Аналитика и комментарии

06 августа 2020

Илья Тихонов, Softline: ГОСТ 57580 – время не ждет

До подачи отчетов в ЦБ по внедрению стандарта информационной безопасности ГОСТ Р 57580.1−2017 осталось меньше полугода, но далеко не все банки приступили к реализации проектов в этой области. Те компании, которые не начнут работу по приведению ИБ-инфраструктуры в соответствие с новыми требованиями регуляторов уже сегодня, рискуют не успеть вовремя. При этом санкции за невыполнения могут быть достаточно серьезными – вплоть до отзыва лицензии. Специально для NBJ своим видением текущей ситуации делится Илья Тихонов, руководитель направлению «Комплаенс» и «Аудит» управления ИБ компании Softline.

Новый стандарт информационной безопасности для кредитно-финансового сектора ГОСТ Р 57580.1−2017 вступит в силу с 01.01.2021. В область оценки соответствия защиты информации входит совокупность практически всех объектов информатизации финансовых организаций, включая автоматизированные средства и приложения, используемые для выполнения процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.

Активная работа по реализации проектов в этой области началась только в конце весны. Прошлый год у большинства заказчиков ушел на подготовительную работу и планирование бюджетов, а в начале года многие из них откладывали реализацию масштабных проектов на фоне пандемии коронавируса. Сейчас в работе у Softline около 10 проектов по внедрению ГОСТ 57580, еще несколько десятков находятся в проработке. Это общая тенденция рынка – большая часть финансовых организаций пока не приступала к выполнению новых требований в области ИБ.

Реализация проекта по внедрению нового ГОСТ включает в себя несколько этапов, первый из которых – обследование и анализ существующей инфраструктуры. Предварительный аудит может проводиться силами самой организации или сервисным провайдером и займет от двух месяцев. В его ходе необходимо определить текущее состояние инфраструктуры и составить перечень решений, которые необходимо внедрить для соответствия определенному уровню защиты.

Для проведения самостоятельного аудита важно наличие в компании грамотных специалистов в области защиты информации. Требования ГОСТ к техническим средствам защиты описаны достаточно обобщенно, что с одной стороны позволяет банку самостоятельно принимать решение о выборе тех или иных продуктов, с другой – повышает требования к уровню грамотности ИБ-экспертов. Важно обеспечить высокую степень защиты информации и при этом не «раздуть» ИТ-бюджет.

Для выполнения технических требований ГОСТ 57580 необходимо, в частности, наличие в организации межсетевых экранов, систем класса IDM, SIEM, DLP. Банки зачастую упускают из внимания тот факт, что подбор и внедрение недостающих средств защиты информации может занять достаточно много времени, и есть риск не успеть даже за полгода. Стоит учесть, что ГОСТ вводится поэтапно, степень защищенности должна ежегодно повышаться – это дает возможность совершать некоторые маневры в области распределения бюджета. Опытный ИТ-провайдер может подсказать, какие решения необходимо внедрить прямо сейчас, а какие чуть позднее – например, часть функционала DLP или IDM какое-то время может закрываться другими средствами.

После внедрения необходимых технических средств можно переходить к итоговому аудиту, в рамках которого финансовая организация получает оценку уровня соответствия требованиям стандарта от 0,5 до 1 и совместно с сервисным провайдером составляет дальнейший план реализации мероприятий для соответствия ГОСТ.

Так как ГОСТ 57580 – документ относительно новый, реализованных проектов по его исполнению наберется немного даже у самых крупных ИБ-провайдеров. При поиске партнера стоит обратить внимание на наличие лицензии ФСТЭК и кейсов по проведению аудита на соответствие Положению №382-П Центробанка России и Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС). Их можно назвать прототипами нового ГОСТ, многие требования перекочевали в него оттуда. Большим преимуществом будет наличие у провайдера опыта работы в банковской сфере: чем больше кейсов, тем больше тонкостей работы финансовых организаций известно экспертам.

 

Поделиться: