Оценка соответствия в сегменте ЕБС банка

Аудит Единой биометрической системы банка

Оценка соответствия в сегменте ЕБС (Единой Биометрической Системы) банка должна проводиться в соответствии с Приказом Минкомсвязи России № 321 сторонней организацией, имеющей соответствующие лицензии, на ежегодной основе.

Заказать услуги по аудиту ЕБС банка

Кому и почему нужно проводить аудит ЕБС?

Согласно п.5 Приложения 3 Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 25.06.2018 г. № 321, банки при обработке и передаче биометрических персональных данных граждан РФ обязаны реализовывать уровень защиты информации в соответствии со Стандартным уровнем по ГОСТ Р 57580.1-2017. Указанный уровень должен реализовываться в сегменте Единой биометрической системы (ЕБС) банка.

Важно: проведение оценки соответствия в сегменте ЕБС банка по ГОСТ Р 57580 осуществляется только в рамках такого сегмента, информационная инфраструктуры всего банка не входит в область оценки.

Необходимость проведения ежегодной оценки соответствия сторонней организацией указана в п. 9 Приложения 1 к Приказу № 321.

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, № 26, ст. 4049).

Не уточняется в каком порядке и в соответствии с чем осуществляется проведение оценки. Однако, учитывая требование реализовывать меры защиты согласно Стандартному уровню защиты по ГОСТ Р 57580, то проводить оценку необходимо в соответствии с ГОСТ. Кроме того, в первой части ГОСТ Р 57580.1-2017 указано, что оценка соответствия реализации системы защиты проводится по отношению к составу мер защиты, соответствующих уровням защиты.
Таким образом, ежегодное проведение оценки соответствия необходимо выполнять согласно Приказу № 321 в соответствии с ГОСТ Р 57580.

Кто контролирует выполнение требований и какие последствия могут быть?

Регуляторами выполнения требования Приказа Минкомсвязи № 321 являются само Министерство, а также Центральный Банк РФ, т.к. требования Приказа распространяются на банки.
Проведение оценки является одним из требований Приказа Минкомсвязи № 321, которые так же контролируются ЦБ РФ.

Например:

9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:

1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее — инциденты безопасности, требования по защите информации соответственно), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.

Примечание: кроме того, ГОСТ Р 57580 разработан ЦБ РФ, что говорит о проверке проведения оценки соответствия непосредственно данным регулятором.

Что такое аудит ЕБС и в чем он заключается?

Проведение оценки соответствия сегмента ЕБС является частью аудита и представляет собой проверку выполнения и реализации мер защиты, реализованных в сегменте банка в соответствии со Стандартным уровнем защиты информации по ГОСТ Р 57580.1-2017.
В ходе проведения, осуществляется сбор сведений, свидетельствующих о выполнении мер защиты. В первую очередь рассматривается состав и содержание документации по информационной безопасности в сегменте ЕБС. Вместе с документами проводится интервьюирование сотрудников, анализируются переданные скриншоты, фотографии, лог-файлы и прочие свидетельства о реализации системы защиты.
Как правило, сегмент ЕБС рассматривается в рамках процессов защиты информации в соответствии с ГОСТ Р 57580 в составе:

  • Обеспечение защиты информации при управлении доступом;
  • Обеспечение защиты вычислительных сетей;
  • Контроль целостности и защищенности информационной инфраструктуры;
  • Защита от вредоносного кода;
  • Предотвращение утечек информации;
  • Управление инцидентами защиты информации.

По результатам оценки формируется отчет и прилагаемые к нему свидетельства выполнения по требованиям ГОСТ Р 57580.2-2018.

Важно:
В отличие от требований к оценке соответствия банков при осуществлении переводов денежных средств, не устанавливается минимальный порог к количественным показателям результатов оценки. Как следствие, уровень соответствия защиты информации по ГОСТ Р 57580 может быть любым.

Однако, в п.5 Приложения 3 к Приказу Минкомсвязи № 321 определенно, что в сегменте ЕБС банка должны использоваться технологии и средства, удовлетворяющие Стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Данный уровень включает около 450 мер защиты.

Следовательно, чем больше количество не выполненных мер, тем меньше организация соответствует условиям требования п. 5.

Какие мероприятия необходимы, кроме проведения оценки?

До проведения финальной оценки соответствия (GAP-анализ) и оформления отчета, рекомендуется провести предварительную оценку. Ее смысл заключается в проверке выполнения организационных и технических мер защиты, и определения мероприятий, которые помогут устранить несоответствия на этапе проведения аудита. Тем самым имеется возможность повысить финальную оценку соответствия.
Также введение в эксплуатацию новых средств защиты способствует повышению количественных показателей итоговой оценки соответствия по ГОСТ Р 57580.

Важно:
Результаты GAP-анализа не являются итоговыми показателями.

Важное значение при проведении оценки имеет внутренняя документация по ИБ сегмента ЕБС банка. Наличие пакета таких документов, а также приведение в соответствие документов требованиям ГОСТ Р 57580, способствует выполнению не малого перечня организационных мер защиты, что так же влияет на итоговую оценку соответствия.

Кто может проводить аудит ЕБС?

Согласно п.9 Приложения 1 к Приказу Минкомсвязи № 321 проведение оценки соответствия должно проводится сторонней организацией, имеющей соответствующие лицензии:

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, № 26, ст. 4049).

Аксенов Максим Валерьевич

Аксенов Максим Валерьевич

Специалист по информационной безопасности

Фролов Сергей Николаевич

Фролов Сергей Николаевич

Специалист по информационной безопасности

Наши преимущества

Конкурентные цены

Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

Объективные сроки

Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

Компетентные специалисты

Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

Стоимость по аудиту ЕБС банка

Услуга Стоимость
Оценка соответствия в сегменте ЕБС банка по ГОСТ Р 57580

по запросу

Свяжитесь с нами


    Нажимая на кнопку, вы даете согласие на обработку своих персональных данных. This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Услуги для Вас

    ГОСТ Р 57580

    Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

    Подробнее