Об услуге
Оценка соответствия требованиям стандарта ГОСТ Р 57580.1-2017 позволяет понять, насколько ИТ-инфраструктура и процессы ИБ компании соответствуют обязательному уровню, установленному Банком России.
ITGLOBAL.COM проводит оценку соответствия, предоставляя клиенту ее итоговые показатели, а также рекомендации по совершенствованию системы защиты информации и подробный отчет по форме, определяемой ГОСТ 57580. После того, как оценка станет обязательной в 2021 году, клиенту останется только отправить итоговый отчет регулятору.
Почему это необходимо
С 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой — согласно вступившим в силу Положениям № 747-П, № 683-П, № 742-П, № 757-П, № 719-П. К этому времени финансовые организации (ФИ) уже должны обеспечить необходимый уровень информационной безопасности.
Как показывает практика, на данный момент многие компании не соответствуют требованиям нового стандарта. Поэтому, чем раньше будет проведена оценка, тем больше у компании будет времени на исправление возможных несоответствий.
Важно понимать, что ГОСТ Р 57580.1-2017 не отменяет действия других документов ЦБ РФ — например, Положения №719-П. Набор требований и процедура оценки у каждого из документов свои.
Подробнее о стандартах ГОСТ Р 57580.x
В ГОСТ Р 57580.1-2017 прописаны требования по обеспечению ИБ и указаны три уровня защиты информации (ЗИ): минимальный (3), стандартный (2), усиленный (1).
Большинству финансовых организаций необходимо обеспечивать стандартный уровень защиты. Усиленный требуется системно-значимым банкам и операционным (клиринговым) центрам.
ГОСТ Р 57580.2-2018 устанавливает порядок проведения оценки, в том числе градацию выставляемых оценок, формулы для подсчета итоговых оценок, а также форму и порядок предоставления отчетности в ЦБ РФ.
Кто обязан проводить оценку
Кредитные организации
Операторы и участники платежных систем
Некредитные ФИ
Операционные или клиринговые центры
Типы объектов
В область оценки входят два типа объектов информатизации — объекты доступа и ресурсы доступа.
Объекты доступа
- Банкоматы и терминалы оплаты
- Сетевое и серверное оборудование
- СХД
- Устройства печати
- Рабочие места пользователей
- Рабочие места ИТ-персонала
Ресурсы доступа
- Виртуальные машины
- Веб-сервисы
- Сетевые файловые ресурсы
- СУБД
- Сервисы электронной почты
- Автоматизированные системы
Выбор конкретных объектов и ресурсов доступа для оценки выполняется ITGLOBAL.COM на этапе обследования.
Как проводится аудит
Порядок проведения оценки
- Изучаем бизнес-процессы, модель угроз и внутреннюю нормативную документацию клиента
- Анализируем правильность и достаточность выполнения процессов ИБ
- Опрашиваем сотрудников и выявляем, какие инструменты защиты реализованы в компании
- Исследуем конфигурации объектов ИТ-инфраструктуры и средств защиты информации
- Определяем, насколько соответствуют средства ЗИ требованиям стандарта
- Вычисляем итоговые показатели оценки соответствия
- Готовим итоговую отчетную документацию по форме, определяемой регулятором
Процессы, к которым применяются требования
- Управление доступом
- Защита сетей
- Контроль целостности и защищенности информации
- Защита от вредоносного ПО
- Предотвращение утечек информации
- Регистрация и мониторинг событий безопасности
- Защита виртуальной среды
- Управление удаленным доступом к инфраструктуре
- Управление жизненным циклом объектов информационной инфраструктуры
Помимо требований к каждому процессу, новый ГОСТ определяет отдельные требования к планированию, реализации, контролю и совершенствованию указанных процессов по модели цикла Деминга (Plan-Do-Check-Act, PDCA).
Информация, которую необходимо защищать
- Об остатках денежных средств на счетах
- О совершенных переводах денежных средств
- О платежных клиринговых позициях
- Ключевая информации СКЗИ
- Данные, обрабатываемые при денежных переводах
- Конфигурации объектов ИТ-инфраструктуры
- Иная информация, определенная как защищаемая согласно модели угроз организации
Что получает клиент
- Итоговые числовые оценки соответствия
- Отчет согласно установленной формы
- Рекомендации по совершенствованию системы ЗИ
Дополнительно (по запросу)
- Разработка модели угроз
- Разработка документации: политик, регламентов, инструкций
- Внедрение необходимых процессов ИБ
Как подготовиться к оценке соответствия (вебинар)
Почему ITGLOBAL.COM
Более 10 лет работы в области ИБ и аудиторской деятельности; имеются лицензии ФСТЭК по ТЗКИ, ФСБ на деятельность по шифрованию и сертификат ISO 27001
Оценка проводится с учетом требований нового ГОСТа, а также лучших международных практик и стандартов
Сертифицированные специалисты с профильным образованием и опытом работы
Привлекаем минимальное количество сотрудников клиента
Кейсы
Специалисты по информационной безопасности ITGLOBAL.COM организовали для Digital Attitude тестирование на проникновение по модели Black Box
Омский филиал одного из крупнейших банков России организовал комплексную проверку уровня информационной безопасности
Компания ITGLOBAL.COM провела оценку соответствия требованиям Положения ЦБ РФ № 382-П для Коммерческого банка «Континенталь» (общество с ограниченной ответственностью)
Специалисты по информационной безопасности компании ITGLOBAL.COM провели оценку соответствия требованиям Положения ЦБ РФ № 382-П для АО «Профессионал Банк» (Москва)
Экспертиза
Наши клиенты
