Оценка соответствия ГОСТ Р 57580.1-2017

Что такое оценка соответствия ГОСТ Р 57580.1-2017

Оценка соответствия ГОСТ Р 57580.1-2017 – это комплекс работ по проверке корректности выбора уровня защиты информации, полноты и корректности реализации организационных и технических мер защиты информации, а также соответствия системы обеспечения информационной безопасности требованиям нормативных документов Банка России.

В рамках оценки проводится анализ документации, обследование информационной инфраструктуры, интервьюирование ответственного персонала и формирование формализованной отчетности в соответствии с ГОСТ Р 57580.2-2018 для предоставления в Банк России.

Цель и значение услуги

ГОСТ Р 57580.1-2017 является ключевым национальным стандартом в области информационной безопасности для кредитных и некредитных финансовых организаций, выпущенным Банком России. Стандарт устанавливает уровни защиты информации и определяет набор организационных и технических мер защиты, обязательных к применению.

Оценка соответствия позволяет финансовой организации подтвердить выполнение требований регулятора, выявить недостатки в системе защиты информации и повысить уровень зрелости ИБ.

На кого распространяется требование по оценке соответствия

Оценка соответствия ГОСТ Р 57580.1-2017 обязательна для:

• кредитных организаций;
• некредитных финансовых организаций;
• организаций, осуществляющих деятельность на финансовых рынках;
• участников платежных систем Банка России.

Требования к соблюдению ГОСТ Р 57580.1-2017 установлены нормативными актами Банка России.

Нормативная база и источники требований

Требования к организациям соблюдать соответствие уровням защиты информации и порядок их применения, определенные в ГОСТ Р 57580.1, устанавливаются рядом положений Центрального Банка России (ЦБ РФ):

• Положение Банка России от 30 января 2025 г. № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
• Положение Банка России от 17 августа 2023 г. № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
• Положение Банка России от 25 июля 2022 г. № 802-П «О требованиях к защите информации в платежной системе Банка России».
• Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Уровни защиты информации и периодичность оценки

ГОСТ Р 57580.1-2017 определяет три уровня защиты информации:

• минимальный;
• стандартный;
• усиленный.

Они отличаются набором защитных мер, которые финансовая организация должна применять. Уровень защиты информации финансовая организация определяет для себя самостоятельно. Сведения об этом передаются в Банк России. Уровень защиты информации может меняться со временем в зависимости от изменений в организации. Об этом можно узнать в процессе регулярной оценки соответствия.

В зависимости от уровня защиты организации предписывается определенная периодичность прохождения независимой оценки соответствия с привлечением лицензиата ФСТЭК.

Периодичность оценки соответствия:

Требования к частоте прохождения независимой оценки соответствия определяются в Положениях Банка России, которые применяют ГОСТ Р 57580.1-2017 как базовый документ, ключевой стандарт в области ИБ и напрямую связаны с требуемым уровнем защиты информации.

Как правило:

• для усиленного уровня защиты информации – 1 раз в год;
• для стандартного уровня защиты информации – 1 раз в 2 года;
• для минимального уровня защиты информации доступна самооценка.

Помимо оценки по ГОСТ Р 57580.1-2017 должны проходить тестирование на проникновение и/или оценку ОУД 4/5 (уровень доверия зависит от уровня защиты информации, а выбор между пентестом и оценкой уровня доверия ПО лежит на проверяемой организации).

Меры защиты информации по ГОСТ Р 57580.1-2017

Стандарт включает 8 процессов и 10 подпроцессов, в том числе:

• управление доступом;
• защита вычислительных сетей;
• контроль целостности инфраструктуры;
• защита от вредоносного кода;
• предотвращение утечек информации;
• управление инцидентами ИБ;
• защита среды виртуализации;
• защита при удаленном доступе.

Процесс 1: Обеспечение защиты информации при управлении доступом

• Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
• Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
• Подпроцесс: Защита информации при осуществлении физического доступа.
• Подпроцесс: Идентификация и учет ресурсов и объектов доступа.

Процесс 2: Обеспечение защиты вычислительных сетей

• Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей.
• Подпроцесс: Выявление вторжений и сетевых атак.
• Подпроцесс: Защита информации, передаваемой по вычислительным сетям.
• Подпроцесс: Защита беспроводных сетей.

Процесс 3: Контроль целостности и защищенности информационной инфраструктуры

Процесс 4: Защита от вредоносного кода

Процесс 5: Предотвращение утечек информации

Процесс 6: Управление инцидентами защиты информации

• Подпроцесс: Мониторинг и анализ событий защиты информации.
• Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них.

Процесс 7: Защита среды виртуализации

Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Этапы проведения оценки соответствия

Работы проводятся в соответствии с методологией, определенной ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций, защита информации финансовых организаций. Методика оценки соответствия», в рамках следующих этапов:

• Сбор сведений об информационной инфраструктуре Банка.
• Сбор сведений о существующей документации в области обеспечения защиты информации.
• Анализ документов и получение свидетельств аудита.
• Интервьюирование ответственного персонала.
• Обследование объектов информационной инфраструктуры в области аудита.
• Анализ собранной информации и проведение оценки соответствия.
• Предварительная оценка соответствия – подсчет баллов по факту.
• Разработка рекомендаций по доработке системы обеспечения информационной безопасности – либо не достигнута целевая оценка, либо предоставляется для оценки (промежуточный итог – результат предварительной оценки соответствия).
• Внесение изменений в соответствии с рекомендациями (выполняется заказчиком или с привлечением исполнителя).
• Итоговая оценка соответствия – расчет итоговой оценки по результатам всех доработок.
• Подготовка отчетных документов по результатам выполнения оценки соответствия требованиям ГОСТ Р 57580.1-2017 в соответствии с ГОСТ Р 57580.2-2018.

Оценка соответствия осуществляется по следующим направлениям:

• корректность выбора уровня защиты информации;
• корректность выбора организационных и технических мер защиты информации;
• полнота реализации организационных и технических мер ЗИ;
• обеспечение ЗИ на этапах жизненного цикла АС финансовой организации.

При проведении работ эксперты FBKCS руководствуются принципами, изложенными в Стандарте Банка России СТО БР ИББС-1.1-2007.

Результаты и преимущества для бизнеса

По итогам работ заказчик получает:

• отчет, содержащий оценку соответствия законодательным требованиям;
• формализованный отчет по ГОСТ Р 57580.2-2018;
• выводы о степени соответствия требованиям ГОСТ Р 57580.1-2017;
• подтверждение корректности выбора уровня защиты информации;
• рекомендации по повышению зрелости системы ИБ;
• снижение регуляторных и операционных рисков.

Что входит в услугу

Сбор исходных данных.

• Действия: сбор сведений об ИТ-инфраструктуре и документации.
• Результат: сформированная база для проведения оценки.

Анализ документации и интервью.

• Действия: анализ документов, интервьюирование ответственных лиц.
• Результат: подтверждение фактической реализации мер ИБ.

Обследование инфраструктуры.

• Действия: обследование объектов ИТ и процессов ИБ.
• Результат: выявленные несоответствия и риски.

Оценка соответствия.

• Действия: подсчет баллов, анализ уровня соответствия.
• Результат: предварительная и итоговая оценка соответствия.

Подготовка отчетности.

• Действия: оформление отчетов по ГОСТ Р 57580.2-2018.
• Результат: отчет для предоставления в Банк России.