员-审核员办公室提供信息。