Оценка соответствия ГОСТ Р 57580.1-2017
Проводим независимую оценку соответствия защиты информации финансовой организации требованиям Банка России. Определяем область аудита, анализируем документы, процессы и инфраструктуру, собираем свидетельства реализации мер, рассчитываем итоговый показатель по ГОСТ Р 57580.2-2018.
По результатам вы получаете формализованный отчет, перечень отклонений, рекомендации и план устранения замечаний. При необходимости сопровождаем доработку документов, процессов и технических средств.
Эксперты ответственные за направление
Что такое оценка соответствия ГОСТ Р 57580.1-2017
Оценка соответствия по стандарту ГОСТ Р 57580.1-2017 – комплекс обязательных и регулярных для финансовых организаций работ по определению полноты и корректности реализации организационных и технических мер защиты информации, а также соответствия системы обеспечения информационной безопасности требованиям нормативных документов Банка России.
В рамках оценки соответствия проводится анализ документации, обследование информационной инфраструктуры, интервьюирование ответственного персонала и подготовка отчетности в соответствии с ГОСТ Р 57580.2-2018 и расчета показателей в соответствии с Методическими рекомендациями 3-МР Банк России.
Этапы проведения оценки соответствия ГОСТ Р 57580.1-2017
Сбор исходных данных.
- Действия: сбор сведений об ИТ-инфраструктуре и документации.
- Результат: сформированная база для проведения оценки.
Анализ документации и интервью.
- Действия: анализ документов, интервьюирование ответственных лиц.
- Результат: подтверждение фактической реализации мер ИБ.
Обследование инфраструктуры.
- Действия: обследование/анализ объектов ИТ-инфраструктуры и ИБ-процессов.
- Результат: выявленные несоответствия и риски.
Предварительная оценка соответствия и разработка рекомендаций.
- Действия: анализ степени соответствия, разработка перечня доработок, необходимых для получения требуемой оценки.
- Результат: предварительная оценка соответствия; перечень рекомендаций по приведению СОИБ в соответствие ГОСТ 57580.1-2017.
Итоговая оценка и подготовка отчетности для Банка России.
- Действия: подсчет баллов по 3-МР, оформление отчетов по ГОСТ Р 57580.2-2018.
- Результат: итоговая оценка соответствия, отчет для предоставления в Банк России.
Результаты оказания услуги и преимущества для бизнеса
По итогам работ заказчик получает:
- отчет, содержащий оценку соответствия законодательным требованиям;
- формализованный отчет по ГОСТ Р 57580.2-2018;
- выводы о степени соответствия требованиям ГОСТ Р 57580.1-2017;
- подтверждение корректности выбора уровня ЗИ;
- рекомендации по повышению зрелости системы ИБ;
- снижение регуляторных и операционных рисков.
Для кого стандарт ГОСТ Р 57580.1-2017 является обязательным к применению
Стандарт 57580.1-2017 обязателен к применению для:
- кредитных организаций;
- некредитных финансовых организаций;
- организаций, осуществляющих деятельность на финансовых рынках;
- участников платежных систем Банка России.
Сам стандарт содержит описание технических и организационных мер ЗИ, а обязательность требований к применению данных мер и контроля соответствия установлена Положениями Банка России (для кредитных организаций это №821-П, 802-П и 851-П, а для некредитных финансовых организаций - 757-П).
Нормативная база и источники требований
Требования к организациям соблюдать соответствие уровням защиты информации и порядок их применения, определенные в ГОСТ Р 57580.1, устанавливаются рядом положений Центрального Банка России (ЦБ РФ):
- Положение Банка России от 30 января 2025 г. № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
- Положение Банка России от 17 августа 2023 г. № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
- Положение Банка России от 25 июля 2022 г. № 802-П «О требованиях к защите информации в платежной системе Банка России».
- Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Уровни защиты информации
ГОСТ Р 57580.1-2017 определяет три уровня защиты информации:
- минимальный;
- стандартный;
- усиленный.
Они отличаются набором защитных мер, которые финансовая организация должна применять. Уровень защиты информации финансовая организация определяет для себя самостоятельно. Сведения об этом передаются в Банк России. Уровень защиты информации может меняться со временем в зависимости от изменений в организации. Об этом можно узнать в процессе регулярной оценки соответствия.
В зависимости от уровня защиты организации предписывается определенная периодичность прохождения независимой оценки соответствия с привлечением лицензиата ФСТЭК.
Периодичность оценки соответствия
Требования к частоте прохождения независимой оценки соответствия определяются в Положениях Банка России и связаны с требуемым уровнем защиты информации:
- для усиленного уровня защиты информации – 1 раз в год;
- для стандартного уровня защиты информации – 1 раз в 2 года;
- для минимального уровня защиты информации доступна самооценка.
Сами же требования о необходимости прохождения оценки соответствия закреплены в Положениях Банка России (821-П, 851-П, 802-П, 757-П). Помимо этого финансовые организации должны регулярно проходить тестирование на проникновение и использовать ПО, прошедшие оценку по ОУД 4/5.
Меры защиты информации по ГОСТ Р 57580.1-2017
Стандарт включает 8 процессов и 10 подпроцессов, в том числе:
- управление доступом;
- защита вычислительных сетей;
- контроль целостности инфраструктуры;
- защита от вредоносного кода;
- предотвращение утечек информации;
- управление инцидентами ИБ;
- защита среды виртуализации;
- защита при удаленном доступе.
Процесс 1: Обеспечение защиты информации при управлении доступом
- Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
- Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
- Подпроцесс: Защита информации при осуществлении физического доступа.
- Подпроцесс: Идентификация и учет ресурсов и объектов доступа.
Процесс 2: Обеспечение защиты вычислительных сетей
- Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей.
- Подпроцесс: Выявление вторжений и сетевых атак.
- Подпроцесс: Защита информации, передаваемой по вычислительным сетям.
- Подпроцесс: Защита беспроводных сетей.
Процесс 3: Контроль целостности и защищенности информационной инфраструктуры
Процесс 4: Защита от вредоносного кода
Процесс 5: Предотвращение утечек информации
Процесс 6: Управление инцидентами защиты информации
- Подпроцесс: Мониторинг и анализ событий защиты информации.
- Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них.
Процесс 7: Защита среды виртуализации
Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
Почему САЙБЕР Бизнес Консалтинг
-
1
Практика аудита финансовых организаций
Команда работает с требованиями Банка России, стандартами серии ГОСТ Р 57580, смежными процедурами ИБ.
.
Эксперты понимают взаимосвязь регуляторных норм, архитектуры, внутренних процессов, доказательной базы.
Работы проводятся на основании лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. -
2
Оценка по фактам, а не только по документам
Мы изучаем локальные акты вместе с реальными настройками, журналами, отчетами, заявками, действиями сотрудников.
.
Выводы привязываются к конкретным свидетельствам. Заказчик понимает, почему выставлен показатель, что необходимо изменить, чем подтвердить устранение замечания. -
3
Сопровождение до целевого результата
После предварительного расчета команда помогает:
.
доработать регламенты;
распределить ответственность;
скорректировать настройки;
сформировать недостающие подтверждения;
подготовить корректирующие мероприятия.
Повторный анализ показывает результат выполненных изменений до оформления финального отчета.
Стоимость и сроки работ по оценке соответствия ГОСТ Р 57580.1-2017
| Услуга | Стоимость | Срок | Действие |
|---|---|---|---|
Консультация |
Бесплатно | ||
Оценка соответствия требованиям ГОСТ Р 57580.1-2017 |
от 990 000 ₽
от 4 недель |
||
Комплексная оценка соответствия требованиям Банка России в области ИБ для кредитных организаций |
от 1 350 000 ₽
от 4 недель |
||
Комплексная оценка соответствия требованиям Банка России в области ИБ для некредитных финансовых организаций |
от 1 050 000 ₽
от 3 недель |
Отзывы и благодарности
Отвечаем на вопросы
-
Обязательно ли проходить оценку соответствия ГОСТ Р 57580.1-2017?Периодичность варьируется от ежегодной до 1 раза в 3 года в зависит от требуемого уровня защиты информации, который определяется в соответствии с Положениями Банка России.
-
Кто может проводить независимую оценку соответствия?Оценка проводится с привлечением специализированной организации, обладающей необходимой экспертизой и лицензиями.
-
Какой отчет предоставляется по итогам работ?Формируется отчет в соответствии с ГОСТ Р 57580.2-2018 для передачи в Банк России.
-
Можно ли устранить несоответствия в процессе оценки?Да, после предварительной оценки разрабатываются рекомендации и возможна доработка системы ИБ.
-
Как часто нужно проходить оценку соответствия?Периодичность зависит от уровня защиты информации и определяется нормативными актами Банка России.
-
Чем ГОСТ Р 57580.1-2017 отличается от ГОСТ Р 57580.2-2018?
ГОСТ Р 57580.1-2017 содержит базовый состав организационных и технических мер, определяет три уровня защиты:
- уровень 3 — минимальный;
- уровень 2 — стандартный;
- уровень 1 — усиленный.
ГОСТ Р 57580.2-2018 устанавливает методику проведения оценки, требования к области, выборке, свидетельствам, расчету итогового показателя, оформлению отчета.
-
Аудит по ГОСТ 57580 и оценка соответствия — это одна услуга?В контексте данной услуги — да.
Под аудитом понимается независимая оценка по методике ГОСТ Р 57580.2-2018. Термин «аудит» отражает формат работ, «оценка соответствия» — нормативно установленный результат.
-
Для кого стандарт обязателен?Требования различаются для отдельных категорий участников финансового рынка.
Обязательность, требуемый уровень, периодичность устанавливаются профильным положением Центрального Банка Российской Федерации. Перед проектом необходимо определить категорию участника, выполняемые операции, применимый нормативный акт.
Наверх
Напишите нам и эксперты САЙБЕР Бизнес Консалтинг проконсультируют по услугам.