Поделиться
НПФ «Сафмар» и «Техносерв» привели ИБ-процессы фонда в соответствие новым требованиям ЦБ
«Техносерв», российский системный интегратор, и НПФ «Сафмар» (входит в промышленно-финансовую группу «Сафмар» Михаила Гуцериева) завершили проект по оценке и приведению систем защиты информации фонда в соответствие с положением Банка России № 684-П.
Положение Банка России №684-П от 17 апреля 2019 г. является ключевым документом для регулирования защиты информации в финансовом секторе. Помимо общих требований к системе защиты информации в этом документе указана необходимость проведения периодических мероприятий по ее проверке с привлечением сторонних организаций. По итогам проведенного тендера «Техносерв» был выбран исполнителем по данному проекту.
Первым этапом совместной работы стал аудит ИТ-инфраструктуры и бизнес-процессов фонда. Было проанализировано более 15 информационных систем, проведен ряд интервью с бизнес-подразделениями фонда для определения области оценки. На следующем этапе компания оценила соответствие принятых в фонде технических и организационных мер защиты информации требованиям 684-П и ГОСТ Р 57580.1-2017. Затем были получены итоговые оценки соответствия по трем направлениям защиты информации: «технологические меры», «безопасность программного обеспечения» и «безопасность информационной инфраструктуры».
По результатам проведенной работы подготовлены подробные рекомендации для усиления уровня информационной безопасности, актуализированы соответствующие политики и регламенты фонда, разработана организационно-распорядительная документация по защите информации и описаны необходимые дополнительные процедуры, которые гарантируют безопасность финансовых информационных систем.
«Требования к системам защиты информации некредитных финансовых организаций усложнились, их объем вырос, а практика реализации еще мала. Отдельные организационные и технические меры защиты, а в ГОСТ Р 57580.1-2017 их прописано около 400, реализовать на практике непросто, так как приходится учитывать особенности существующих ИТ-решений и организационно-штатной структуры. Специалисты «Техносерва» и НПФ «Сафмар» совместно прорабатывали ключевые вопросы и предлагали различные варианты и способы реализации, не противоречащие установленным требованиям», – сказал директор центра компетенций по информационной безопасности компании «Техносерв» Денис Шмырев.
Например, реализация требования организовать учет машинных носителей информации, встроенных в ПК и серверное оборудование, была очень трудоемкой. Однако было найдено оптимальное решение: в ГОСТ Р 57580.1-2017 предусмотрена возможность по решению финансовой организации реализовать организационную меру путем применения технической меры, поэтому для выполнения меры было предложено задействовать существующие инструменты управления ИТ-инфраструктурой. Это позволит соответствовать требованию, но даст возможность оптимизировать затраты НПФ на учет.
«Многоуровневая система защиты информации, которая описана в положении 684-П и ГОСТ Р 57580.1-2017, должна постоянно проверяться и совершенствоваться. Мы проделали значительный объем работы и завершили первый этап проекта по приведению систем информационной безопасности в соответствие с требованиями новых положений регулятора. Фонд готов к повседневной практической реализации актуальных мер защиты информации», – отметил руководитель центра информационной безопасности НПФ «Сафмар» Алексей Шоболов.
«Техносерв» развивает направление проектирования и внедрения процессов информационной безопасности, построения комплексных систем защиты информации, аудита и оценки эффективности мер и систем защиты, а также аутсорсинга информационной безопасности более 10 лет. Среди заказчиков компании по этим направлениям – промышленные предприятия, энергетические компании, государственные организации, банки, негосударственные пенсионные фонды и прочие некредитные финансовые организации.
Короткая ссылка
