Оценка соответствия (аудит) по ГОСТ Р 57580

Аудит по ГОСТ 57580

Введенный в действие государственный стандарт информационной безопасности (ИБ) банковских и других финансовых операций ГОСТ Р 57580 защищает конфиденциальную информацию финучреждений. Законодательные нормы предназначены для предупреждения прямых и косвенных потерь.

Оценка соответствия ГОСТ 57580

В объемном ведомственном циркуляре Центробанка РФ прописано более 400 нормативных документов, за невыполнение которых налагаются штрафные санкции и взыскания. Минимальный штраф составляет 0,1 % от суммарной доли уставного капитала организации. Предусматривается дополнительное наказание в виде приостановки коммерческой деятельности или смещения действующего руководителя с занимаемого поста.

Субъекты и объекты аудита по ГОСТ 57580

Регулятор поставил цель – сохранить безопасность финансовых операций, предотвратить несанкционированные утечки персональных данных. Обзор содержания регулятивного акта определяет сферу применения норматива. Центральный банк выпустил несколько специальных документов для выполнения обязательств по ГОСТу 57580: № 683-П, 684-П, 672-П и приказ Минкомсвязи № 321.

В соответствии с Положением 683-П, кредитные учреждения обязаны внедрить третий уровень ЗИ к 1.01.2021, а четвертый – с 1.01.2023. Дополнительные требования: ежегодный анализ уязвимости инфраструктуры и пен-тесты. Установка в банках сертифицированного ПО предусмотрена не позднее 1.01.2020. Некредитные финорганизации должны внедрить усиленную защиту по 684-П до 1.01.2021. Эта норма касается центральных депозитариев и контрагентов. Стандартный уровень ЗИ по 684-П предусмотрен в значительной части для таких некредитных организаций:

  • специализированные депозитарии;
  • инвестиционные фонды;
  • организаторы торговли;
  • клиринговые агентства;
  • страховые фирмы;
  • негосударственные пенсионные фонды;
  • регистраторы;
  • репозитарии;
  • брокеры;
  • дилеры.

Перечисленные выше финучреждения обязаны каждый год проводить анализ финансовой уязвимости и пен-тесты. Другие некредитные организации самостоятельно выбирают применять ГОСТ 57580 и соответственно уровень защиты информации, исходя из 3-х уровней. Для оценки БИ привлекаются сторонние компании-лицензиаты ФСТЭК с 1.01.2021. Выполнение норм третьего уровня предусмотрено с 01.01.2022 (анализ проводится ежегодно), а четвертого – с 01.01.2023 (раз в три года). Письменный отчет хранится в архиве не менее пяти лет.

ГОСТ Р 57580 состоит из двух частей 57580.1-2017 и 57580.2-2018. В первой части содержится базовый набор технических, а также организационных мероприятий по ИБ. Центральный Банк последовательно и детально описал методику оценки соответствия обязательным требованиям. В тексте ГОСТ Р 57580 1 2017 указана градация защиты по усиленному, стандартному и минимальному уровню защищенности. Большинство финансовых предприятий нуждаются в среднеуровневой защите, а операционным центрам или системно-значимым банковским заведениям требуется повышенная безопасность информации.

Мобильные устройства объектов доступа

Мобильные устройства объектов доступа, безопасность которых регламентируется ГОСТом:

  • платежные терминалы, банкоматы;
  • устройства копирования или печати;
  • сетевое или серверное оборудование;
  • рабочие места персонала, пользователей.

Перечень ресурсов доступа:

  • файловые, сетевые онлайн-ресурсы;
  • автоматизированные системы, СУБД;
  • виртуальные пользовательские машины;
  • электронная почта, удаленные web-сервисы.

Второй раздел ГОСТ 57580 2 2018 регламентирует порядок составления и содержание отчетов. Нормативный документ содержит алгоритм проведения подсчетов и градации оценивания угроз. В тексте документа содержатся требования к независимому аудитору. Оценку соответствия защиты информации проводят сотрудники лицензированной проверяющей организации. Непременное условие – это наличие опыта проведения профессионального анализа ИБ.

Применение основных положений регулятивного документа

Операционные риски возникают при повседневной финансово-хозяйственной деятельности кредитных и некредитных организаций. Стороннее вмешательство вызывает нарушение безопасности баз данных, которые хранятся в электронном виде. Полностью устранить утечку информации невозможно. Защитные мероприятия снижают вероятность несанкционированного проникновения злоумышленников, минимизируют финансовые убытки.

Моделирование способа предотвращения угроз

Моделирование способа предотвращения угроз разрабатывается с учетом:

  • суммарного объема операций за нормативный период времени;
  • сферы деятельности, перечня услуг или бизнес-процессов;
  • размера предприятия, количества штатных сотрудников;
  • влияния на финансовый рынок или другие отрасли.

Когда защитные меры реализованы, нужна точная оценка соответствия по ГОСТ 57580 2. Многоуровневую выборочную или полную оценку ИБ лучше доверить профессиональным аудиторам экспертного подразделения Literafort. Обученные сотрудники компании проанализируют состояние информационной защищенности, чтобы избежать финансовых последствий. Процедура проверки безопасности финансовых операций проходит по аналогии с регламентом Положения № 382-П. Предусмотрено частичное внедрение части средств защиты информации. Приглашаем клиентов заказать оценку соответствия ГОСТ 57580, перезвонив по номеру телефона, указанному внизу страницы.

Защитные меры повышения сохранности сведений

Защитные меры повышения сохранности сведений разделены на 3 блока:

  • системные требования – защита сети, доступа с мобильных устройств и среды визуализации, проверка наличия вредоносного кода, предотвращение взлома или утечек;
  • управление системой – планирование, внедрение, тщательный контроль, усовершенствование защитных механизмов;
  • требования к ИБ – поэтапное изменение подходов, учитывая жизненный цикл автоматизированных приложений и подсистем.

Оценка остаточного операционного риска и потерь выбранного контура безопасности проходит по порядку, согласованному с клиентом. Стоимость аудита по ГОСТ 57580, который производится по одобренной модели угроз, рассчитывается индивидуально. По итогам проверки исполнитель передает заказчику подробный отчет.

В письменных выводах указываются:

  • реквизиты проверяющей организации;
  • ФИО руководителя и состав аудиторов;
  • сведения о проверяемом предприятии;
  • цель проведения мероприятий оценки;
  • сроки реализации поставленных задач;
  • неоцениваемые области и исключения;
  • аргументы, подтверждающие результат;
  • основания по использованию методики;
  • краткое изложение последовательности;
  • упоминание неразрешенных разногласий;
  • упоминание о строгой конфиденциальности;
  • описание сопроводительной документации.

К результатам проверки прилагаются аудиторские заключения, копии свидетельств о регистрации и лицензий ФСТЭК России. Перечисляются выявленные и устраненные нарушения. Наши сотрудники детально проинформируют о результатах, предложат способы повышения производительности устранения угрозы, закроют уязвимости. Цена оценки соответствия ГОСТ 57580 компенсируется отсутствием нарушений и претензий со стороны Центробанка в будущем.

Наши преимущества

Стоимость

Услуга Стоимость
Консультация

бесплатно

Оценка соответствия по ГОСТ Р 57580.2

от 225000 руб.

Свяжитесь с нами

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

Оценка уровня информационной безопасности по 684-П

Оценка уровня информационной безопасности предприятия и организации по 684-П

Подробнее

Аудит по 683-П

Аудит по 683-П положения Банка России

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Положение Банка России 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее

Аудит по 672-П

Аудит положения банка России 672-П

Подробнее