Рекомендации по выбору и реализации мер защиты информации в соответствии с ГОСТ Р 57580.1

Деятельности финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня. Снижение операционного риска финансовой организации, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Согласно ГОСТ Р 575809.1 вводится дифференцированный подход при определении уровня защиты информации автоматизированных систем финансовых организаций.

Выбор мер защиты информации требует глубокого знания нормативной базы, правильной оценки угроз безопасности информации (модели угроз и нарушителя) и определения требуемого уровня защищенности автоматизированных систем финансовой организации.

НТЦ «Вулкан» выполняет в интересах заказчика разработку рекомендаций по выбору и реализации мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1.

Состав работ

  • Идентификация объектов информатизации, определение типа защищаемой информации.
  • Выбор базового состава мер защиты информации согласно ГОСТ Р 57580.1.
  • Адаптация выбранного состава мер защиты информации с учетом модели угроз и нарушителей безопасности информации.
  • Дополнение адаптированного состава мер защиты информации мерами, установленными иными нормативными актами в области обеспечения безопасности и защиты информации.

Полученный в результате работ базовый состав организационных и технических мер защиты информации охватывает основные процессы защиты информации, в том числе:

  • Процесс «Обеспечение защиты информации при управлении доступом».
  • Процесс «Обеспечение защиты вычислительных сетей».
  • Процесс «Контроль целостности и защищенности информационной инфраструктуры».
  • Процесс «Защита от вредоносного кода».
  • Процесс «Предотвращение утечек информации».
  • Процесс «Управление инцидентами защиты информации».
  • Процесс «Защита среды виртуализации».
  • Процесс «Защита информации при удаленном доступе с мобильных устройств».

При невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации базового состава мер разрабатываются и обосновываются компенсирующие меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

Преимущества

  • Работы по формированию рекомендаций по выбору и реализации мер защиты информации выполняются в строгом соответствии с рекомендациями ГОСТ Р 57580.1.
  • Разрабатываемый комплекс мер защиты информации применим к совокупности объектов информатизации, в том числе к системам, используемым финансовыми организациями для выполнения бизнес-процессов и технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств.
  • Полученный состав мер защиты информации так же может быть использован финансовыми организациями для обеспечения выполнения требований к защите персональных данных при их обработке в информационных системах персональных данных.