+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Что подготовить к проверке Банка России по защите информации (информационной безопасности) в 2020 году?

Что подготовить к проверке Банка России по защите информацииИнформационная безопасность в банковской сфере регулируется системой ее обеспечения, которая представляет собой достаточно сложную структуру. Так, в состав системы обеспечения информационной безопасности входит совокупность защитных мер и средств, процессы их эксплуатации, включая ресурсное и административное (организационное) обеспечение, равно как и создание, реализация, эксплуатация, мониторинг, анализ, поддержка и совершенствование этой системы.

Контроль деятельности Банка в рамках проверки также осуществляется по данным требованиям, а это огромное количество документов.

Но бывают ситуации, когда сроки подготовки к проверке не позволяют разработать, утвердить, ввести в действие и реализовать полный комплект документации и технических мер. Как быть в таких ситуациях?

В первую очередь необходимо определить минимальный перечень мероприятий, которые необходимо выполнить немедленно.

Остановимся подробнее на том, что нужно перепроверить в обязательном порядке.

Выполнение каких требований проверяет ЦБ по защите информации?

На такой вопрос проще всего ответить – все требования. Но это вряд ли устроит руководителя подразделения информационной безопасности, который ожидает проверку через две недели. Тем не менее, нужно перечислить основные направления, которым придется уделить особое внимание:

Выполнение каких требований проверяет ЦБ по защите информации

  • Положение Банка России № 382-П от 09.07.2012 г. Подробнее в статье «Оценка соответствия по 382-П»;
  • Единая биометрическая система (большой набор критериев, начиная от регламентации работы с персональными данными и заканчивая эксплуатационной документацией). Подробнее в статье «Оценка соответствия ЕБС в банке»;
  • Лицензирование и сертификация (ФСТЭК и ФСБ), а именно неизменность условий эксплуатации и соответствия лицензиям;
  • Средства защиты информации, используемые банком, в том числе и средства криптографической защиты информации;
  • ИТ-инфраструктура банка;
  • Неизменность условий аттестата соответствия требованиям информационной безопасности при работе со сведениями, составляющими государственную тайну/конфиденциальную информацию (если таковые имеются).

 

Чек-лист для самопроверки перед плановой проверкой Центробанка

Чек-лист для самопроверкиДля того, чтобы не запутаться, не впасть в отчаянье, не паниковать и не совершать необдуманных действий, необходимо четко спланировать график проверки основных и критичных направлений, плановые даты проведения и оперативное устранение. В этом нам поможет чек-лист (или как говорят пилоты «контрольная карта, она же — карта обязательных проверок»).

1. Проверить актуальность документации имеющихся в подразделениях Информационной Безопасности, а также в подразделениях Информационных Технологий.
Имеются ли в Банке утвержденные, актуализированные должностные инструкции, положения о подразделениях, приказы о назначении ответственных лиц, назначении Администраторов систем, назначении Администраторов Информационной безопасности, кадровые документы на сотрудников (приказы, трудовые договоры, дополнительные соглашения, различные соглашения и т.д.)?

2. Проверить актуальность схемы сети Банка с подробным указанием контуров, сегментов, оборудования и информационных потоков.

Схема сети должна быть в обязательном порядке максимально подробной и соответствовать действительному положению дел.

Схема сети должна быть, ибо без нее Вы не сможете владеть полной обстановкой и обеспечивать защиту информации в полном объеме, так как будет непонятно что и как защищать. Не будет лишним на схеме отразить расположение автоматизированных рабочих мест, серверов, межсетевых экранов, коммутационное оборудование, номера подсетей, а также различные средства защиты информации.

3. Проверить перечни объектов информационной инфраструктуры (в терминах 382-П) и средств защиты информации, а также лицензии, сертификаты и эксплуатационную документацию на них.

Данный пункт частично можно отнести к предыдущему пункту. Но если в Банке имеются больше двух-трех офисов, то отразить на одной схеме все элементы просто физически не получится.

Фактически должен быть актуальный перечень всех ИТ-систем, сервисов и оборудования Банка, включая средства защиты, в том числе средства криптографической защиты информации.

Обязательно описание в нормативных документах в соответствующем контексте, либо в определенных регламентах в части касающейся. Описание может быть небольшим: цели использования, решаемые задачи, функциональные особенности, периодичность проверки и внесение изменений. Особое внимание следует уделить таким системам, как: SIEM, DLP, Фрод-мониторинг.

4. Проверить наличие договоров с аутсорсерами, аудиторами и прочими подрядчиками по направлению ИБ.

Про данный пункт чек-листа очень часто забывают, но предоставить подтверждающие документы, что работы проводились, все-таки придется. Банк России должен удостовериться в том, что отчет по результатам оценки соответствия требованиям Положения 382-П или по тестированию на проникновение (пентесту), либо по другим различным критериям, не из воздуха появился и не был написан на коленке сотрудником подразделения информационной безопасности, а был выполнен проверяющей организацией, имеющей на это полномочия и соответствующие лицензии.

5. Проверить документы по управлению инцидентами информационной безопасности.

Как минимум Положение/Частную политику по менеджменту инцидентов информационной безопасности, регламенты (факты выявления, реагирования, заседания различных комиссий, комитетов, принятые решения, применение дисциплинарных взысканий в отношении виновных сотрудников и т.д.), актуальность инструкций для сотрудников, а также соответствующие приказы, журналы, формы отчетности по инцидентам (форма по ОКУД 0403203).

6. Проверить документацию по сегменту ЕБС и быть готовым давать разъяснения.

Если сегмент ЕБС не запущен в эксплуатацию, то требуется объяснить причины, подготовить план внедрения и, в целом, быть готовым дать исчерпывающие объяснения по теме. В обязательном порядке уметь ориентироваться в Методических рекомендациях Центрального Банка России от 02.02.2017 № 4-МР «О повышении внимания кредитных организаций к отдельным операциям клиентов» и Приказе Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязи) от 25 июня 2018 г. № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
В случае, если сегмент ЕБС введен в эксплуатацию и функционирует, то необходимо проверить наличие всех регламентирующих документов по работе с ЕБС, они необходимы для прохождения аудита сегмента ЕБС по ГОСТ 57580.1-2017.

7. Подготовить лицензии ФСБ и ФСТЭК (при наличии) и быть готовым предоставить документацию, подготовленную в рамках соискателей лицензий.

8. Проверить наличие и актуальность перечня систем объектов информационной инфраструктуры, задействованных в переводе денежных средств, включая регламенты работы с ними и описание функциональных особенностей.

9. Проверить наличие договора по тестированию на проникновение и отчет по его результатам.

10. Подготовить план устранения недостатков и повышения оценки соответствия.

По результатам предыдущей оценки соответствия необходимо разработать План устранения недостатков, выявленных в ходе проведения оценки соответствия Положению Банка России 382-П  и повышения оценки соответствия (если таковой План не разрабатывался). Отметить в нем те мероприятия, которые уже выполнены. При наличии такого Плана устранения недостатков регламентируется порядок принятия мер, направленных на совершенствование защиты информации при осуществлении переводов денежных средств, в случаях выявления недостатков при проведении оценки соответствия (п. 2.17. Положения 382-П).

В случае, если оценка соответствия оказалась ниже значения «0,5», то нужно быть готовым объяснить объективные причины и предоставить указанный выше План.

11. Подготовить пояснения по инцидентам, которые направлялись установленным порядком в Банк России, а также всю связанную документацию (материалы расследования, акты, протоколы, приказы, объяснительные, технические заключения и т.д.).

12. При наличии аттестата соответствия требованиям информационной безопасности при работе со сведениями, составляющими государственную тайну/конфиденциальную информацию, проверить наличие документации, а также условия эксплуатации в соответствии с требованиями соответствующих нормативных документов.

Данный перечень для самопроверки является минимальным и ни в коем случае не является достаточным. Однако для подготовки к проверке ЦБ по информационной безопасности будет полезен.

RTM Group всегда на связи, обращайтесь!

Дмитрий Кобец
Эксперт RTM Group

 

Вопрос-ответ

Бесплатная онлайн юридическая консультация по оценке соответствия по 382-П

Задайте вопрос бесплатно и получите ответ эксперта

logo RTM Group

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку персональных данных.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Связанные услуги

Оценка соответствия (аудит) ЕБС в банке

Оценка соответствия (аудит) ЕБС в банке

- На соответствие чему оценивается сегмент ЕБС?
- Оценка соответствия по ЕБС
- Почему RTM Group?
- Цена работ по ЕБС для банков
- Заказать работы по аудиту ЕБС

Оценка соответствия по 382-П

Оценка соответствия по 382-П

- Скачать актуальную редакцию 382-П
- Что необходимо для проведения оценки соответствия по 382-П?
- Как проводится оценка соответствия по 382-П?
- Что включает в себя отчет по 382-П?
- Дополнительные услуги по 382-П
- Почему RTM Group?
- Цены
- Заказать аудит по 382-П

Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

- Основные понятия
- Помощь в самооценке
- Заказать помощь в проведении самооценки по ГОСТ 57580

Тест на проникновение (пентест) и анализ уязвимостей

Тест на проникновение (пентест) и анализ уязвимостей

- Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
- Пример технического задания на проведение пентеста по 382-П, 683-П, 684-П
- Почему RTM Group?
- Цена проведения пентеста

Экспертиза информационной безопасности в банках

Экспертиза информационной безопасности в банках

— Наиболее значимые требования к обеспечению защиты информации в банках
— Какие последствия предусмотрены законодательством в случае нарушения 382-П?
— Позиция банков в судебных спорах с клиентами