Соответствие требованиям ГОСТ Р 57580.1-2017
Стандарт ГОСТ Р 57580.1-2017 устанавливает требования Центрального Банка России к защите информации в организациях финансовой отрасли. Применение семейства ГОСТ Р 57580 требует соблюдения определенных норм и зависит от типа организации и защищаемых процессов.
Заказать услуги по подготовке к внедрению ГОСТ Р 57580.1-2017Выполнение требований ГОСТ Р 57580.1-2017
Требования, применимые к различным типам организаций в соответствии с ГОСТ Р 57580.1-2017, включают следующее:
- 683-П: применяется к банковским организациям и РНКО;
- 802-П (ранее 747-П): применяется к банковским организациям и участникам платежной системы Банка России;
- 719-П: применяется к организациям, включая некредитные, осуществляющим денежные переводы, а также к крупным операторам переводов денежных средств, таким как интернет-магазины;
- 757-П: применяется к некредитным финансовым организациям, занимающимся видами деятельности, перечисленными в статье 76.1 Федерального закона № 86-ФЗ;
- 742-П: применяется к операторам финансовых платформ.
Таким образом, в соответствии с ГОСТ Р 57580.1-2017, каждому типу организации присваивается соответствующий номер (например, 683-П, 802-П, 719-П, 757-П и 742-П), определяющий требования и меры безопасности, которые они должны соблюдать.
Соблюдение ГОСТ Р 57580.1-2017
Для обеспечения защиты финансовых систем необходимо следовать процедуре соответствия требованиям, установленным в ГОСТ Р 57580.1-2017, а также дополнительным требованиям конкретного положения. Шаги, которые необходимо выполнить, включают:
- Определение систем, подпадающих под требования. Это должны быть системы, которые непосредственно влияют на возможность осуществления финансовых операций без уведомления клиента.
- Определение уровня защиты информации. Необходимо определить соответствующий набор требований ГОСТ Р 57580. В положении указан требуемый уровень защиты информации: усиленный, стандартный или минимальный. Если различные положения требуют разных уровней, необходимо применять более строгие требования.
- Разработка и описание процессов защиты данных и систем. Это включает определение шагов, которые будут предприняты для обеспечения безопасности данных и систем.
- Внедрение процессов защиты данных и систем в работу, а также внедрение обязательных средств и мер защиты. Это включает применение соответствующих технологий, программного обеспечения и мер безопасности для обеспечения надлежащей защиты информации и систем.
Таким образом, для выполнения требований по защите финансовых систем необходимо выполнить описанные выше шаги, адаптируя их к конкретным условиям и требованиям каждого проекта.
Курихин Андрей Валерьевич
Технический писатель
Профессиональный опыт в сфере информационных технологий с 2009 года
До какого срока нужно пройти оценку соответствия по 757-П?
Положение 757-П вступило в силу в июле 2021 года, с этого времени его требования нужно выполнять всем без исключения некредитным финансовым организациям.
Кроме этого, с 1 января 2022 года организациям, реализующим стандартный и усиленный уровни защиты информации по ГОСТ 57580.1–2017, необходимо соответствовать уровню соответствия не ниже третьего, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2–2018. Это значит, что до 1 января 2022 года нужно провести независимую оценку с привлечением сторонней организации, имеющей лицензию ФСТЭК, и получить отчёт, в котором будет указан уровень соответствия не ниже третьего. С 1 июля 2023 года требуется обеспечивать уровень соответствия не ниже четвертого.
Как связан ГОСТ Р 57580 и Положение 757-П?
В Положении 757-П содержатся требования по обеспечению соответствия ГОСТ. Так, в пункте 1.4 Положения определено, что некредитные финансовые организации различных статусов должны соблюдать требования, предусмотренные ГОСТ 57580.
Какая оценка ГОСТ Р 57580 необходима организации, чтобы соответствовать требованиям Положения 719-П?
Если организация является оператором по перевод денежных средств либо оператором услуг информационного обмена, то она должна обеспечить уровень соответствия не ниже четвертого (более 0,85) для стандартного уровня защиты информации. Аналогичные правила действуют для операторов услуг платежной инфраструктуры, не являющихся системно значимыми. Если данные организации являются системно значимыми, то оценка достигается для усиленного уровня защиты информации.
Если организация является банковским платежным агентом (субагентом), то она должна обеспечить уровень соответствия не ниже четвертого (более 0,85) для минимального уровня защиты информации.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по подготовке к внедрению ГОСТ Р 57580.1-2017
Услуга | Стоимость |
---|---|
Консультация |
бесплатно |
Оценка соответствия по 719-ПОценка соответствия требованиям Положения Банка России №719-П |
от 600 000 руб. |
Оценка соответствия по 683-П (без ОУД4)Оценка соответствия по требованиям Положения ЦБ РФ №683-П |
от 500 000 руб. |
Оценка соответствия по 802-ПОценка соответствия требованиям Положения Банка России №802-П |
от 500 000 руб. |
Оценка соответствия по 757-ПОценка соответствия требованиям Положения Банка России №757-П |
от 400 000 руб. |
Оценка соответствия по 757-П (без ОУД4)Оценка соответствия по требованиям Положения ЦБ РФ №757-П |
от 400 000 руб. |
Анализ уязвимостей по ОУД4Анализ уязвимостей программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013 |
от 315000 руб. |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
Оценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееОценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееАудит по 716-П
Обследование системы управления операционными рисками и процессов в соответствии с Положением 716-П
ПодробнееОценка соответствия по 757-П (684-П)
Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка соответствия по 382-П
Положение Банка России № 382-П: требования, аудит и оценка соответствия
Подробнее