Защита финансовых организаций

Наша компания начала развивать направление аудитов финансовых организаций по информационной безопасности в соответствии с законодательством РФ в середине 2018 года. За этот небольшой промежуток времени мы провели 4 комплексных технических аудита на соответствие следующим документам: Положению 382-П, ГОСТ 57580, Положению 683-П, Положению 684-П. Остальные аудиты финансовых организаций были проведены нами в рамках одного регулирующего документа: Положение 382-П или ГОСТ 57580. Также наша компания проводит работы по анализу уязвимостей программного продукта на 4 оценочный уровень доверия (далее ОУД).

Наши специалисты проводят полный спектр работ по оценке соответствия следующим документам: Положению 382-П, ГОСТ 57580.

Этап № I – Аудит системы безопасности ИТ инфраструктуры

На данном этапе работ проводится обследование информационных систем, затрагивающих технологические процессы финансовых организаций, связанные с переводом денежных средств.

В рамках первого этапа мы проводим следующие виды работ:

• сбор сведений о количественном составе информационных систем, задействованных в технологических процессах финансовых организаций;

• сбор сведений о характеристиках технических и программных средств, технологий обработки и передачи информации, технологии обработки информации, сведений об используемых средствах защиты информации, о кадровом обеспечении по вопросам защиты информации;

• категорирование информационных систем, задействованных в технологических процессах финансовых организаций;

• описание логической схемы ИТКС;

• анализ имеющейся организационно-распорядительной документации по защите информации в финансовой организации;

• оценку соответствия требованиям законодательства Российской Федерации в области защиты информации финансовых организаций;

• формирование рекомендаций по реализации требований законодательства Российской Федерации в области защиты информации финансовых организаций.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации, в том числе выявленные в ходе тестирования информационной системы на проникновение и/или анализа защищенности информационной системы.

Этап № II – Разработка и внедрение системы защиты информации информационной системы

При разработке системы защиты информации информационной системы мы учитываем ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.

В техническом задании мы отражаем требования, предъявляемые регулятором к системе защиты информации финансовой организации.

В техническом проекте мы отражаем предъявляемые регулятором требования в соответствии с функционалом системы безопасности информации, а также учитываем основные положения нормативных правовых актов в области обеспечения безопасности информации.

В случае наличия обоснованных замечаний ЦБ РФ на оказанные нами услуги, мы безвозмездно устраняем указанные замечания.

Наша компания имеет необходимые лицензии ФСТЭК России и ФСБ России для оказания услуг по внедрению средств защиты информации.

При внедрении системы защиты информации мы проводим:

• установку и настройку различных средств защиты информации (САВЗ, СЗИ от НСД, систем АНЗ, СКЗИ, UTM/NGFW, IDS/IPS, WAF, SIEM, Sandbox, DLP, 2fa и т.д.);

• проверку внедренных организационных мер защиты информации;

• предварительные испытания системы защиты информации информационной системы /опытную эксплуатацию системы защиты информации информационной системы;

• приемочные испытания системы защиты информации информационной системы.

По решению заказчика, в ходе аудита мы можем провести: