Банком России зафиксировано положение 684-П (в апреле 2019 г.) — некредитные финансовые организации должны обеспечить финансовую безопасность. Для каждой организации свои требования и критерии, но общий фактор — организация пристального наблюдения.
Информации в готовом документе немного, но стоит учесть, что разные положение приобретают законную силу в разный период. Те, кого заинтересовала информация, могут узнать больше про RTM Group.
Учитывать, что все организации, находящиеся под пристальным присмотром, условно разделяют на несколько видов. Это организации, которые должны реализовать усиленный или стандартный уровень информационной безопасности и другие, не относящиеся к списку. В документе четко указано, какие организации относятся к какому виду.
В документе можно ознакомиться с общими требованиями, актуальными для организаций. К ряду основных требований из этой группы относят: рекомендация по прохождению пентесту каждый год, правильность регулирования средств информационной защиты и действий, осуществляемых в информационной системе.
Принятое Положение регулируется и контролируется рядом документов:
- Требования ГОСТ, которым должна соответствовать организация. В документе перечислено 700 рекомендуемых защитных мер, к которым обязаны прибегать финансовые организации.
- Требования к методике, по которой проводится анализ уязвимостей программного обеспечения. Этот процесс считается не самым простым, длительным, трудоемким.
После того, как было официально опубликовано Положение, все некредитные организации должны быть готовы к проверкам. Обычно проверки проводят тщательно, используя жесткий подход. Учитывать, если своевременно выполнять все обязанности и требования и грамотно подходить к выполнению обязанностей, проверка не покажется сложной.
Опытные специалисты уверяют, что при проведении аудита информационной безопасности можно сэкономить финансы, если воспользоваться одним из рекомендуемых способов. Так, учитывать, что, внедряя требования ГОСТа, некоторые условия могут быть исключены, а некоторые действия (например, проведение анализа уязвимости или пентеста) можно провести самостоятельно. Приняв ряд простых документов, можно быстро закрыть ряд требований. Чтобы своевременно выполнить некоторые действия, лучше приступить к ним заранее.
Соответствовать указанному положению для организаций — не простое задание, но после прохождения проверок это может послужить своеобразной рекламой для организации.
