В АО «Специализированный депозитарий «ИНФИНИТУМ» завершен проект по оценке соответствия системы обеспечения и управления информационной безопасностью (СОИБ) требованиям ГОСТ Р 57580.1-2017. Данный ГОСТ определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер ее защиты, которые применяются финансовыми организациями для реализации требований, установленных нормативными актами Банка России.
Потребности бизнеса
В ближайшее время стандарт ГОСТ Р 57580.1-2017 станет обязательным для некредитных финансовых организаций, поэтому для ИНФИНИТУМ было важно заблаговременно получить профессиональные рекомендации по улучшению СОИБ.
Необходимо было собрать и проанализировать различного рода информацию о сетевой инфраструктуре компании, используемую для функционирования бизнес-процессов информационных систем ИНФИНИТУМ, а также о задействованных технологиях, аппаратном и программном обеспечении.
Задачи
Проект было важно начать реализовывать еще до выхода Положения Банка России №684-П, которое обязывает с 1 января 2021 года соответствовать требованиям по обеспечению стандартного уровня защиты информации. ИНФИНИТУМ было важно заблаговременно предпринять конкретные действия для выполнения всех требований регулятора.
Решение
Проект был выполнен за три месяца и проходил в два этапа.
Первый этап состоял из трех стадий: проведения предварительной оценки соответствия и согласования промежуточных результатов, оценки соответствия и разработки итоговых документов по ее результатам, а также подготовки рекомендаций по совершенствованию СОИБ ИНФИНИТУМ. В ходе второго этапа была разработана нормативная документация по обеспечению защиты информации в рамках ГОСТ Р 57580.1-2017.
Важным элементом проекта стало проведение анализа инфраструктуры компании на предмет используемых программных активов по методологии Microsoft Software Asset Management (SAM), неотъемлемой частью которой является SAM Cybersecurity Assessment. Это позволит не только повысить общий уровень кибербезопасности, но и оптимизировать использование программного обеспечения в компании.
В ходе всего проекта были проинтервьюированы работники, ответственные за организацию и безопасность работы корпоративной сети ИНФИНИТУМ, проведен анализ полученной информации, разработаны соответствующие рекомендации. Специалисты «Информзащиты» активно использовали собственный инструмент для автоматизации процедуры расчета оценки соответствия. Результаты этой автоматизации будут полезны при реализации подобных проектов в других организациях.
Результат
По итогу проекта были подготовлены отчеты, описывающие текущий уровень соответствия СОИБ ИНФИНИТУМ ГОСТу, а также рекомендации по повышению этих показателей.
Рекомендации включали в себя предложения по внесению изменений в технические и организационные составляющие системы обеспечения и управления информационной безопасностью, на основании которых в ИНФИНИТУМ был подготовлен план совершенствования СОИБ.