Деятельности финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня. Снижение операционного риска финансовой организации, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Согласно ГОСТ Р 57580 вводится дифференцированный подход при определении уровня защиты информации автоматизированных систем финансовых организаций.
Выбор мер защиты информации требует глубокого знания нормативной базы, правильной оценки угроз безопасности информации (модели угроз и нарушителя) и определения требуемого уровня защищенности автоматизированных систем финансовой организации.
НТЦ «Вулкан» выполняет в интересах заказчика разработку рекомендаций по выбору и реализации мер защиты информации в соответствии с требованиями ГОСТ Р 57580.
Состав работ
- Идентификация объектов информатизации, определение типа защищаемой информации.
- Выбор базового состава мер защиты информации согласно ГОСТ Р 57580.
- Адаптация выбранного состава мер защиты информации с учетом модели угроз и нарушителей безопасности информации.
- Дополнение адаптированного состава мер защиты информации мерами, установленными иными нормативными актами в области обеспечения безопасности и защиты информации.
Полученный в результате работ базовый состав организационных и технических мер защиты информации охватывает основные процессы защиты информации, в том числе:
- Процесс «Обеспечение защиты информации при управлении доступом».
- Процесс «Обеспечение защиты вычислительных сетей».
- Процесс «Контроль целостности и защищенности информационной инфраструктуры».
- Процесс «Защита от вредоносного кода».
- Процесс «Предотвращение утечек информации».
- Процесс «Управление инцидентами защиты информации».
- Процесс «Защита среды виртуализации».
- Процесс «Защита информации при удаленном доступе с мобильных устройств».
При невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации базового состава мер разрабатываются и обосновываются компенсирующие меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
Преимущества
- Работы по формированию рекомендаций по выбору и реализации мер защиты информации выполняются в строгом соответствии с рекомендациями ГОСТ Р 57580.
- Разрабатываемый комплекс мер защиты информации применим к совокупности объектов информатизации, в том числе к системам, используемым финансовыми организациями для выполнения бизнес-процессов и технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств.
- Полученный состав мер защиты информации так же может быть использован финансовыми организациями для обеспечения выполнения требований к защите персональных данных при их обработке в информационных системах персональных данных.