Компания GlobalTrust разработала комплект типовых политик информационной безопасности GTS 57580 (У), адаптированный специально для финансовых организаций, которым необходимо обеспечивать усиленный уровень защиты информации. Комплект включает в себя 10 типовых политик защиты информации, охватывающих все предъявляемые к финансовым организациям требования по обеспечению безопасности информации с учетом рекомендаций Банка России в области стандартизации процессов обеспечения ИБ (PC БР ИББС).
В соответствии с Положением Банка России от 17 апреля 2019 г. № 683-П кредитные организации должны обеспечивать реализацию требований национального стандарта РФ ГОСТ Р 57580.1-2017 по защите информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций.
Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации. Остальным кредитным организациям достаточно реализовать стандартный уровень защиты информации, определяемый ГОСТ Р 57580.1-2017.
Политики безопасности из комплекта GTS 57580 (У) также подойдут некредитным финансовым организациям (репозитарии, депозитарии, клиринговые организации, организаторы торговли, пенсионные фонды, брокеры, страховые компании и т.п.), которым в соответствии с Положением Банка России № 757-П, необходимо обеспечить соответствие ГОСТ Р 57580.1-2017 по усиленному или стандартному уровню защиты информации.
Некредитным финансовым организациям с минимальным уровнем защиты информации, подойдет упрощенная версия комплекта политик информационной безопасности GTS 57580 (M). К таким организациям относятся в частности банковские платежные агенты, небольшие пенсионные фонды, управляющие компании и т.п.
Все предоставляемые компанией GlobalTrust комплекты документов обеспечиваются гарантиями соответствия и актуальности, а также технической и консультационной поддержкой их адаптации и внедрения с учетом специфики конкретных финансовых организаций.
О компании GlobalTrust
Компания GlobalTrust с 2003 года осуществляет полное документальное обеспечение и сопровождение систем защиты информации и систем менеджмента информационной безопасности в организациях различного масштаба и сферы деятельности. С момента основания компании ее клиентами стали более 500 российских организаций. Эксперты GlobalTrust реализовали более 200 комплексных проектов по созданию и совершенствованию систем защиты информации.
Посмотрел состав комплекта gts 57580. Он включает в себя только политики верхнего уровня. А что насчёт документов более низкого уровня?
Действительно данный комплект содержит только документы ИБ верхнего уровня (Корпоративная политика ИБ и подполитики (частные политики ИБ)). Согласно РС БР ИББС 2.02007 это первый и второй уровень документации (без планов). Этого достаточно, чтобы обеспечить соответствие ГОСТ Р 57580 в части документирования мер защиты информации.
На основе имеющихся политик ИБ можем разработать, при необходимости, документы более низких уровней 3-4 (процедуры, регламенты, инструкции, планы, акты, журналы и т.п.).
Потребность в разработке таких документов обычно выясняется в процессе применения требований более высокого уровня (политик ИБ). Такая разработка выполняется с учетом специфики конкретной организации и обычно требует проведение мини-аудита, в ходе которого документируются существующие процессы организации для конкретной области ИБ, путем анализа имеющейся документации и интервьюирования участников данных процессов.
Разработать конечно можно. А готовые шаблоны низкоуровневых документов имеются?
Документы более низкого уровня (3-4 уровень иерархии по РС БР ИББС 2.02007) в основном содержаться в составе комплекта GTS 1035:
https://globaltrust.ru/komplekt-tipovyh-po-ib/
Там имеются следующие документы ниже уровня подполитик (положений):
Также в качестве приложений к отдельным политикам из этого комплекта идут следующие шаблоны документов:
Еще в составе комплекта GTS 1071 много документов 3-4 уровня иерархии (но применительно к защите ПДн).
https://globaltrust.ru/komplekt-tipovyh-dokumentov-dlya-operatorov-personalnyh-dannyh/