Эпиграф.ИНФО

Необходимые документы для 672-П ЦБ РФ

Необходимые документы для 672-П ЦБ РФ

ЦБ опубликовал 672-П, который определяет обязательства Банков на обеспечение и поддержание должного уровня информационной безопасности в выделенном сегменте локальной вычислительной сети Банка, в котором расположены элементы информационной инфраструктуры, задействованные в работе платёжной системе Банка России (далее – ПС БР).

Меры защиты информации по 672-П разделяются на документарные и технологические вне зависимости от источника требования по обеспечению безопасности сегмента ПС БР: содержание самого документа, либо ГОСТ 57580.

ГОСТ Р 57580.1-2017

Первое, что необходимо понимать ответственным за информационную безопасность сотрудникам проверяемых Банков, это обязательность документирования списка и правил использования организационных мер защиты информации (документы), перечня и регламента применения технических средств защиты информации.

Дальше ответственным лицам можно приступить к сегментации организационного блока в Банке. Начать можно с фиксации конфигурирования настроек, применяемых средств защиты информации, а также свод таких настроек в стандарты.

Далее необходимо приступить к разработке внутренней системы контрольных мероприятий: зафиксировать область контроля, ответственных лиц, а также сроки/периодичность проведения контроля. В рамках создания системы контроля, можно параллельно задуматься об организации системы обучения сотрудников информационной безопасности.

Нельзя забывать о правилах использования и регистрации АРМ, серверов, СХД, средств защиты информации, эксплуатируемого ПО.

Документация по ГОСТу 57580.1-2017

Теперь, когда документы по векторам защиты информации готовы и продуманны, нужно приступить к разработке документации в соответствии с основными «сферами интереса» ГОСТа.

  • Начинать оптимальнее всего с проверки конфигурации настроек сетевого оборудования, в частности, и сканированием локальной вычислительной сети в общем.
  • Далее, если сетевое оборудование/техническая мера обеспечения информационной безопасности удовлетворяют настояниям сего стандарта, также разработан стандарт настроек сетевого оборудования/средств защиты информации, а все нормы эксплуатации выполняются, то можно переходить к следующему этапу.
  • К коррекции в соответствии императивам стандарта системы управления логическим доступом (тут же считай система разграничения прав логического доступа). На данном этапе необходимо скорректировать организационную структуру документации в направлении контроля физического доступа.
  • После окончания работ по повышению эффективности системы контроля логического доступа, переходим к приведению в порядок программной среды в уже выделенном Банковском сегменте ПС БР (конфигурируем сканер уязвимостей).

После этого переходим к разработке документации и конфигурированию СЗИ в векторах:

  • Антивирусные средства (настройка под ГОСТ, документирование данных настроек);
  • DLP на данном этапе настраивается соответственно (совершенствуется документация под ГОСТ).
  • SIEM, IRP – аналогично.
  • Также оптимально конфигурируем гипервизор.
  • В сегменте ПС БР очень редко актуален процесс защиты удалённого соединения.

После переходим к разработке документации по защите информации на этапах жизненного цикла: она заключается в описании и контроле функционирования модулей безопасности самой информационной системы ПС БР (АРМ срочных/несрочных переводов, например)

Теперь, когда документация соответствует ГОСТ, необходимо переходить к пакету документации в направлении общих требований Положению ЦБ.

Вертикаль документов по 672-П

Организационная вертикаль по общим требованиям может выглядеть следующим образом:

  • Перечень, режим эксплуатации мер в информационной безопасности, практикуемый для расчета хэш - функций и подтверждения неизменности электронных сообщений (применение электронной подписи) на стадиях:
  • построение;
  • направление и аккумуляция;
  • в том числе принципы применения средств крипто защиты/
  • Корректировка плана мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности, под нужное нам постановление;
  • Разработка должностных инструкций, памяток пользователям, письменных поручений о назначении ответственных за генерацию, применение, хранение, уничтожение, использование средств крипто защиты.

В данной статье описаны основные направления, которые необходимо разработать и принять документацию, для соответствия 672-П.

Читайте также