Requirements for Russian Banks

https://habr.com/ru/companies/icl_group/articles/714362/

Обеспечение информационной безопасности в финансовой организации — очень нетривиальная задача. Особенно если учитывать, что бытность отдела/службы/департамента по защите информации в российской действительности можно сравнить с жонглированием бензопилами руками и ногами в тёмной комнате. Специалист здесь также должен уметь лавировать среди требований регуляторов, знать, где спросить, как эти требования выполнять и держать руку на пульсе бешеного принтера, который эти требования выпускает.

В этой статье коснусь только верхушки айсберга и рассмотрю такой документ как ГОСТ Р 57 580.1 -2017 «Безопасность финансовых (банковских) операций…» и положения Банка России, которые обязывают финансовые организации исполнять требования данного стандарта.

Тему можно разделить на два направления — приведение в соответствие и оценка соответствия для кредитных и некредитных финансовых организаций.

Для начала – немного теории

Чтобы проще было ориентироваться в содержании статьи, предлагаю пробежаться по документам:

• ГОСТ Р 57580.1 -2017;

• ГОСТ Р 57580.2-2018;

• 683-П;

• 802-П;

• 757-П;

• 719-П.

Конечно, написать по поводу представленной выше документации можно очень много — например, как специалисты ИБ ломали копья, пытаясь понять, как выполнять представленные в ГОСТ Р 57 580.1–2017 меры или по какому пути пойти: лучше сделать — выделять один большой «царь»‑контур безопасности, или много, но поменьше.

Но в этой статье — не про это. Здесь я рассмотрю скорее общие вопросы оценки соответствия и приведения в соответствие системы ИБ финансовых организаций.

Кредитные финансовые организации

Возьмём следующую ситуацию — вы специалист по защите информации в банке, который не входит в десятку крупных банков страны. В распоряжении у вас смекалка, знания и один трудовой кадр, который выполняет весь фронт работ по защите информации в банке (то есть только вы). Для начала нужно понять следующее:

• распространяются ли на организацию требования по обеспечению необходимого уровня защиты информации и требования по обязательному проведению оценки соответствия уровня защиты информации;

• прошел ли с момента проведения предыдущей оценки соответствия установленный срок (на самом деле, очень надеюсь, что к началу 2023 хотя бы одну оценку соответствия провели). Наступил ли срок для проведения очередной оценки;

• по результатам аудита Банк России потребовал от организации провести оценку соответствия (вариант, конечно, не из лучших);

• хотим обеспечить необходимый уровень защиты информации для уменьшения рисков информационной безопасности и унифицировать подход к обеспечению информационной безопасности в своей организации.

Если ответ на один из этих вопросов — утвердительный, то нужно определиться с последовательностью действий. Понятно, что инфраструктура — это не бублики с чаем, а сложная система, состоящая из множества подсистем. Требования к таким подсистемам могут разниться в строгости, в зависимости от критичности систем и важности данных, которые в них крутятся.

Что с этим делать

Как специалисты вы поняли, что нам «оно надо» в обязательном порядке (или регулятор недвусмысленно подсказал), что же дальше?

Если кратко, путь примерно таков:

1. Определить сегменты инфраструктуры организации, которые необходимо защищать и оценивать по требованиям 683-П, 802-П и 719-П (выделить контуры безопасности).

2. Выполнить общие требования по обеспечению защиты информации из Положений 683-П, 802-П, 719-П для определенных сегментов инфраструктуры организации.

3. Определиться с уровнем защиты информации, который нужно обеспечить для организации по требованиям 683-П, 802-П, 719-П.

4. Провести работы по приведению в соответствие требованиям выбранного уровня защиты информации текущей инфраструктуры организации (привлекая при необходимости специализированные организации).

5. Провести оценку соответствия принятых мер защиты информации*.

Работы по приведению в соответствие инфраструктуры по защите информации требованиям Положений Банка России № 683-П, 802-П, 719-П и ГОСТ Р 57 580.1 можно разбить на блоки:

Все эти работы можно выполнить как силами самой организации, так и привлекая для этого подрядчика. В обоих случаях есть свои плюсы и минусы.

При выполнении работ самостоятельно:

• хорошо знаем свою инфраструктуру, работу бизнес-процессов, все плюсы и минусы;

• «экономим» по нашему представлению средства организации;

• не всегда можем качественно провести работы в связи с отсутствием людских и материальных ресурсов;

• часто являемся предвзятыми по отношению к серьёзности своих недостатков и достоинств;

• не всегда обладаем достаточной квалификацией для оценки своей инфраструктуры и приведения её в соответствие.

При привлечении подрядчика:

• большой опыт работ в данном типе деятельности;

• непредвзятый взгляд на достоинства и недостатки инфраструктуры и более подробное выявление соответствия/несоответствия требованиям;

• разработка подробного плана устранения недостатков специалистами, имеющими опыт и квалификацию по разным направлениям работ (будь то средства защиты информации различных классов или исправление и создание организационно-распорядительной документации по защите информации);

• возможность освободить ресурсы финансовой организации на другие задачи;

• дополнительные расходы на работу сторонних специалистов;

• необходимо раскрывать все свои проблемные места;

• сторонняя организация может «втюхивать» определённые средства защиты и множество сторонних услуг.

Привлекать стороннюю организацию или нет, каждый решает сам. В любом случае, при оценке соответствия, для выполнения которой обязательно нужно привлекать стороннюю организацию, компании‑лицензиаты проводят предварительную оценку соответствия и формирование рекомендаций на первом этапе оценки соответствия. Ну а далее финансовая организация уже сама решает, выполнять рекомендации до проведения окончательной оценки, или нет.

НЕкредитные финансовые организации

Отвечаем на всё те же вопросы, что и для кредитных финансовых организаций (см. начало блока «Кредитные финансовые организации«). Если на один из вопросов отвечаем утвердительно, то прежде, чем начать действовать, выявляем момент: для некредитных финансовых организаций 757-П предлагает еще одно разделение по выполнению требований по защите информации.

Что делать, если стало понятно, что ваша организация обязана выполнять требования 757-П и ГОСТ Р 57 580.1–2017?

Главное — без паники. Вот общие шаги:

1. Выполнить общие требования по обеспечению защиты информации из 757-П.

2. Определиться с уровнем защиты информации, который нужно обеспечить для организации по требованиям 757-П.

3. Провести работы по приведению в соответствие требованиям выбранного уровня защиты информации текущей инфраструктуры организации (привлекая при необходимости специализированные организации).

4. Провести оценку соответствия принятых мер защиты информации.

Что делать, если стало понятно, что ваша организация обязана выполнять только часть требований 757-П, и не должна обеспечивать уровень защиты информации по ГОСТ Р 57 580.1–2017?

Здесь основные шаги следующие:

1. Выделить и описать защищаемую информацию.

2. Довести до клиентов рекомендации по антивирусной защите.

3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.

4. Создать ежегодную процедуру определения уровня защиты информации.

5. Определить необходимость сертификации или оценки соответствия применяемого программного обеспечения (ОУД 4, ГОСТ Р ИСО/МЭК 15 408–3–2013).

Работы по приведению в соответствие имеют ту же этапность, что и для кредитных финансовых организаций. Плюсы и минусы привлечения/не привлечения сторонних организаций сохраняются.

Сложности при реализации работ по приведению в соответствие

Отсутствие единой методики по выполнению мер, описанных в ГОСТ Р 57580.1 -2017

Создав данный стандарт, но не создав методику и рекомендации по выполнению требований, люди открывают ящик Пандоры. Специалисты в финансовых организациях выполняют требования правильным на свой взгляд образом, аудиторы видят выполнения другим образом и из‑за этого возникают мягко сказать разноплановые разногласия в кругах финансовых безопасников. Спасает в данном случае комьюнити и разные группы в телеграмме, которые помогают разобраться специалистам с разным уровнем квалификации и опыта (например, здесь или здесь). Там вам и советом подскажут, и укажут на наличие таблички, в которой собран опыт по закрытию того или иного требования (в файлах таких групп вообще очень много интересного).

Излишняя экономия

Как и в любом другом деле, все всегда хотят сэкономить, и иногда предлагаемые варианты для закрытия мер кажутся финансовой организации очень дорогостоящими и непонятными с точки зрения прибыли. Поэтому сложно бывает доказать руководству (особенно это касается небольших региональных банков или НКО), что расходы дадут плоды в перспективе. Бывает, что компании для лучшего результата советуют придерживаться риск‑ориентированного подхода вперемешку с методом кнута и пряника. Так можно намекнуть, что в финансовую организацию скоро приедет проверка из ЦБ, или что «вот тот инцидент, про который доложили в Финцерт, может привести к волне вопросов, и нам бы нужно к ним подготовиться, или что документация регуляторов обязует нас привести в соответствие нашу инфраструктуру к такому‑то числу, или будет нам „ай‑ай‑ай“ от ЦБ«. Можно также просчитать стоимость осуществления рисков от невыполнения требований и представить это руководству.

Варианты, как действовать, каждый выбирает для себя сам исходя из своего опыта и индивидуального подхода к организации.

Оценка соответствия

После того как финансовая организация (самостоятельно или с подрядчиком) провела работы по приведению в соответствие, пора выполнять оценку соответствия.

При проведении работ по оценке соответствия опираемся на методологию, описанную в ГОСТ Р 57 580.2–2018. Этапности по проведению оценки соответствия для (не‑/)кредитных финансовых организаций в общем не отличается, поэтому далее вновь рассмотрим схему 1.

Можно, конечно, выбросить этапы с предварительным аудитом, написанием рекомендаций, консультацией по доработке ОРД и внедрению технических решений, но я не советую этого делать, так как это может снизить итоговую оценку. Но если вы в себе на 100% уверены, то можете знатно сэкономить на данных работах и сократить время выполнения работ (заманчиво).

Сложности при оценке соответствия

Нет единой методологии как выполнять те или иные требования ГОСТ Р 57580.1-2017.

У проверяющего и заказчика могут возникнуть разногласия по поводу того, как выполнять то или иное требование и на сколько оно сейчас выполняется. За этими дискуссиями можно провести много уютных дней в спорах. В общем то аудитор всегда идёт на встречу Заказчику и всегда подскажет как лучше сделать, но почему-то на это уходит много времени.

Индивидуальные сложности, зависящие от заказчика.

Какие-то организации не любят делится данными, даже несмотря на заключённый NDA, другие утверждают, что их инфраструктура самая безопасная и им нужно верить на слово, что те или иные требования полностью выполнены. Есть такие, которые ведут себя так, будто их проверяют не по их желанию и не они являются инициаторами данной проверки, а кто-то их заставил). В общем, к каждому заказчику необходим подход и с каждым можно найти общий язык – и это уже чисто рабочие моменты.

Что нужно иметь в виду при выборе "оценщика"

Компании, предлагающие фиксированный срок, могут лукавить о составе работ.

Они могут обещать всё под ключ, но в конечном счёте заказчик останется с проведённым минимумом входящим в типовой договор по услуге. Это не критично при проведении работ по оценке соответствия (так как на руках будет бумажка для отчётности в ЦБ), но будьте готовы к тому, что внятных рекомендаций вы вряд ли получите. В основном это будут общие рекомендации из разряда – «вам нужны средства эшелированной антивирусной защиты». Но если есть фиксированный срок на приведение в соответствие, то бегите от этих людей. Каждая организация индивидуальна и привести её в соответствие необходимо с учётом индивидуальности её информационной инфраструктуры, а это как понимаете порождает разные сроки выполнения работ.

Смотрите на более комплексные предложения и на тех, кто предлагает приведение в соответствие отдельным проектом после проведения обследования и создания дорожной карты рекомендаций. В таком случае вы всегда сможете распределить свой бюджет и показать ЦБ, что вы не просто игнорируете выполнения требований ГОСТ Р 57580.1-2017 и положений, которые на него ссылаются, а у вас есть план, которого вы придерживаетесь**.**

Не сидите на одном поставщике услуг по оценке соответствия.

Понятно, что если аудиторы много раз проверяли вашу инфраструктуру на соответствие, то они знают её как свои пять пальцев и проводят оценку на соответствие за меньшее количество времени и возможно денег, но они в свою очередь могут менее тщательно относиться к своей работе и оставлять на «а что там могло измениться» проверку требований. В данном случае эта ситуация может породить неприятный конфуз при проверке Банка России, когда они найдут недостаток, который ваш доверенный проверяющий оставил на авось, а вы не проверили действительно ли он устранён и что ничего не изменилось с предыдущей проверки.

При выборе прежде всего обращайте внимание на организации, которые поставляют вам ПО и оборудование, занимаются техподдержкой ваших систем.

Если у них в услугах есть приведение в соответствие по требованиям по защите информации, то они должны быть одними из первых, к кому вы обратитесь. Они уже знают вашу инфраструктуру и смогут сократить по стоимости и продолжительности этапы обследования и формирования рекомендаций. Но при этом учитывайте ограничения, описанные в пункте 3.2. ГОСТ Р 57580.2-2018.

Смотрите на организации, которые имеют в своём профиле услуг не только услуги по оценке соответствия, аттестации но и по другим консалтинговым услугам по защите информации.

Обычно организации, которые сильны в анализе текущего состояния защиты информации по адекватным причинам в редком случае имеют в штате специалистов по средствам защиты информации различных производителей, сетевых инженеров и архитекторов, специалистов по SIEM, DLP и т. д. Поэтому они либо будут давать общие рекомендации, без учёта того, как встраивание СрЗИ и бизнес‑процессов по обеспечению защиты информации могут повлиять на вашу текущую инфраструктуру, либо будут придерживаться минимального количества вендоров, не предоставляя вам выбор СрЗИ, которые нужно встроить для реализации плана.

Стоит обратить внимание и на ограничения, которые необходимо учитывать:

• организация, проводящая работы по оценке соответствия, должна обладать лицензией на проведение работ по ТЗКИ;

• организация должна быть независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации;

• одна организация не может одновременно проводить работы по оценке соответствия и работы по проектированию и внедрению организационных и технических мер ЗИ на объектах заказчика. Поэтому либо оценка соответствия, либо работы по проектированию и внедрению.

Риски, если вы решили пойти против ветра системы

Если не воспринимать обеспечение информационной безопасности как сферу, которой вообще нужно заниматься в финансовой организации, то смотрим ниже последствия, которые обязательно наступят для вашей организации:

1. Операционный риск (перебои функционирования платёжной системы, падение качества услуг, приостановление оказания услуг по предписанию ЦБ и иные меры из ст. 74 из 86-ФЗ и из положения Банка России № 716-П)

2. Репутационный риск (компрометация платёжных инструментов, потеря клиентской базы и лояльности клиентов)

3. Риск остаться без работы и сыскать дурную славу (ну это уже скорее личный риск специалиста)

Первые два можно использовать в качестве обоснования работ для руководства, если вы решили использовать «кнут». Но для этого нужно перевести эти риски в денежный формат, чтобы было нагляднее для руководства, которое мыслит категориями прибыли и убытков.

В качестве заключения

Как читатель успел заметить, эта статья — скорее «затравочка» про общие моменты, и не претендует на какую‑то академическую ценность. Для этого есть серьёзные статьи и такие же серьёзные дяди с серьёзными лицами, которые их пишут в своих серьёзных кабинетах. Все изложенные мной мысли субъективны и призваны скорее попытаться перевести сложный язык нормативных документов в простой язык понимания (через мемы и смешинки). И если зайдёт такой формат и наполнение, то в будущем разберусь с «П‑эшками» по отдельности, разберу процессы оценки соответствия, посмотрю на схему всей документации по ИБ для финансовых организаций (и пойму есть ли вообще смысл рисовать такую схему в текущих реалиях скорости выпуска документов). В общем, оставляйте свои пожелания в комментариях в цензурном и не очень виде, буду улучшать качество подачи материала.