Положение 757-П: Приведение в соответствие и оценка для НФО

Оценка соответствия 757-П

В рамках 757-П мы можем провести оценку соответствия по ГОСТ Р 57580, а также разработать документы, которые будут соответствовать Положению.

В 757-П требуется использовать ПО для обработки платежей, которое прошло оценку соответствия по требованиям ОУД4. Мы можем провести подобные процедуры и выполнить работы по тестированию на проникновение, которые тоже требуется проводить в рамках соответствия Положению.

Заказать услуги по оценке соответствия по 757-П

Как проводится оценка соответствия?

Для выполнения предлагаемых услуг заказчик предоставляет информацию, которая запрашивается экспертами. В процессе выполнения работ анализируется документация по информационной безопасности, соответствие технических средств защиты информации требованиям по безопасности, а также составляется отчет, включающий результаты работ. В случае обнаружения недостатков разрабатываются рекомендации. Предварительный отчет согласовывается и направляется заказчику.

В результате выполнения оценки заказчик получает отчет и рекомендации. Отчет состоит из результатов проведенных работ, а рекомендации включают предложения по исправлению обнаруженных недостатков.

Кому необходимо соответствовать требованиям Положения 757-П?

Выполнение Положения 757-П требуется для некредитных финансовых организаций осуществляющих деятельность в сфере финансовых рынков. К таким организациям будут относиться:

  • центральные контрагенты;
  • центральный депозитарий;
  • регистраторы финансовых транзакций;
  • клиринговые организации;
  • организаторы торговли;
  • общества взаимного страхования;
  • страховые брокеры и т.д.

Положение 757-П: обзор

Положение содержит требования по защите информации при осуществлении их деятельности. В Положении содержатся перечень организаций, которые относятся к некредитным, и присвоенный им уровень защиты информации.

Согласно Положению 757-П НФО имеется три уровня защиты информации. Это минимальный, стандартный и усиленный. Для каждого из уровней установлены требования по проведению оценки соответствия, в том числе и периодичность. Однако для минимального уровня защиты информации периодичность проведения оценки соответствия не установлена. Это не говорит о том, что оценку соответствия проводить не нужно. В п. 1.4.4. указано, что организации реализующие минимальный уровень соответствия должны соблюдать требования ГОСТ Р 57580.1.

Чтобы узнать, соответствует ли организация требованиям ГОСТ Р 57580 минимальному уровню, достаточно провести один раз оценку соответствия по ГОСТ Р 57580.1, и устранить обнаруженные нарушения и несоответствия.

 

 

Аксенов Максим Валерьевич

Аксенов Максим Валерьевич

Специалист по информационной безопасности

Подробно о специалисте

Фролов Сергей Николаевич

Фролов Сергей Николаевич

Специалист по информационной безопасности

До какого срока нужно пройти оценку соответствия по 757-П?

Положение 757-П вступило в силу в июле 2021 года, с этого времени его требования нужно выполнять всем без исключения некредитным финансовым организациям.

Кроме этого, с 1 января 2022 года организациям, реализующим стандартный и усиленный уровни защиты информации по ГОСТ 57580.1–2017, необходимо соответствовать уровню соответствия не ниже третьего, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2–2018. Это значит, что до 1 января 2022 года нужно провести независимую оценку с привлечением сторонней организации, имеющей лицензию ФСТЭК, и получить отчёт, в котором будет указан уровень соответствия не ниже третьего. С 1 июля 2023 года требуется обеспечивать уровень соответствия не ниже четвертого.

Обязательно ли определять уровень защиты информации у НФО?

В соответствии с пунктом 1.4 Положения 757-П некредитные финансовые организации должны осуществлять защиту информации в соответствии с требованиями ГОСТ 57580. Данный стандарт содержит ряд требований, актуальных в зависимости от уровня защиты информации – соответственно, без определения этого уровня не получится определить, какие требования по защите информации являются актуальными.

Кроме этого, в пункте 1.4.1 Положения указано, что определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации. Данный пункт распространяется на все некредитные финансовые организации, так что определять уровень защиты информации обязательно.

Как связан ГОСТ Р 57580 и Положение 757-П?

В Положении 757-П содержатся требования по обеспечению соответствия ГОСТ. Так, в пункте 1.4 Положения определено, что некредитные финансовые организации различных статусов должны соблюдать требования, предусмотренные ГОСТ 57580.

Задать свой вопрос

    Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Наши преимущества

    Конкурентные цены

    Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

    Объективные сроки

    Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

    Компетентные специалисты

    Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

    Стоимость по оценке соответствия по 757-П

    Услуга Стоимость

    Консультация

    бесплатно

    Оценка соответствия по 757-П

    Оценка соответствия требованиям Положения Банка России №757-П

    от 400 000 руб.

    Свяжитесь с нами

      Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

      This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

      Услуги для Вас

      Пентест (pentest)

      Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

      Подробнее

      ГОСТ Р 57580

      Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

      Подробнее

      Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

      Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

      Подробнее