Оценка соответствия (аудит) по ГОСТ Р 57580

Аудит по ГОСТ 57580

Введенный в действие государственный стандарт информационной безопасности (ИБ) банковских и других финансовых операций ГОСТ Р 57580 защищает конфиденциальную информацию финучреждений. Законодательные нормы предназначены для предупреждения прямых и косвенных потерь.

Заказать услуги по оценке соответствия по ГОСТ Р 57580.2

Оценка соответствия ГОСТ 57580

В объемном ведомственном циркуляре Центробанка РФ прописано более 400 нормативных документов, за невыполнение которых налагаются штрафные санкции и взыскания. Минимальный штраф составляет 0,1 % от суммарной доли уставного капитала организации. Предусматривается дополнительное наказание в виде приостановки коммерческой деятельности или смещения действующего руководителя с занимаемого поста.

Субъекты и объекты аудита по ГОСТ 57580

Регулятор поставил цель – сохранить безопасность финансовых операций, предотвратить несанкционированные утечки персональных данных. Обзор содержания регулятивного акта определяет сферу применения норматива. Центральный банк выпустил несколько специальных документов для выполнения обязательств по ГОСТу 57580: № 683-П, 747-П, 757-П и приказ Минкомсвязи № 321.

В соответствии с Положением 683-П, кредитные учреждения обязаны внедрить третий уровень ЗИ к 1.01.2021, а четвертый – с 1.01.2023. Дополнительные требования: ежегодный анализ уязвимости инфраструктуры и пен-тесты. Установка в банках сертифицированного ПО предусмотрена не позднее 1.01.2020. Некредитные финорганизации должны внедрить усиленную защиту по 684-П до 1.01.2021. Эта норма касается центральных депозитариев и контрагентов. Стандартный уровень ЗИ по 684-П предусмотрен в значительной части для таких некредитных организаций:

  • специализированные депозитарии;
  • инвестиционные фонды;
  • организаторы торговли;
  • клиринговые агентства;
  • страховые фирмы;
  • негосударственные пенсионные фонды;
  • регистраторы;
  • репозитарии;
  • брокеры;
  • дилеры.

Перечисленные выше финучреждения обязаны каждый год проводить анализ финансовой уязвимости и пен-тесты. Другие некредитные организации самостоятельно выбирают применять ГОСТ 57580 и соответственно уровень защиты информации, исходя из 3-х уровней. Для оценки БИ привлекаются сторонние компании-лицензиаты ФСТЭК с 1.01.2021. Выполнение норм третьего уровня предусмотрено с 01.01.2022 (анализ проводится ежегодно), а четвертого – с 01.01.2023 (раз в три года). Письменный отчет хранится в архиве не менее пяти лет.

ГОСТ Р 57580 состоит из двух частей 57580.1-2017 и 57580.2-2018. В первой части содержится базовый набор технических, а также организационных мероприятий по ИБ. Центральный Банк последовательно и детально описал методику оценки соответствия обязательным требованиям. В тексте ГОСТ Р 57580 1 2017 указана градация защиты по усиленному, стандартному и минимальному уровню защищенности. Большинство финансовых предприятий нуждаются в среднеуровневой защите, а операционным центрам или системно-значимым банковским заведениям требуется повышенная безопасность информации.

Мобильные устройства объектов доступа

Мобильные устройства объектов доступа, безопасность которых регламентируется ГОСТом:

  • платежные терминалы, банкоматы;
  • устройства копирования или печати;
  • сетевое или серверное оборудование;
  • рабочие места персонала, пользователей.

Перечень ресурсов доступа:

  • файловые, сетевые онлайн-ресурсы;
  • автоматизированные системы, СУБД;
  • виртуальные пользовательские машины;
  • электронная почта, удаленные web-сервисы.

Второй раздел ГОСТ 57580 2 2018 регламентирует порядок составления и содержание отчетов. Нормативный документ содержит алгоритм проведения подсчетов и градации оценивания угроз. В тексте документа содержатся требования к независимому аудитору. Оценку соответствия защиты информации проводят сотрудники лицензированной проверяющей организации. Непременное условие – это наличие опыта проведения профессионального анализа ИБ.

Применение основных положений регулятивного документа

Операционные риски возникают при повседневной финансово-хозяйственной деятельности кредитных и некредитных организаций. Стороннее вмешательство вызывает нарушение безопасности баз данных, которые хранятся в электронном виде. Полностью устранить утечку информации невозможно. Защитные мероприятия снижают вероятность несанкционированного проникновения злоумышленников, минимизируют финансовые убытки.

Моделирование способа предотвращения угроз

Моделирование способа предотвращения угроз разрабатывается с учетом:

  • суммарного объема операций за нормативный период времени;
  • сферы деятельности, перечня услуг или бизнес-процессов;
  • размера предприятия, количества штатных сотрудников;
  • влияния на финансовый рынок или другие отрасли.

Когда защитные меры реализованы, нужна точная оценка соответствия по ГОСТ 57580.2. Многоуровневую выборочную или полную оценку ИБ лучше доверить профессиональным аудиторам экспертного подразделения Literafort. Обученные сотрудники компании проанализируют состояние информационной защищенности, чтобы избежать финансовых последствий.

Защитные меры повышения сохранности сведений

Защитные меры повышения сохранности сведений разделены на 3 блока:

  • системные требования – защита сети, доступа с мобильных устройств и среды визуализации, проверка наличия вредоносного кода, предотвращение взлома или утечек;
  • управление системой – планирование, внедрение, тщательный контроль, усовершенствование защитных механизмов;
  • требования к ИБ – поэтапное изменение подходов, учитывая жизненный цикл автоматизированных приложений и подсистем.

Оценка остаточного операционного риска и потерь выбранного контура безопасности проходит по порядку, согласованному с клиентом. Стоимость аудита по ГОСТ 57580, который производится по одобренной модели угроз, рассчитывается индивидуально. По итогам проверки исполнитель передает заказчику подробный отчет.

В письменных выводах указываются:

  • реквизиты проверяющей организации;
  • ФИО руководителя и состав аудиторов;
  • сведения о проверяемом предприятии;
  • цель проведения мероприятий оценки;
  • сроки реализации поставленных задач;
  • неоцениваемые области и исключения;
  • аргументы, подтверждающие результат;
  • основания по использованию методики;
  • краткое изложение последовательности;
  • упоминание неразрешенных разногласий;
  • упоминание о строгой конфиденциальности;
  • описание сопроводительной документации.

К результатам проверки прилагаются аудиторские заключения, копии свидетельств о регистрации и лицензий ФСТЭК России. Перечисляются выявленные и устраненные нарушения. Наши сотрудники детально проинформируют о результатах, предложат способы повышения производительности устранения угрозы, закроют уязвимости. Цена оценки соответствия ГОСТ 57580 компенсируется отсутствием нарушений и претензий со стороны Центробанка в будущем.

Фролов Сергей Николаевич

Фролов Сергей Николаевич

Специалист по информационной безопасности

Аксенов Максим Валерьевич

Аксенов Максим Валерьевич

Специалист по информационной безопасности

Подробно о специалисте

Как осуществляется проведение оценки ГОСТ Р 57580 в рамках различных Положений ЦБ РФ?

При проведении оценки по ГОСТ Р 57580 многое зависит от области оценки. Например, если речь идёт о банках, то в соответствии с Положением 747-П будет проверяться только сегмент ПС БР, с Положением 683-П – информационные системы и инфраструктура, в которой проводятся клиентские переводы, с Положением 719-П – вся инфраструктура, задействованная в переводах денежных средств. Сама же процедура аудита схожая – анализируются документы, интервьюируются сотрудники, собираются свидетельства выполнения технических мер защиты информации.

На основании каких Положений ЦБ РФ будет проверять банки на соответствие ГОСТ Р 57580 в 2022 году

На момент начала года активными Положениями являются 683-П, 719-П и 747-П. Каждое из этих Положений подразумевает необходимость прохождения оценки соответствия ГОСТ 57580.

Как подготовиться к проведению оценки на соответствие требованиям ГОСТ Р 57580?

Рекомендуется назначить одного или нескольких сотрудников, ответственных за координацию с аудиторами. Должна быть возможность продемонстрировать как внутреннюю документацию, так и свидетельства того, что технические меры защиты информации выполняются. Для этого понадобится доступ к настройкам средств защиты информации (SIEM-системы, СЗИ от НСД, системы управления логическим доступом, антивирусы и т. д.), так что рекомендуется предупредить администраторов этих средств о том, что их помощь тоже будет нужна.

Задать свой вопрос

    Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Наши преимущества

    Конкурентные цены

    Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

    Объективные сроки

    Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

    Компетентные специалисты

    Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

    Стоимость по оценке соответствия по ГОСТ Р 57580.2

    Услуга Стоимость

    Консультация

    бесплатно

    Оценка соответствия по ГОСТ Р 57580.2

    Оценка соответствия требованиям в области информационной безопасности по ГОСТ Р 57580

    от 500 000 руб.

    Свяжитесь с нами

      Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

      This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

      Услуги для Вас

      Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

      Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

      Подробнее

      Оценка соответствия по 757-П (684-П)

      Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)

      Подробнее

      Оценка соответствия по 683-П

      Оценка соответствия требованиям Положения Банка России №683-П

      Подробнее

      Пентест (pentest)

      Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

      Подробнее

      Оценка соответствия по 382-П

      Положение Банка России № 382-П: требования, аудит и оценка соответствия

      Подробнее

      Оценка соответствия по 672-П (747-П)

      Оценка соответствия требованиям Положения Банка России №672-П (747-П)

      Подробнее