Консалтинг в области ИБ

Обеспечение защиты информации НФО

Обеспечение защиты информации НФО
Обеспечим защиту информационных систем и данных финансовых организаций от различных угроз, включая кибератаки, взлом и утечку информации. Предлагаем комплекс мер, направленных на создание надежной системы безопасности в соответствии с положениями Центрального Банка.
Обеспечение защиты информации НФО

Почему финансовым организациям необходимо обеспечить безопасность информации?

Положение 757-П
Положение № 757-П вышло на замену Положения № 684-П, и устанавливает новые обязательные требования по защите информации для Некредитных Финансовых Организаций.

  • устанавливает обязательные для НФО требования по защите информации при осуществлении деятельности в сфере финансовых рынков
  • более конкретно обозначает особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора ИС, в которой осуществляется выпуск цифровых финансовых активов, а также оператора обмена таких активов
  • устанавливает дополнительные требования к порядку информирования Банка России
ГОСТ Р 57580

Национальный Стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» был разработан Центральным банком Российской Федерации. Стандарт определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, которые применяются различными организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

Ответственность
Для всех организаций, на которых распространяется действие Положения Центробанка № 757-П, выполнение требований обязательно. В случае несоблюдения требований этого нормативного акта, организация может понести административную ответственность по ст. 13.12 КоАП РФ, а также приостановку деятельности компании.
Требования для НФО

  • Обеспечение защиты информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых некредитной финансовой организацией
  • Проведение оценки соответствия уровня защиты информации согласно ГОСТ Р 57580.1-2017 с привлечением организации, имеющей компетенции и лицензию на проведение соответствующих мероприятий
  • Обеспечение защиты информации с помощью СКЗИ (63 ФЗ, 152 ФЗ, ПП 1119, ПКЗ-2005, Приказ ФСБ №378)
  • Осуществление защиты объектов информационной инфраструктуры в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017
  • Ежегодно определять уровень защиты информации
  • Обеспечение защиты электронных сообщений
  • Мониторинг событий и реагирования на инциденты
  • Информирование Банка России в необходимых случаях

Получите индивидуальное предложение
Этапы работ
Аудит соответствия требованиям 757-П
  1. Осуществляется сбор свидетельств (документы, технические данные и пр.)
  2. Анализируется организационно-распорядительная документация
  3. Анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации
  4. Проводится интервью с сотрудниками проверяемой организации
  5. Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости)
  6. Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности
Аудит по требованиям ГОСТ Р 57580
При выявлении несоответствия требованиям стандарта на этапе обследования специалисты по информационной безопасности немедленно сообщают об этом Заказчикам и предлагают оптимальные пути решения сложившейся ситуации.
  1. Анализ документации Заказчика по ИБ на предмет соответствия стандарту;

  2. Анализ системы защиты информации Заказчика на предмет соответствия стандарту (с технической стороны);

  3. Интервьюирование сотрудников;

  4. Проверка применяемых средств защиты информации на предмет соответствия стандарту

  5. Аудит по выбранной в результате анализа методике;

  6. Написание отчетной документации.

Оценка соответствия по ГОСТ Р 57580
  1. Изучение бизнес-процессов и внутренней нормативной документации клиента
  2. Анализ правильность и достаточность выполнения процессов ИБ
  3. Проведение интервью сотрудников в целях выявления, какие инструменты защиты информации реализованы в компании
  4. Исследование конфигурации объектов ИТ-инфраструктуры и средств защиты информации
  5. Анализ соответствия средств защиты информации требованиям стандарта
  6. Вычисление итоговых показателей оценки соответствия
  7. Подготовка итоговой отчетной документации по форме, определяемой регулятором
Услуги тестирования на проникновение и анализа уязвимостей (пентест)
Согласно п.1.4.5 Положения ЦБ РФ № 757-П некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Тестирование на проникновение также требуется согласно ГОСТ 57580 и в случаях, если Вы хотите повысить уровень информационной безопасности Вашей организации. 

Польза для Вашего бизнеса
Соответствие законодательству и требованиям положения Банка России №757-П
Консультации квалифицированных специалистов
Полный пакет документов, который обезопасит вас от штрафных санкций в случае проверки регуляторов
Выстроенная система обеспечения защиты Ваших данных
Обеспечьте надежную защиту вашего бизнеса

Полезные ссылки