Положение 757-П: Приведение в соответствие и оценка для НФО
В рамках 757-П мы можем провести оценку соответствия по ГОСТ Р 57580, а также разработать документы, которые будут соответствовать Положению.
В 757-П требуется использовать ПО для обработки платежей, которое прошло оценку соответствия по требованиям ОУД4. Мы можем провести подобные процедуры и выполнить работы по тестированию на проникновение, которые тоже требуется проводить в рамках соответствия Положению.
Заказать услуги по оценке соответствия по 757-ПКак проводится оценка соответствия?
Для выполнения предлагаемых услуг заказчик предоставляет информацию, которая запрашивается экспертами. В процессе выполнения работ анализируется документация по информационной безопасности, соответствие технических средств защиты информации требованиям по безопасности, а также составляется отчет, включающий результаты работ. В случае обнаружения недостатков разрабатываются рекомендации. Предварительный отчет согласовывается и направляется заказчику.
В результате выполнения оценки заказчик получает отчет и рекомендации. Отчет состоит из результатов проведенных работ, а рекомендации включают предложения по исправлению обнаруженных недостатков.
Кому необходимо соответствовать требованиям Положения 757-П?
Выполнение Положения 757-П требуется для некредитных финансовых организаций осуществляющих деятельность в сфере финансовых рынков. К таким организациям будут относиться:
- центральные контрагенты;
- центральный депозитарий;
- регистраторы финансовых транзакций;
- клиринговые организации;
- организаторы торговли;
- общества взаимного страхования;
- страховые брокеры и т.д.
Положение 757-П: обзор
Положение содержит требования по защите информации при осуществлении их деятельности. В Положении содержатся перечень организаций, которые относятся к некредитным, и присвоенный им уровень защиты информации.
Согласно Положению 757-П НФО имеется три уровня защиты информации. Это минимальный, стандартный и усиленный. Для каждого из уровней установлены требования по проведению оценки соответствия, в том числе и периодичность. Однако для минимального уровня защиты информации периодичность проведения оценки соответствия не установлена. Это не говорит о том, что оценку соответствия проводить не нужно. В п. 1.4.4. указано, что организации реализующие минимальный уровень соответствия должны соблюдать требования ГОСТ Р 57580.1.
Чтобы узнать, соответствует ли организация требованиям ГОСТ Р 57580 минимальному уровню, достаточно провести один раз оценку соответствия по ГОСТ Р 57580.1, и устранить обнаруженные нарушения и несоответствия.
Боев Андрей Валерьевич
Аналитик по безопасности программного обеспечения
Профессиональный опыт в сфере информационной безопасности с 2009 года
До какого срока нужно пройти оценку соответствия по 757-П?
Положение 757-П вступило в силу в июле 2021 года, с этого времени его требования нужно выполнять всем без исключения некредитным финансовым организациям.
Кроме этого, с 1 января 2022 года организациям, реализующим стандартный и усиленный уровни защиты информации по ГОСТ 57580.1–2017, необходимо соответствовать уровню соответствия не ниже третьего, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2–2018. Это значит, что до 1 января 2022 года нужно провести независимую оценку с привлечением сторонней организации, имеющей лицензию ФСТЭК, и получить отчёт, в котором будет указан уровень соответствия не ниже третьего. С 1 июля 2023 года требуется обеспечивать уровень соответствия не ниже четвертого.
Обязательно ли определять уровень защиты информации у НФО?
В соответствии с пунктом 1.4 Положения 757-П некредитные финансовые организации должны осуществлять защиту информации в соответствии с требованиями ГОСТ 57580. Данный стандарт содержит ряд требований, актуальных в зависимости от уровня защиты информации – соответственно, без определения этого уровня не получится определить, какие требования по защите информации являются актуальными.
Кроме этого, в пункте 1.4.1 Положения указано, что определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации. Данный пункт распространяется на все некредитные финансовые организации, так что определять уровень защиты информации обязательно.
Как связан ГОСТ Р 57580 и Положение 757-П?
В Положении 757-П содержатся требования по обеспечению соответствия ГОСТ. Так, в пункте 1.4 Положения определено, что некредитные финансовые организации различных статусов должны соблюдать требования, предусмотренные ГОСТ 57580.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по оценке соответствия по 757-П
| Услуга | Стоимость |
|---|---|
Консультация |
бесплатно |
Оценка соответствия по 757-ПОценка соответствия требованиям Положения Банка России №757-П |
от 400 000 руб. |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
Пентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
Подробнее