Сложности обеспечения ИБ в финансовых организациях

Для начала – немного теории

Чтобы проще было ориентироваться в содержании статьи, предлагаю пробежаться по документам:

• ГОСТ Р 57580.1 -2017;

• ГОСТ Р 57580.2-2018;

• 683-П;

• 802-П;

• 757-П;

• 719-П.

Но в этой статье — не про это. Здесь я рассмотрю скорее общие вопросы оценки соответствия и приведения в соответствие системы ИБ финансовых организаций.

Кредитные финансовые организации

Возьмём следующую ситуацию — вы специалист по защите информации в банке, который не входит в десятку крупных банков страны. В распоряжении у вас смекалка, знания и один трудовой кадр, который выполняет весь фронт работ по защите информации в банке (то есть только вы). Для начала нужно понять следующее:

• распространяются ли на организацию требования по обеспечению необходимого уровня защиты информации и требования по обязательному проведению оценки соответствия уровня защиты информации;

• прошел ли с момента проведения предыдущей оценки соответствия установленный срок (на самом деле, очень надеюсь, что к началу 2023 хотя бы одну оценку соответствия провели). Наступил ли срок для проведения очередной оценки;

• по результатам аудита Банк России потребовал от организации провести оценку соответствия (вариант, конечно, не из лучших);

• хотим обеспечить необходимый уровень защиты информации для уменьшения рисков информационной безопасности и унифицировать подход к обеспечению информационной безопасности в своей организации.

Если ответ на один из этих вопросов — утвердительный, то нужно определиться с последовательностью действий. Понятно, что инфраструктура — это не бублики с чаем, а сложная система, состоящая из множества подсистем. Требования к таким подсистемам могут разниться в строгости, в зависимости от критичности систем и важности данных, которые в них крутятся.

Что с этим делать