Оценка соответствия требованиям Положения Банка России № 757-П

Оценка соответствия системы обеспечения информационной безопасности для некредитных финансовых организаций (НФО) требованиям Банка России, изложенным в Положении №757-П, по стандарту ГОСТ Р 57580.1-2017.

Узнать стоимость услуги

Оценка соответствия требованиям Положения Банка России № 757-П

Эксперты ответственные за направление

Максим Валерьевич Грищишен

Коммерческий директор САЙБЕР Бизнес Колсантинг

Опыт

Более 15 лет опыта в ИТ
Алексей Михайлович Карпушкин

Руководитель практики услуг по информационной безопасности и IT

Опыт

Более 10 лет опыта в ИТ
Михаил Константинович Манцуров

Руководитель направления аудита и консалтинга по информационной безопасности

Опыт

Более 15 лет опыта в ИБ

Что такое оценка соответствия требованиям Положения Банка России № 757-П

Положение Банка России № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Цель оценки соответствия – подтверждение выполнения обязательных требований регулятора, выявление недостатков в системе защиты информации и формирование рекомендаций по повышению уровня зрелости ИБ и фактической защищенности информационной инфраструктуры.

На кого распространяется действие Положения 757-П

Требования Положения Банка России № 757-П распространяются на некредитные финансовые организации, в том числе:

операторов по переводу денежных средств (ОПДС);
банковских платежных агентов (субагентов) (БПА);
операторов услуг информационного обмена (ОУИО);
поставщиков платежных приложений (ППП);
операторов платежных систем (ОПС);
операторов услуг платежной инфраструктуры (ОУПИ);
операторов электронных платформ (ОЭП).

Требования в части оценки соответствия 757-П

Ключевые требования в части оценки соответствия требованиям Положения Банка России № 757-П в основном касаются организаций, подпадающих под стандартный и усиленный уровни защиты информации.

Оценка по требованиям ГОСТ Р 57580.1 в рамках 757-П:

для стандартного и усиленного уровня ЗИ – не реже одного раза в 2 года проходить независимую оценку соответствия требованиям ГОСТ Р 57580.1 с участием компании-лицензиата ФСТЭК;
ежегодное тестирование объектов информационной инфраструктуры на проникновение и анализ уязвимостей ИБ;
использование прикладного программного обеспечения, прошедшего сертификацию ФСТЭК или оценку соответствия с уровнем доверия:
- не ниже 4-го уровня — для стандартного уровня ЗИ;
- не ниже 5-го уровня — для усиленного уровня ЗИ;
для минимального уровня ЗИ – самостоятельное определение необходимости сертификации или оценки соответствия ПО.

Ключевые изменения в 757-П относительно 684-П

НФО обязаны ежегодно проверять актуальный уровень защиты информации (не позднее первого рабочего дня календарного года).
Расширился список организаций, применяющих усиленный уровень защиты информации по ГОСТ Р 57580.1-2017.
Расширился список организаций, применяющих стандартный уровень защиты информации по ГОСТ Р 57580.1-2017.
Введен конкретный список НФО, обязанных применять минимальный уровень защиты информации по ГОСТ Р 57580.1-2017 (в 684-П необходимость применения ГОСТ Р 57580.1-2017 определялась самой организацией, если она не подпадала под стандартный или усиленный уровень защиты информации).

Этапы проведения оценки соответствия

Сбор сведений об информационной инфраструктуре Банка.
Сбор сведений о существующей документации в области обеспечения защиты информации. Анализ документов и получение свидетельств аудита.
Интервьюирование ответственного персонала.
Обследование объектов информационной инфраструктуры в области аудита.
Анализ собранной информации и проведение оценки соответствия.
Предварительная оценка соответствия – подсчет баллов по факту.
Разработка рекомендаций по доработке системы обеспечения информационной безопасности – либо не достигнута целевая оценка, либо предоставляется для оценки (промежуточный итог – результат предварительной оценки соответствия).
Внесение изменений в соответствии с рекомендациями (выполняется заказчиком или с привлечением исполнителя).
Расчет итоговой оценки по ГОСТ Р 57580.2-2018 по результатам всех доработок.
Подготовка отчетных документов по результатам выполнения оценки соответствия требованиям Положения Банка России № 757-П.

Нужна консультация по услуге?

Документы и нормативная база

Положение Банка России № 757-П
ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Приказ ФСТЭК России № 76
Методические рекомендации Банка России

Что входит в услугу

Подготовка и сбор данных.

Действия: определение границ оценки, сбор сведений об ИТ-инфраструктуре и процессах.
Результат: согласованные границы и план оценки.

Анализ документации.

Действия: анализ ВНД, политик ИБ, регламентов, моделей угроз.
Результат: перечень несоответствий и пробелов.

Интервью и обследование.

Действия: интервью с ответственными лицами, обследование инфраструктуры.
Результат: подтверждение фактической реализации мер ИБ.

Проведение оценки соответствия.

Действия: расчет показателей соответствия по ГОСТ Р 57580.2.
Результат: предварительная и итоговая оценки соответствия.

Подготовка отчетности.

Действия: оформление отчета и рекомендаций.
Результат: отчет для заказчика и регулятора.