Когда-то меры по обеспечению информационной безопасности, в том числе финансовых организаций, носили больше рекомендательный характер. Зачастую их определяли уже на месте, исходя из опыта и наработок специалистов по ИБ. Но времена меняются, и государство приняло стандарты, которые задают определенный минимальный состав технических мер и самой организации по защите информации. Никто не ограничивает специалистов по информационной безопасности в средствах, но, в то же время, определяет «базовый набор» принципов и методов защиты данных.
Приказом Росстандарта в 2017 году был утвержден и вступил в силу ГОСТ Р 57580, который определяет уровни защиты данных и сопутствующие требования к обеспечению базового набора мер их защиты.
Регулирование и контроль таких мер применяется с целью обеспечения стабильного развития рынка, управления рисками, защиты от кризисных ситуаций, защиты прав и интересов компаний на финансовых рынках.
Согласно стандарту назначается 3 уровня защиты данных:
- минимальный;
- стандартный;
- усиленный.
Требования к уровню информационной безопасности появляются исходя из следующих характеристик компании:
● вида деятельности;
● объема всех финансовых операций;
● категории предприятия;
● значимости конкретного объекта для финансового рынка и национальной платежной системы в целом.
Аудит информационной безопасности, включающий в себя проверку соответствия ГОСТ 57580, должен обеспечивать соответствие ряду стандартов методом реализации следующих мер:
● защита вычислительных сетей;
● обеспечение целостности инфраструктуры;
● защита данных при управлении доступом;
● определение уровней защиты данных;
● определение условий содержания базовых организационных и технических мер защиты данных;
● предотвращение случаев утечки данных;
● защита данных при использовании удаленного доступа с мобильных устройств.
Проведение проверки (аудит ГОСТ 57580) и обеспечение условий соответствования требованиям госстандарта значительно повысят уровень информационной безопасности любой финансовой организации, ее систем, а также позволят беспрепятственно исполнять свои функции, не остерегаясь санкций соответствующих органов. Особое, даже критическое значение данный аспект имеет в отношении организаций, чувствительных к нарушению рабочего потока организации и перебоям в обслуживании клиентов.