Обеспечение защиты информации НФО

Обеспечим защиту информационных систем и данных финансовых организаций от различных угроз, включая кибератаки, взлом и утечку информации. Предлагаем комплекс мер, направленных на создание надежной системы безопасности в соответствии с положениями Центрального Банка.

Почему финансовым организациям необходимо обеспечить безопасность информации?

Положение 757-П
Положение № 757-П вышло на замену Положения № 684-П, и устанавливает новые обязательные требования по защите информации для Некредитных Финансовых Организаций.

  • устанавливает обязательные для НФО требования по защите информации при осуществлении деятельности в сфере финансовых рынков
  • более конкретно обозначает особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора ИС, в которой осуществляется выпуск цифровых финансовых активов, а также оператора обмена таких активов
  • устанавливает дополнительные требования к порядку информирования Банка России
ГОСТ Р 57580

Национальный Стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» был разработан Центральным банком Российской Федерации. Стандарт определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, которые применяются различными организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

Ответственность
Для всех организаций, на которых распространяется действие Положения Центробанка № 757-П, выполнение требований обязательно. В случае несоблюдения требований этого нормативного акта, организация может понести административную ответственность по ст. 13.12 КоАП РФ, а также приостановку деятельности компании.
Как соответствовать?

Выполнять следующие требования:

  • обеспечение защиты информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых некредитной финансовой организацией
  • проведение оценки соответствия уровня защиты информации согласно ГОСТ Р 57580.1-2017 с привлечением организации, имеющей компетенции и лицензию на проведение соответствующих мероприятий
  • обеспечение защиты информации с помощью СКЗИ (63 ФЗ, 152 ФЗ, ПП 1119, ПКЗ-2005, Приказ ФСБ №378)
  • осуществление защиты объектов информационной инфраструктуры в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017
  • ежегодно определять уровень защиты информации
  • обеспечение защиты электронных сообщений
  • мониторинг событий и реагирования на инциденты
  • информирование Банка России в необходимых случаях

Что входит в услугу?
Аудит соответствия требованиям 757-П

  1. Осуществляется сбор свидетельств (документы, технические данные и пр.)

  2. Анализируется организационно-распорядительная документация

  3. Анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации

  4. Проводится интервью с сотрудниками проверяемой организации

  5. Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости)

  6. Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности

Аудит по требованиям ГОСТ Р 57580
  1. Анализ документации Заказчика по ИБ на предмет соответствия стандарту;

  2. Анализ системы защиты информации Заказчика на предмет соответствия стандарту (с технической стороны);

  3. Интервьюирование сотрудников;

  4. Проверка применяемых средств защиты информации на предмет соответствия стандарту

  5. Аудит по выбранной в результате анализа методике;

  6. Написание отчетной документации.

При выявлении несоответствия требованиям стандарта на этапе обследования специалисты по информационной безопасности немедленно сообщают об этом Заказчикам и предлагают оптимальные пути решения сложившейся ситуации.

Оценка соответствия по ГОСТ Р 57580
  1. Изучение бизнес-процессов и внутренней нормативной документации клиента
  2. Анализ правильность и достаточность выполнения процессов ИБ
  3. Проведение интервью сотрудников в целях выявления, какие инструменты защиты информации реализованы в компании
  4. Исследование конфигурации объектов ИТ-инфраструктуры и средств защиты информации
  5. Анализ соответствия средств защиты информации требованиям стандарта
  6. Вычисление итоговых показателей оценки соответствия
  7. Подготовка итоговой отчетной документации по форме, определяемой регулятором

Услуги тестирования на проникновение и анализа уязвимостей (пентест)
Согласно п.1.4.5 Положения ЦБ РФ № 757-П некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Тестирование на проникновение также требуется согласно ГОСТ 57580 и в случаях, если Вы хотите повысить уровень информационной безопасности Вашей организации. 

Подробнее об услуге пентеста Вы можете ознакомиться здесь.
Польза для Вашего бизнеса
Соответствие законодательству и требованиям положения Банка России №757-П
Консультации квалифицированных специалистов
Полный пакет документов, который обезопасит вас от штрафных санкций в случае проверки регуляторов
Выстроенная система обеспечения защиты Ваших данных
Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Мы используем файлы Cookie для улучшения работы, персонализации и повышения удобства пользования нашим сайтом. Продолжая посещать сайт, вы соглашаетесь на использование нами файлов Cookie. Подробнее о нашей политике в отношении Cookie.
Подробнее Понятно
Cookies