Оценка соответствия в сегменте ЕБС

Аудит Единой биометрической системы банка

Оценка соответствия в сегменте ЕБС (Единой Биометрической Системы) организаций должна проводиться в соответствии с Приказом Минкомсвязи России № 930 сторонней организацией, имеющей соответствующие лицензии, на ежегодной основе.

Заказать услуги по аудиту в сегменте ЕБС

Кому и почему нужно проводить аудит ЕБС?

Согласно п.4 Приложения 3 Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 10.09.2021 г. № 930, организации финансового рынка при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017
Указанный уровень должен реализовываться в сегменте Единой биометрической системы (ЕБС) банка.

Важно: проведение оценки соответствия в сегменте ЕБС банка по ГОСТ Р 57580 осуществляется только в рамках такого сегмента, информационная инфраструктуры всего банка не входит в область оценки.

Кредитные организации, некредитные финансовые организации, которые осуществляют сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049; 2020, N 49, ст. 7943), и информирование Банка России о результатах такой оценки.

ВАЖНО! Для организаций не относящихся к организациям финансового рынка, но осуществляющих сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Минцифры России о результатах такой оценки.

 

Кто контролирует выполнение требований и какие последствия могут быть?

Регуляторами выполнения требования Приказа Минкомсвязи № 930 являются само Министерство, а также Центральный Банк РФ.

Так в п. 7 Приложения № 1 указано, что кредитные и некредитные финансовые организации, должны обеспечивать:

1) информирование Минцифры России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно — инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.
Организации, указанные в настоящем пункте, осуществляют информирование Минцифры России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления;

Таким образом необходимо ежегодное проведение оценки соответствия по ГОСТ для всех организаций осуществляющих сбор и обработку биометрических данных и обязательное информирование о выявленных инцидентах. Для кредитных и некредитных финансовых организаций – информирование ЦБ. Для организаций не попадающих под регулирование ЦБ – информирование Минцифры России. Последствия за невыполнение данного приказа, могут повлечь за собой штрафные санкции, а также другие меры взыскания, предусмотренные законодательством и регулятором.

 

Что такое аудит ЕБС и в чем он заключается?

Проведение оценки соответствия сегмента ЕБС является частью аудита и представляет собой проверку выполнения и реализации мер защиты, реализованных в сегменте банка в соответствии со Стандартным уровнем защиты информации по ГОСТ Р 57580.1-2017.
В ходе проведения, осуществляется сбор сведений, свидетельствующих о выполнении мер защиты. В первую очередь рассматривается состав и содержание документации по информационной безопасности в сегменте ЕБС. Вместе с документами проводится интервьюирование сотрудников, анализируются переданные скриншоты, фотографии, лог-файлы и прочие свидетельства о реализации системы защиты.
Как правило, сегмент ЕБС рассматривается в рамках процессов защиты информации в соответствии с ГОСТ Р 57580 в составе:

  • Обеспечение защиты информации при управлении доступом;
  • Обеспечение защиты вычислительных сетей;
  • Контроль целостности и защищенности информационной инфраструктуры;
  • Защита от вредоносного кода;
  • Предотвращение утечек информации;
  • Управление инцидентами защиты информации.

По результатам оценки формируется отчет и прилагаемые к нему свидетельства выполнения по требованиям ГОСТ Р 57580.2-2018.

Важно:
В отличие от требований к оценке соответствия банков при осуществлении переводов денежных средств, не устанавливается минимальный порог к количественным показателям результатов оценки. Как следствие, уровень соответствия защиты информации по ГОСТ Р 57580 может быть любым.
Однако, в п.4 Приложения 3 к Приказу Минкомсвязи № 930 определенно, что в сегменте ЕБС банка должны использоваться информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017. Данный уровень включает около 450 мер защиты.
Следовательно, чем больше количество не выполненных мер, тем меньше организация соответствует условиям требования п. 5.

 

Какие мероприятия необходимы, кроме проведения оценки?

До проведения финальной оценки соответствия (GAP-анализ) и оформления отчета, рекомендуется провести предварительную оценку. Ее смысл заключается в проверке выполнения организационных и технических мер защиты, и определения мероприятий, которые помогут устранить несоответствия на этапе проведения аудита. Тем самым имеется возможность повысить финальную оценку соответствия.
Также введение в эксплуатацию новых средств защиты способствует повышению количественных показателей итоговой оценки соответствия по ГОСТ Р 57580.

Важно:
Результаты GAP-анализа не являются итоговыми показателями.

Важное значение при проведении оценки имеет внутренняя документация по ИБ сегмента ЕБС. Наличие пакета таких документов, а также приведение в соответствие документов требованиям ГОСТ Р 57580, способствует выполнению не малого перечня организационных мер защиты, что так же влияет на итоговую оценку соответствия.

 

Кто может проводить аудит ЕБС?

Согласно п.7,8 Приложения 1 к Приказу Минкомсвязи № 930 проведение оценки соответствия должно проводиться сторонней организацией, имеющей соответствующие лицензии:

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79.

Аксенов Максим Валерьевич

Аксенов Максим Валерьевич

Специалист по информационной безопасности

Подробно о специалисте

Фролов Сергей Николаевич

Фролов Сергей Николаевич

Специалист по информационной безопасности

Как часто нужно проводить аудит ЕБС в соответствии с Приказом № 930?

В соответствии с пп.2 пункта 7 Приложения 1 к Приказу Минкомсвязи №930, проведение оценки соответствия должно производиться на ежегодной основе. Оценка соответствия должна производиться в соответствии с требованиями ГОСТ Р 57580.1–2017 для стандартного уровня защиты информации.

Кто является регуляторами в Приказе №930?

Применительно к данному нормативно-правовому акту регулятором является Министерство цифрового развития, связи и массовых коммуникаций РФ. Кроме этого, Приказ содержит отсылки на 149-ФЗ, в котором (пункт 10.1 статьи 14.1) отражено, что надзор осуществляет федеральный орган исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.

Какое наказание грозит организации за непроведение аудита ЕБС?

В настоящий момент штрафные санкции со стороны регулятора за невыполнение требований Приказа не определены. Несмотря на это, при проверках банковских организаций ЦБ может выдать предписание за невыполнение рекомендаций 4-МР, подразумевающих проведение оценки сегмента ЕБС.

Задать свой вопрос

    Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Наши преимущества

    Конкурентные цены

    Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

    Объективные сроки

    Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

    Компетентные специалисты

    Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

    Стоимость по аудиту в сегменте ЕБС

    Услуга Стоимость

    Консультация

    бесплатно

    Оценка соответствия ЕБС

    Оценка соответствия в сегменте ЕБС по ГОСТ Р 57580

    по запросу

    Свяжитесь с нами

      Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

      This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

      Услуги для Вас

      ГОСТ Р 57580

      Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

      Подробнее