dark-logo

Оценка соответствия 757‑П для НФО

Определим применимые требования, проверим организационные и технические меры, зафиксируем несоответствия и разработаем план доработок под специфику вашей деятельности.

Head-742

Для каких НФО применимо?

 

Снимаем с НФО неопределённость по 757-П. Определяем применимые именно к вам требования и показываем, как они связаны с вашими бизнес-процессами, ИТ-системами, защищаемой информацией и уже внедрёнными мерами ИБ.


Работаем без шаблонов: страховая, МФО, брокер, УК, НПФ и депозитарий слишком разные, чтобы применять к ним одинаковый подход. Начинаем с анализа вашей реальной деятельности — операций, систем, участников процессов, использования электронных сообщений, ЭП, СКЗИ, подрядчиков и внешних интеграций. Только так оценка даёт практический результат, а не формальную отписку.

Страховые организации

Главный вызов — распределённые каналы продаж и обслуживания: клиентские и агентские кабинеты, партнёрские интеграции, урегулирование убытков, обмен данными с медицинскими организациями, автосервисами, оценщиками и другими контрагентами. Разбираемся, кто имеет доступ к страховым делам, какие формируются выгрузки, как фиксируются действия агентов и сотрудников, как контролируется передача защищаемой информации третьим лицам.

Страховые организации

Главный вызов — распределённые каналы продаж и обслуживания: клиентские и агентские кабинеты, партнёрские интеграции, урегулирование убытков, обмен данными с медицинскими организациями, автосервисами, оценщиками и другими контрагентами. Разбираемся, кто имеет доступ к страховым делам, какие формируются выгрузки, как фиксируются действия агентов и сотрудников, как контролируется передача защищаемой информации третьим лицам.

01-719p

МФО

В центре внимания — быстрый дистанционный цикл выдачи займа: заявка, идентификация, скоринг, запросы в БКИ, антифрод, подписание договора, выдача средств и приём платежей. Смотрим, насколько контролируются API, внешние сервисы, ручные корректировки решений, действия сотрудников с заявками, платёжные статусы и логи клиентского пути.

01-719p

НПФ

Главное — надёжность долгосрочного учёта и хранения пенсионной информации. Проверяем, где хранятся пенсионные данные, кто имеет к ним доступ, как фиксируются изменения, как контролируются архивы, исторические системы, ручные выгрузки, миграции данных, резервное копирование и восстановление.

01-719p

Депозитарии

В приоритете — операционная дисциплина, целостность учётных данных и доказуемость операций с ценными бумагами. Смотрим приём и исполнение поручений, проверку полномочий, учёт прав, сверки, взаимодействие с НРД и участниками рынка, использование ЭП/СКЗИ, контроль изменений и привилегированного доступа.

01-719p

Брокеры и профучастники рынка ценных бумаг

Ключевое — доказуемость клиентских поручений и финансово значимых действий. Для 757-П восстанавливаем всю цепочку: клиент вошёл в ЛК, мобильное приложение, терминал или API, сформировал поручение, подтвердил действие, система проверила ограничения, операция исполнена, результат отражён в учёте, а ключевые события сохранены в журналах.

01-719p

Управляющие компании

Здесь фокус не на массовых онлайн-каналах, а на процессном контроле инвестиционных решений. Проверяем согласование операций, разделение полномочий, контроль инвестиционных ограничений, направление поручений брокерам, депозитариям и спецдепозитариям, хранение подтверждающих материалов и журналирование действий ответственных лиц.

01-719p

Иные НФО

Подход всегда подбираем под конкретную модель деятельности. Определяем, какие финансовые операции выполняются, какие технологические участки и ИС задействованы, где возникает защищаемая информация, какие электронные сообщения формируются, где используются ЭП и СКЗИ, какие подрядчики подключены и какие доказательства выполнения требований уже есть.

01-719p

Страховые организации

Главный вызов — распределённые каналы продаж и обслуживания: клиентские и агентские кабинеты, партнёрские интеграции, урегулирование убытков, обмен данными с медицинскими организациями, автосервисами, оценщиками и другими контрагентами. Разбираемся, кто имеет доступ к страховым делам, какие формируются выгрузки, как фиксируются действия агентов и сотрудников, как контролируется передача защищаемой информации третьим лицам.

01-719p

Что проверяем?

 

Не ограничиваемся формальной проверкой наличия документов.

 

Наша задача — определить, какие требования 757-П действительно применимы к вашей НФО и как они связаны с реальными бизнес-процессами, информационными системами, технологическими участками и уже реализованными мерами защиты информации.

Применимость требований

Определяем, какие требования 757-П применимы именно к вашей организации с учётом статуса, вида деятельности, уровня защиты информации, наличия дистанционных каналов, финансовых операций, электронных сообщений, СКЗИ, ЭП, ЕСИА/ЕБС, СБП, СПФС, SWIFT и внешних интеграций.

Применимость требований

Определяем, какие требования 757-П применимы именно к вашей организации с учётом статуса, вида деятельности, уровня защиты информации, наличия дистанционных каналов, финансовых операций, электронных сообщений, СКЗИ, ЭП, ЕСИА/ЕБС, СБП, СПФС, SWIFT и внешних интеграций.

audit-etap2

Документы и регламенты

Проверяем наличие и актуальность документов, описывающих систему защиты информации: политики, положения, модель угроз, регламенты управления доступом, инцидентами, уязвимостями, изменениями, СКЗИ, электронной подписью, журналированием и взаимодействием с третьими лицами.

audit-etap2

Организационные меры

Разбираемся, как в компании распределены роли и ответственность: кто владеет процессами, кто отвечает за ИБ, ИТ, технологические участки, инциденты, доступы, электронные сообщения, взаимодействие с Банком России и внешними участниками.

audit-etap2

Технические меры

Смотрим, как реализованы меры защиты на уровне систем и инфраструктуры: управление доступом, MFA, сегментация сети, защита API и внешнего периметра, СЗИ, СКЗИ, ЭП, логирование, мониторинг, резервное копирование, защита от вредоносного кода, DLP, защита виртуализации и удалённого доступа.

audit-etap2

Доказательства выполнения и контроля

Проверяем не только документы, но и реальные свидетельства: выгрузки прав доступа, журналы событий, скриншоты настроек, отчёты пентестов и сканирований, карточки инцидентов, заявки на доступ, результаты пересмотра прав, схемы архитектуры, сертификаты СКЗИ, договоры с подрядчиками.

audit-etap2

Распределение ролей

Выясняем, понятно ли в компании, кто отвечает за выполнение требований 757-П: владелец процесса, владелец системы, ИБ, ИТ, эксплуатация, разработка, администраторы, подразделение рисков, ответственные за инциденты и взаимодействие с Банком России.

audit-etap2

Подрядчики и третьи лица

Анализируем, какие внешние организации участвуют в оказании финансовой услуги и обработке защищаемой информации: ЦОД, облачные провайдеры, разработчики, интеграторы, банки, РФТ, платёжные сервисы, провайдеры идентификации, СМС/email/push-сервисы, подрядчики по ИБ и ИТ.

audit-etap2

Применимость требований

Определяем, какие требования 757-П применимы именно к вашей организации с учётом статуса, вида деятельности, уровня защиты информации, наличия дистанционных каналов, финансовых операций, электронных сообщений, СКЗИ, ЭП, ЕСИА/ЕБС, СБП, СПФС, SWIFT и внешних интеграций.

audit-etap2

Что происходит после оценки?

Сопровождение внедрения мер

Помогаем перевести рекомендации из отчёта в реальные изменения: внедряем организационные и технические меры защиты информации, дорабатываем процессы, регламенты и контрольные процедуры под требования 757-П и специфику вашей НФО.

Устранение критичных несоответствий

Закрываем в первую очередь те пробелы, которые несут наибольшие риски для организации и могут стать предметом замечаний регулятора: настраиваем процессы управления доступом, инцидентами, СКЗИ и ЭП, готовим недостающие документы и свидетельства выполнения требований.

Сопровождение внедрения мер

Помогаем перевести рекомендации из отчёта в реальные изменения: внедряем организационные и технические меры защиты информации, дорабатываем процессы, регламенты и контрольные процедуры под требования 757-П и специфику вашей НФО.

Устранение критичных несоответствий

Закрываем в первую очередь те пробелы, которые несут наибольшие риски для организации и могут стать предметом замечаний регулятора: настраиваем процессы управления доступом, инцидентами, СКЗИ и ЭП, готовим недостающие документы и свидетельства выполнения требований.

Особенности нашей работы

Работаем очно и дистанционно

При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.

ITG S

Долгосрочное партнёрство

Становимся доверенным партнером по ИБ, а не разовым подрядчиком.

Смежная экспертиза

Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ

Не ограничиваемся отчетом

Помогаем внедрить изменения до результата и перепроверить на соответствие требованиям 757-П и ГОСТ Р 57580

Работаем очно и дистанционно

При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.

ITG S

Долгосрочное партнёрство

Становимся доверенным партнером по ИБ, а не разовым подрядчиком.

Смежная экспертиза

Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ

Не ограничиваемся отчетом

Помогаем внедрить изменения до результата и перепроверить на соответствие требованиям 757-П и ГОСТ Р 57580

ITG Security - это

Всё в одном окне

Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений

4_50061c7ba1 1 (1)

Партнёрство и сопровождение

Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе

Разультативность, а не формальности

Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты

Прозрачность и надёжность

Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество

Индивидуальный подход

Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов

Всё в одном окне

Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений

4_50061c7ba1 1 (1)

Партнёрство и сопровождение

Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе

Разультативность, а не формальности

Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты

Прозрачность и надёжность

Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество

Индивидуальный подход

Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов

Лицензии

Лицензия ФСБ РФ

Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.


Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.

Group 18

Лицензия ФСБ РФ

Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.


Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.

Group 18

Лицензия ФСТЭК РФ

Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:

  • контролю защищённости от НСД и модификации в системах информатизации;
  • проектированию защищённых средств, систем и помещений;
  • установке, монтажу, испытаниям и ремонту СЗИ;
  • разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
  • услуги по мониторингу информационной безопасности средств и систем информатизации;

Проверить лицензию

Group 20

Лицензия ФСБ РФ

Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.


Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.

Group 18

Нам доверяют

Часто задаваемые вопросы

img_3 1

Ваша проблема — наше решение

check
Оценка соответствия 757-П для НФО — аудит и план доработок | ITG Security