Центробанк РФ издал постановление, предписывающее некредитным финансовым организациям принять особые меры по обеспечению информационной безопасности (ИБ). Этот акт регламентирует вопросы защиты данных клиентов для недопущения доступа к ним без получения санкции или противодействия атакам хакеров.
Меры по установлению уровня ИБ
Согласно изданному ЦБР Положению 684-П, НФО должны установить уровень защиты с учетом области деятельности и иных разъяснений ЦБР, для чего им необходимо выполнить следующие действия:
- подготовить рекомендации по понижению вероятности заражения вирусами и инсталляции противовирусных программ;
- зарегистрировать и передать регулятору информацию, связанную со значительным несоблюдением конфиденциальности платежных операций;
- использовать технологию обработки защищаемых данных на технологических участках, при идентификации клиента и проведении финансовой транзакции, подготовке или создании, приеме-передаче электронных сообщений;
- регистрировать действия своих сотрудников для проверки соблюдения ими установленных требований;
- осуществлять анализ уязвимости прикладного программного обеспечения и приводить его в соответствие со стандартным или повышенным уровнем защиты;
- принимать меры по предотвращению утечки информации из документов о проведенных операциях либо авторизации их инициаторов;
- пользоваться криптографическими электронными средствами, отвечающими нормам ГОСТ Р 57580.1-2017.
Кому поручить оценку уровня ИБ?
Для заказа независимой многоуровневой оценки уровня ИБ по 684-П нужно воспользоваться услугами лицензированной организации, сотрудники которой уполномочены выполнять эту работу, вне зависимости от статуса и финансовой специализации компании. Сначала они проведут анализ и составят описание защищаемой информационной среды, найдут уязвимые места в информационной инфраструктуре, операционной системе или прикладном программном обеспечении. Затем они предоставят клиенту рекомендации по усовершенствованию противовирусной защиты, повышению работоспособности используемых для электронных подписей криптографических ключей, необходимому уровню защищенности.
Полная стоимость аудиторских работ по 684-П определяется индивидуально. Она зависит от объемов анализируемой информации и числа задействованных сотрудников.