Обеспечение соответствия требованиям Банка России

Положения Банка России №683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента” и №757-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

В рамках 683-П и 757-П должна защищаться следующая информация:

• Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций;
• Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;
• Информация об осуществленных банковских операциях;
• Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций.

Реализация п. 5.1 положения №683-П, специфика проведения оценки соответствия по ОУД4, выполнение анализа защищённости приложений при использовании Agile-методологии разработки ПО - всё это не останется без внимания в ходе аудита сертифицированными аудиторами UBS.

ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер”

Аудиторы UBS помогут в трактовке и оценке соответствия более 400 требованиям стандарта, порекомендуют экономически целесообразные пути выполнения требований и применения компенсирующих мер защиты.

• Сбор и анализ документации и информации
• Проведение аудита на месте (разработка плана аудита, сбор и документирование свидетельств выполнения требований)
• Разработка и согласование отчета о результатах аудита
• Разработка и согласование рекомендаций по приведению в соответствие

Положение Банка России №747-П "О требованиях к защите информации в платежной системе Банка России"

Как правильно выделить отдельные сегменты для размещения объектов информационной инфраструктуры? Какие меры защиты информации на основных этапах обработки электронных сообщений должны применяться? Как часто должна проводиться оценка соответствия по ГОСТ 57580?

Положение Банка России №719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”

С какой периодичностью операторам по переводу денежных средств необходимо вычислять процент переводов денежных средств, выполняемых без согласия клиентов? Надо ли подтверждать адрес электронной почты, на который оператор по переводу денежных средств отправляет уведомления о совершённых переводах денежных средств? Какие дополнительные технологические меры защиты для банковских платёжных агентов, операторов услуг информационного обмена и операторов услуг платёжной инфраструктуры необходимо применять и каков порядок их применения?

Опыт консультантов UBS поможет при поиске оптимальных ответов на эти и другие вопросы по обеспечению соответствия положению 719-П.

Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"

Услуги по оценке соответствия и построению системы управления информационной безопасностью в соответствии с требованиями СТО БР ИББС обеспечивают создание системы обеспечения информационной безопасности, учитывающей лучшие мировые практики управления информационной безопасностью, а также отраслевую специфику российских банковских организаций.

• Оценка соответствия системы обеспечения ИБ (СОИБ) требованиям комплекса СТО БР ИББС
• Проведение инвентаризации информационных активов и оценки рисков ИБ
• Разработка рекомендаций по приведению СОИБ в соответствие с требованиями комплекса СТО БР ИББС
• Разработка и/или совершенствование существующей внутренней организационно-распорядительной документации в части обеспечения ИБ
• Разработка требований и проектирование СОИБ (разработка технического задания на создание/совершенствование СОИБ, выбор и обоснование вариантов технических решений)
• Поставка и внедрение средств защиты информации

Обеспечение соответствия требованиям законодательства в области безопасности критической информационной инфраструктуры (187-ФЗ)

Обеспечение соответствия 98-ФЗ «О коммерческой тайне»

Как правильно ввести в действие и обеспечивать режим коммерческой тайны и какие организационно-распорядительные документы необходимы и достаточны для этого? Какую информацию можно и нужно признавать коммерческой тайной? Какие меры контроля соблюдения режима коммерческой тайны необходимы? Кто, в какой момент и как должен наносить гриф "коммерческая тайна" и как и на основании чего передавать документы с таким грифом третьим сторонам? Какие мероприятия необходимы, чтобы сотрудники соблюдали режим коммерческой тайны?

UBS поможет быстро, юридически грамотно и прагматично создать и поддерживать режим коммерческой тайны в соответствии с 98-ФЗ.

Обеспечение кибербезопасности судоходства (резолюция ИМО MSC.428(98) и циркуляр ИМО MSC-FAL.1/Circ.3)

До 01.01.2021 или до первой ежегодной проверки документа о соответствии компании (ДСК, DOC) после 01.01.2021 всем владельцам судов и организациями, любым образом ответственными за использование судов для морского международного судоходства, необходимо учесть управление киберрисками в системе управления безопасностью (СУБ) компании в соответствии с целями и функциональными требованиями Международного кодекса по управлению безопасностью (МКУБ) ИМО.

• Разработка организационно-распорядительной документации, регламентирующей управление киберрисками в рамках СУБ, необходимой и достаточной для успешного прохождения освидетельствования СУБ, а также для обеспечения эффективной кибербезопасности судов и береговой инфраструктуры
• Проведение комплексной (люди, бизнес-процессы, технологии, инфраструктура, данные) идентификации киберугроз и оценки киберрисков с целью обеспечения бесперебойного функционирования береговой инфраструктуры и судов в соответствии с процедурами оценки рисков СУБ
• Определение персонала и его зон ответственности, а также активов и ресурсов, охватываемых системой управления киберрисками
• Разработка процедур своевременной идентификации киберинцидентов, разработка защитных мер и планов обеспечения непрерывности и восстановления деятельности в случае киберинцидентов
• Проведение мероприятий по повышению осведомлённости персонала в области кибербезопасности

Создание системы управления информационной безопасностью согласно ISO/IEC 27001

Какие требования предъявляются к организациям при сертификации согласно ISO/IEC 27001 и как наименее затратно обеспечить соответствие им? Как правильно определить и категорировать активы? Как грамотно выполнить анализ рисков? Разработка какой документации необходима при создании СУИБ и каковы требования к её содержанию? Ни один вопрос не останется без ответа BSI Certified Lead Auditor'ов UBS.

• Оценка соответствия требованиям ISO/IEC 27001:2013
• Создание системы управления информационной безопасностью (СУИБ) в соответствии с ISO/IEC 27001:2013 (процессная, документальная, инфраструктурная компоненты)
• Подготовка СУИБ к сертификации на соответствие требованиям ISO/IEC 27001:2013
• Сопровождение СУИБ