Compliance Management (соблюдение требований законодательства) в банке — как всё учесть и не сойти с ума

Compliance Management в банке — как всё учесть и не сойти с ума

Compliance Management в банке — как всё учесть и не сойти с ума

Неотъемлемой частью защиты информации в организации является обеспечение соответствия различным законодательным и нормативным требованиям. Как учесть все требования и не сойти с ума? Как не «тушить пожары» и не корректировать нормативную документацию хаотично от случая к случаю? Ответы на эти вопросы мы дадим ниже.

 

 

 

 

 

  1. Введение
  2. Шаг 0. Определяем контекст
  3. Шаг 1. Формируем перечень применимых требований
  4. Шаг 2. Проводим маппинг
  5. Шаг 3. Формируем сводный реестр требований
  6. Шаг 4. Заполняем реестр
  7. Шаг 5. Вводим в действие и организуем работу
  8. Выводы

Введение

Количество новых нормативных актов различных регуляторов в сфере ИБ (Банк России, ФСТЭК России, ФСБ России, Минцифры и т. д.) растёт с каждым годом, что влечёт за собой увеличение количества требований, которым должны соответствовать поднадзорные им организации. В ряде случаев это, в частности, привело к возникновению в структуре служб ИБ отдельных направлений, связанных с методологией ИБ, одной из основных задач которых является обеспечение соответствия требованиям (отслеживание изменений в них, а также их оценка и организация работ по обеспечению соответствия, в т. ч. по разработке необходимой нормативной документации). Однако выделить ресурсы для создания такого процесса способны далеко не все организации. Как правило, это крупные компании, обладающие хорошим уровнем ресурсов и зрелости процессов ИБ. В то же время требованиям в равной степени должны соответствовать и средние и небольшие организации, ресурсов в которых зачастую не хватает, а до работ по выстраиванию соответствия требованиям просто не «доходят руки».

В этой статье мы предлагаем алгоритм действий, основанный на нашем опыте выстраивания процесса по обеспечению соответствия требованиям в ряде российских банков и его последующего сопровождения.

Важно отметить, что несмотря на общую направленность на финансовые организации, данные рекомендации применимы не только к банкам. Статья будет в целом полезна всем тем компаниям, которые желают правильно выстроить у себя процесс соответствия требованиям. Кроме того, статью также можно рассматривать в качестве чек-листа или шпаргалки для построения процесса. Статья приведена в формате мастер-класса, при этом рассматривается Microsoft Excel как самый простой и доступный вариант инструмента его реализации, однако предложенный алгоритм возможно адаптировать под инструменты используемые в конкретной компании.

Шаг 0. Определяем контекст

Прежде всего необходимо определить, что собой представляет организация, в которой следует выстроить процесс обеспечения соответствия требованиям (т. е. определить её контекст). Исходя из результатов определения контекста станет возможно понять, каким требованиям по ИБ следует обеспечить соответствие.

В качестве примера рассмотрим типовой российский банк. Такой банк является участником платёжной системы Банка России, в связи с чем к нему применимы требования основных Положений Банка России, регламентирующих вопросы обеспечения защиты информации в банковской отрасли (382-П, 683-П и 747-П). Как следствие из требований Положений ЦБ РФ, банк обязан также выполнять и требования стандарта ГОСТ Р 57580.1. Кроме этого банк является участником сообщества SWIFT, имеет сегмент обработки данных платёжных карт, в связи с чем на него также распространяются требования SWIFT CSP (Society for Worldwide Interbank Financial Telecommunications Customer Security Programme) и стандарта PCI DSS (PCI DSS Requirements and Security Assessment Procedures).

Помимо законодательных и нормативных требований к такому банку также могут быть применимы требования головной компании (в случае если он является дочерним подразделением крупного банка или входит в банковскую группу) или требования накладываемые договорными отношениями с контрагентами, а также положения и подходы «лучших практик» в сфере ИБ (таких как стандарты ISO 27001, NIST и другие).

Результатом данного шага является сформированный полный перечень применимых к банку нормативных документов, стандартов и т. п. (далее — нормативные источники). Как правило, у отвечающего за ИБ подразделения в том или ином виде имеется представление о наборе нормативных актов и стандартов, которым должна соответствовать организация. Соответственно, задача по формированию перечня нормативных источников не создаст особых сложностей.

Шаг 1. Формируем перечень применимых требований

После определения перечня нормативных источников необходимо выписать все требования, приведённые в них, в единый документ. На этом этапе можно сразу определить и исключить из рассмотрения неприменимые конкретно к вашей организации требования (например, по уровню защищённости ГОСТ, который должен быть реализован, по типу взаимодействия с платёжной системой Банка России, архитектуре сегмента SWIFT и т. п.). Также на данном этапе рекомендуется сразу определить область действия каждого требования в разрезе технологических и бизнес-процессов организации, её информационных систем (ИС).

Шаг 2. Проводим маппинг

После формирования перечня применимых требований для упрощения последующей работы необходимо провести их группировку (маппинг). В основе процесса Compliance Management лежит утверждение, что любую сложную область (в т. ч. и ИБ) можно разделить на вполне конкретные подобласти (разделы), каждая из которых описывает некий конкретный процесс (или набор процессов). Например: управление правами доступа, регистрация и мониторинг событий безопасности, защита от вредоносного кода и т. п. Как правило, данные разделы уже хорошо структурированы в различных «лучших практиках» (например, ISO 27001, NIST или более близкие банкам СТО БР ИББС и ГОСТ Р 57580.1). Выписываем перечень всех применимых к вашей организации разделов.

После определения применимых разделов распределяем подходящие по смыслу требования из нормативных источников, выписанные на предыдущем шаге, по данным разделам. В таблице Excel, например, для этого удобно создать отдельный столбец с возможностью фильтрации по нему. В случае возникновения затруднений, связанных с тем, к какому конкретно разделу следует отнести то или иное требование, рекомендуется создать отдельный раздел «Прочее».

Шаг 3. Формируем сводный реестр требований

После того как маппинг проведён, приходит время свести все наработки воедино. Для этого создаём так называемый сводный реестр требований. В него вносим все определённые ранее нормативные требования, а также организуем их фильтрацию по следующим параметрам:

  • источник требования;
  • применимость;
  • область применения;
  • разделы.

В реестр также вносим перечень внутренней нормативной документации (как уже имеющейся, так и подлежащей разработке или доработке). При этом формируем плоскую матрицу: по вертикали отражаются все нормативные требования, по горизонтали — документы.

Для удобства, названия документов можно заменить на условные обозначения, коды и т. п. Также для упрощения последующей работы с реестром и увеличения его полезности рекомендуется добавить версионность реестра, перечень разработанных или подлежащих разработке документов, легенду, версионность документов, дату пересмотра и иные необходимые для комфортной работы параметры. Кроме того, нелишним будет добавить столбец с кратким описанием реализации каждого нормативного требования конкретно в вашей организации. Такое описание может значительно помочь в дальнейшем, например в случае проведения внутренних и внешних аудитов и проверок.

Шаг 4. Заполняем реестр

После того как реестр сформирован, настаёт время наполнить его, а именно отразить в нём то, какое нормативное требование в каком документе должно содержаться. Для этого в получившейся матрице следует проставить обозначения в полях на пересечении требования и документа, в котором следует отразить данное требование. Заполнять реестр удобнее всего по частям, пользуясь фильтрацией по столбцу с разделами требований, определёнными на шаге 2. Например, отфильтровав реестр по разделу связанному с требованиями по управлению доступом, отражаем эти требования в «Положении по управлению доступом», и т. д.

Шаг 5. Вводим в действие и организуем работу

После того как реестр будет готов, следует запустить сам процесс управления соответствием. Для этого необходимо назначить ответственного и возложить на него обязанности по ведению, регулярному контролю и пересмотру реестра. Также важно разместить реестр в удобном месте, где он может быть доступен всем заинтересованным лицам (например, на сетевом диске (хранилище) службы ИБ).

Организуем доработку или разработку нормативных документов в соответствии с реестром. Для этого проводим фильтрацию по столбцу, соответствующему каждому документу, и получаем перечень необходимых требований, которые следует отразить в документе.

Как поддерживать реестр в актуальном состоянии? Рекомендуется выделить определённое время (например, несколько часов в месяц), в течение которого ответственный за ведение реестра актуализирует статус всех применимых к организации требований. При этом в случае выявления новых или изменённых требований они вносятся в реестр в соответствии с приведённым выше алгоритмом.

Выводы

После выполнения всех приведённых в статье шагов мы получили простой и удобный инструмент для отслеживания изменений в нормативных требованиях, а также их сопоставления с внутренними нормативными документами организации.

Назовём несколько преимуществ данного подхода:

  • вся информация, связанная с соответствием требованиям, а также с внутренней нормативной документацией, приведена в одном месте в едином файле, не нужно искать сведения в разных источниках;
  • в части отражения применимых требований корректировка существующих нормативных документов или разработка новых становится простым и понятным процессом, который может выполняться на регулярной основе, а не от случая к случаю;
  • при возможных проверках или получении запросов проверяющих органов легко быстро сориентироваться, в каком документе отражено то или иное требование, а также какие документы в целом описывают тот или иной процесс;
  • сводный реестр может вестись одним человеком и не требует значительных временных и финансовых затрат.

Исходя из этого, приведённый в статье подход позволит организовать регулярный процесс обеспечения соответствия требованиям с минимальными затратами и максимальной эффективностью.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru