Оценка соответствия ГОСТ 57580.1
ГОСТ 57580.1 сам по себе не предъявляет требования к его реализации для отдельных организаций, однако необходимость выполнения требований ГОСТ 57580.1 и проведения оценки выполнения его требований определяется в соответствии с Положениями Банка России: 757-П, 802-П, 821-П, 833-П, 851-П — а также в соответствии с 453 Приказом Минцифры РФ.
Заказать услуги по подготовке к внедрению ГОСТ Р 57580.1-2017ЦБ осуществляет постоянный мониторинг выполнения собственных требований для организаций в финансовом секторе. В случае невыполнения требований положений ЦБ, в том числе требований по обеспечению информационной безопасности, ЦБ может направить предписание о необходимости реализации установленных требований; в случае игнорирования предписания, Организация-нарушитель может получить штраф в размере от 500 000 до 700 000 рублей в соответствии с ч.9.ст 19.5 КоАП РФ.
Максимальный штраф за несоблюдение требований составляет 0,1 % от суммарной доли уставного капитала организации. Предусматривается дополнительное наказание в виде приостановки коммерческой деятельности или смещения действующего руководителя с занимаемого поста.
Кто должен реализовывать ГОСТ 57580.1
Требования к реализации определенного уровня защищенности определяются в соответствии с типом и статусом организации, однако для всех организаций, попадающих под требования реализации мер защиты из ГОСТ, необходимо обеспечить четвертый уровень соответствия защиты информации в рамках каждого из используемых процессов.
Дополнительными требованиями к реализации для организаций в финансовом секторе является проведение ежегодного тестирования на проникновение, использование только сертифицированного ПО, а также выполнение отдельных технологических мер защиты информации, приведенных в рамках положений ЦБ.
Что собой представляет ГОСТ 57580
ГОСТ 57580 состоит из нескольких частей, в рамках обеспечения и контроля выполнения требований по обеспечению информационной безопасности стоит рассматривать первые две части.
ГОСТ Р 57580.1 2017 содержит состав мер защиты информации, которые необходимо применять в отношении объектов информатизации финансовых организаций. В качестве объектов информатизации стоит рассматривать объекты доступа и ресурсы доступа.
Под объектами доступа стоит рассматривать:
- Рабочие места пользователей и администраторов
- Устройства копирования и печати;
- Сетевое и серверное оборудование
- Банкоматы и платежные терминалы
- Иные аппаратные модули, задействованные в реализации финансовых операций
Перечень ресурсов доступа:
- Файловые, сетевые онлайн-ресурсы
- Автоматизированные системы, СУБД
- Виртуальные машины
- Электронная почта, удаленные web-сервисы
ГОСТ 57580.2 2018 отражает требования к формированию отчетности о реализации мер защиты, приведенных в первой части, включая правила оценки процессов защиты информации, направлений защиты информации, порядок определения качественной оценки реализации мер защиты информации, а также устанавливает требования к содержанию и наполнению отчетных материалов, формируемых проверяющей группой.
Отчет по результатам проведения оценки требованиям ГОСТ 57580.1 формируется в соответствии с ГОСТ 57580.2 и содержит:
- Информацию о проверяющей организации
- ФИО руководителя и состав проверяющей группы
- Сведения о проверяемой организации
- Цель проведения мероприятий по оценке выполнения требований
- Сроки выполнения оценки
- Неоцениваемые процессы, подпроцессы и отдельные меры защиты
- Используемые свидетельства выполнения требований защиты информации, записанные на машинном носителе
- Краткое изложение результатов оценки
- Рекомендации по реализации мер защиты информации, которые являются не выполняемыми по результатам оценки
- Информация о возникших разногласиях между проверяемой организацией и проверяющей группой
- Копии документов проверяемой организации
Отчетность в ЦБ направляется не позднее 30 рабочих дней с даты, отраженной в отчете, при этом она не должна противоречить срокам, отраженным в Положениях Банка России.
До какого срока нужно пройти оценку соответствия по 757-П?
Положение 757-П вступило в силу в июле 2021 года, с этого времени его требования нужно выполнять всем без исключения некредитным финансовым организациям.
Кроме этого, с 1 января 2022 года организациям, реализующим стандартный и усиленный уровни защиты информации по ГОСТ 57580.1–2017, необходимо соответствовать уровню соответствия не ниже третьего, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2–2018. Это значит, что до 1 января 2022 года нужно провести независимую оценку с привлечением сторонней организации, имеющей лицензию ФСТЭК, и получить отчёт, в котором будет указан уровень соответствия не ниже третьего. С 1 июля 2023 года требуется обеспечивать уровень соответствия не ниже четвертого.
Как связан ГОСТ Р 57580 и Положение 757-П?
В Положении 757-П содержатся требования по обеспечению соответствия ГОСТ. Так, в пункте 1.4 Положения определено, что некредитные финансовые организации различных статусов должны соблюдать требования, предусмотренные ГОСТ 57580.
Какая оценка ГОСТ Р 57580 необходима организации, чтобы соответствовать требованиям Положения 719-П?
Если организация является оператором по перевод денежных средств либо оператором услуг информационного обмена, то она должна обеспечить уровень соответствия не ниже четвертого (более 0,85) для стандартного уровня защиты информации. Аналогичные правила действуют для операторов услуг платежной инфраструктуры, не являющихся системно значимыми. Если данные организации являются системно значимыми, то оценка достигается для усиленного уровня защиты информации.
Если организация является банковским платежным агентом (субагентом), то она должна обеспечить уровень соответствия не ниже четвертого (более 0,85) для минимального уровня защиты информации.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по подготовке к внедрению ГОСТ Р 57580.1-2017
| Услуга | Стоимость |
|---|---|
Консультация |
бесплатно |
Оценка соответствия по 719-ПОценка соответствия требованиям Положения Банка России №719-П |
от 600 000 руб. |
Оценка соответствия по 683-П (без ОУД4)Оценка соответствия по требованиям Положения ЦБ РФ №683-П |
от 500 000 руб. |
Оценка соответствия по 802-ПОценка соответствия требованиям Положения Банка России №802-П |
от 500 000 руб. |
Оценка соответствия по 757-ПОценка соответствия требованиям Положения Банка России №757-П |
от 400 000 руб. |
Оценка соответствия по 757-П (без ОУД4)Оценка соответствия по требованиям Положения ЦБ РФ №757-П |
от 400 000 руб. |
Анализ уязвимостей по ОУД4Анализ уязвимостей программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013 |
от 315000 руб. |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
Оценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееОценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееАудит по 716-П
Обследование системы управления операционными рисками и процессов в соответствии с Положением 716-П
ПодробнееОценка соответствия по 757-П (684-П)
Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка соответствия по 382-П
Положение Банка России № 382-П: требования, аудит и оценка соответствия
Подробнее