UBS | Обеспечение соответствия требованиям

Вам нужна спокойная работа, без предписаний, штрафов и административного приостановления деятельности. Но вы не сильны в законодательстве, не имеете высококвалифицированных специалистов, не знаете как правильно трактовать многочисленные его требования и чувствуете дискомфорт при упоминании о проверках.
Специалисты UBS помогут обеспечить соответствие требованиям законодательства и нормативных документов и минимизировать регуляторные риски - от обеспечения соответствия деятельности "с нуля" до сопровождения проверок.

Обеспечение соответствия требованиям законодательства РФ о персональных данных и GDPR


Законодательство РФ о персональных данных


Аудит (оценка соответствия) деятельности организации в части сбора, обработки и хранения персональных данных на соответствие требованиям законодательства РФ (в частности, 152-ФЗ и 242-ФЗ)

  • Анализ бизнес-процессов обработки персональных данных
  • Анализ организационно-распорядительной документации и информационных систем персональных данных (ИСПДн)
  • Разработка отчёта, содержащего оценку соответствия деятельности требованиям законодательства РФ
  • Разработка рекомендаций по приведению процессов обработки персональных данных, информационных систем, а также организационно-распорядительной документации в соответствие с требованиями законодательства РФ

Создание системы защиты персональных данных (СЗПДн)

  • Разработка организационно-распорядительной документации, необходимой и достаточной для обеспечения соответствия (модели угроз безопасности персональных данных, акты классификации ИСПДн, технические паспорта ИСПДн, перечень обрабатываемых персональных данных, перечень ИСПДн, перечень подразделений и сотрудников, допущенных к обработке персональных данных и др.)
  • Разработка технического задания на создание СЗПДн
  • Проектирование СЗПДн: разработка эскизного и/или технического проекта СЗПДн
  • Поставка, установка и настройка средств защиты информации
  • Обучение сотрудников правилам обеспечения безопасности персональных данных и работе с компонентами СЗПДн
  • Сопровождение СЗПДн (консультирование по применению законодательства, актуализация организационно-распорядительной документации, сопровождение проверок контролирующих органов и др.)

General Data Protection Regulation, директива ЕС 2016/679 от 27.04.2016 (GDPR)


Аудит (оценка соответствия) деятельности организации требованиям GDPR

  • Оценка применимости требований GDPR и рисков несоответствия
  • Разработка рекомендаций по обеспечению соответствия GDPR

Обеспечение соответствия требованиям GDPR

  • Разработка организационно-распорядительной документации, регламентирующей сбор, обработку и хранение персональных данных
  • Поставка, установка и настройка средств защиты информации
  • Обучение персонала правилам обеспечения безопасности персональных данных в соответствии с GDPR

Обеспечение соответствия требованиям Банка России


Положения Банка России №683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента” и №684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

В рамках 683-П и 684-П должна защищаться следующая информация:

  • Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций;
  • Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;
  • Информация об осуществленных банковских операциях;
  • Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций.

Реализация п. 5.1 положения №683-П, специфика проведения анализа уязвимостей по ОУД4, выполнение анализа защищённости приложений при использовании Agile-методологии разработки ПО - всё это не останется без внимания в ходе аудита сертифицированными аудиторами UBS.



ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер”

Аудиторы UBS помогут в трактовке и оценке соответствия более 400 требованиям стандарта, порекомендуют экономически целесообразные пути выполнения требований и применения компенсирующих мер защиты.

  • Сбор и анализ документации и информации
  • Проведение аудита на месте (разработка плана аудита, сбор и документирование свидетельств выполнения требований)
  • Разработка и согласование отчета о результатах аудита
  • Разработка и согласование рекомендаций по приведению в соответствие


Положение Банка России №382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”

BSI Certified Lead Auditor'ы UBS объективно и скрупулёзно оценят текущее соответствие, выявят несоответствия и выработают подробные рекомендации по обеспечению соответствия.

  • Сбор и анализ документации и информации
  • Проведение аудита на месте (разработка плана аудита, сбор и документирование свидетельств выполнения/невыполнения требований)
  • Разработка и согласование отчета о результатах аудита
  • Разработка и согласование рекомендаций по приведению в соответствие


Положение Банка России №747-П "О требованиях к защите информации в платежной системе Банка России"

Как правильно выделить отдельные сегменты для размещения объектов информационной инфраструктуры? Какие меры защиты информации на основных этапах обработки электронных сообщений должны применяться? Как часто должна проводиться оценка соответствия по ГОСТ 57580?



Положение Банка России №719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”

С какой периодичностью операторам по переводу денежных средств необходимо вычислять процент переводов денежных средств, выполняемых без согласия клиентов? Надо ли подтверждать адрес электронной почты, на который оператор по переводу денежных средств отправляет уведомления о совершённых переводах денежных средств? Какие дополнительные технологические меры защиты для банковских платёжных агентов, операторов услуг информационного обмена и операторов услуг платёжной инфраструктуры необходимо применять и каков порядок их применения?

Опыт консультантов UBS поможет при поиске оптимальных ответов на эти и другие вопросы по обеспечению соответствия положению 719-П.



Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"

Услуги по оценке соответствия и построению системы управления информационной безопасностью в соответствии с требованиями СТО БР ИББС обеспечивают создание системы обеспечения информационной безопасности, учитывающей лучшие мировые практики управления информационной безопасностью, а также отраслевую специфику российских банковских организаций.

  • Оценка соответствия системы обеспечения ИБ (СОИБ) требованиям комплекса СТО БР ИББС
  • Проведение инвентаризации информационных активов и оценки рисков ИБ
  • Разработка рекомендаций по приведению СОИБ в соответствие с требованиями комплекса СТО БР ИББС
  • Разработка и/или совершенствование существующей внутренней организационно-распорядительной документации в части обеспечения ИБ
  • Разработка требований и проектирование СОИБ (разработка технического задания на создание/совершенствование СОИБ, выбор и обоснование вариантов технических решений)
  • Поставка и внедрение средств защиты информации

Обеспечение соответствия требованиям законодательства в области безопасности критической информационной инфраструктуры (187-ФЗ)


1. Аудит деятельности и оценка её соответствия нормативно-правовым актам

  • Обследование деятельности организации (интервьирование ключевых специалистов, сбор данных об ИТ-инфраструктуре, анализ бизнес-процессов, организационно-распорядительной документации, сбор исходных данных для категорирования объектов КИИ и т.д.)
  • Оценка соответствия текущего состояния нормативно-правовым актам и разработка рекомендаций для обеспечения соответствия
Результат: отчёт по результатам аудита с оценкой соответствия и рекомендациями по обеспечению соответствия деятельности нормативно-правовым актам.

2. Категорирование объектов критической информационной инфраструктуры

  • Моделирование угроз безопасности информации в отношении объектов КИИ
  • Оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ в соответствии с перечнем показателей критериев значимости
  • Присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения ему категории значимости
Результат: сведения о результатах категорирования по установленной форме поданы и приняты ФСТЭК России.

3. Разработка/актуализация проектов организационно-распорядительной документации, регламентирующей обеспечение безопасности значимых объектов КИИ
Результат: комплект проектов организационно-распорядительной документации.

4. Разработка технического задания на создание системы защиты значимых объектов КИИ
Результат: техническое задание на создание системы защиты значимых объектов КИИ.

5. Разработка технического проекта системы защиты значимых объектов КИИ
Результат: технический проект системы защиты значимых объектов КИИ.


Обеспечение соответствия 98-ФЗ «О коммерческой тайне»


Как правильно ввести в действие и обеспечивать режим коммерческой тайны и какие организационно-распорядительные документы необходимы и достаточны для этого? Какую информацию можно и нужно признавать коммерческой тайной? Какие меры контроля соблюдения режима коммерческой тайны необходимы? Кто, в какой момент и как должен наносить гриф "коммерческая тайна" и как и на основании чего передавать документы с таким грифом третьим сторонам? Какие мероприятия необходимы, чтобы сотрудники соблюдали режим коммерческой тайны?

UBS поможет быстро, юридически грамотно и прагматично создать и поддерживать режим коммерческой тайны в соответствии с 98-ФЗ.


Обеспечение кибербезопасности судоходства (резолюция ИМО MSC.428(98) и циркуляр ИМО MSC-FAL.1/Circ.3)


До 01.01.2021 или до первой ежегодной проверки документа о соответствии компании (ДСК, DOC) после 01.01.2021 всем владельцам судов и организациями, любым образом ответственными за использование судов для морского международного судоходства, необходимо учесть управление киберрисками в системе управления безопасностью (СУБ) компании в соответствии с целями и функциональными требованиями Международного кодекса по управлению безопасностью (МКУБ) ИМО.

  • Разработка организационно-распорядительной документации, регламентирующей управление киберрисками в рамках СУБ, необходимой и достаточной для успешного прохождения освидетельствования СУБ, а также для обеспечения эффективной кибербезопасности судов и береговой инфраструктуры
  • Проведение комплексной (люди, бизнес-процессы, технологии, инфраструктура, данные) идентификации киберугроз и оценки киберрисков с целью обеспечения бесперебойного функционирования береговой инфраструктуры и судов в соответствии с процедурами оценки рисков СУБ
  • Определение персонала и его зон ответственности, а также активов и ресурсов, охватываемых системой управления киберрисками
  • Разработка процедур своевременной идентификации киберинцидентов, разработка защитных мер и планов обеспечения непрерывности и восстановления деятельности в случае киберинцидентов
  • Проведение мероприятий по повышению осведомлённости персонала в области кибербезопасности

Создание системы управления информационной безопасностью согласно ISO/IEC 27001


Какие требования предъявляются к организациям при сертификации согласно ISO/IEC 27001 и как наименее затратно обеспечить соответствие им? Как правильно определить и категорировать активы? Как грамотно выполнить анализ рисков? Разработка какой документации необходима при создании СУИБ и каковы требования к её содержанию? Ни один вопрос не останется без ответа BSI Certified Lead Auditor'ов UBS.

  • Оценка соответствия требованиям ISO/IEC 27001:2013
  • Создание системы управления информационной безопасностью (СУИБ) в соответствии с ISO/IEC 27001:2013 (процессная, документальная, инфраструктурная компоненты)
  • Подготовка СУИБ к сертификации на соответствие требованиям ISO/IEC 27001:2013
  • Сопровождение СУИБ

УСЛУГИ ОКАЗАНЫ


Вопросы? Ответим в течение часа.