Оценка соответствия защиты информации требованиям

ФО должны соблюдать требования ГОСТ Р 57580.1-2017 и обеспечивать необходимый уровень защиты информации согласно:

• Положения Банка России от 17.04.2019 №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – 683-П);
• Положения Банка России от 04.06.2020 №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 719-П);
• Положения Банка России от 23.12.2020 №747-П «О требованиях к защите информации в платежной системе Банка России» (далее – 747-П);
• Положения Банка России от 20.04.2021 №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – 757-П).

Также, в соответствии с 683-П, 719-П, 747-П и 757 П с 1 января 2021 года ФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать проведение оценки соответствия определенного ими уровня защиты информации с соблюдением следующих требований.

Оценка соответствия защиты информации – это процесс оценки выбора и полноты реализации организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1-2017. Оценка соответствия защиты информации должна проводиться с привлечением проверяющей организацией, обладающей лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.

УЦСБ обладает всеми требованиями, предъявляемыми к проверяющим организациями и имеет лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 года №79 «О лицензировании деятельности по технической защите конфиденциальной информации»

Дополнительным преимуществом УЦСБ является наличие в команде аудиторов специалистов, квалификация которых подтверждается международными сертификатами CISSP, CISA, CISM, а также завершенными обучениями по аудитам (в частности, ISO 27001, ГОСТ Р 57580).

В рамках оценки соответствия защиты информации выполняются следующие этапы:

• определение области оценки соответствия защиты информации (далее – ЗИ);
• обследование объектов информатизации, входящих в область оценки соответствия;
• сбор свидетельств для оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ;
• анализ организационно-распорядительной документации в области ИБ;
• выявление нарушений ЗИ;
• оценка мер и расчет итоговых показателей оценки соответствия.
• формирование отчета и рекомендаций по совершенствованию ЗИ и устранению выявленных нарушений.

В результате оформляется отчет по результатам оценки соответствия ЗИ, включающий:

• перечень нарушений ЗИ, выявленных членами проверяющей группы в результате оценки соответствия ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам;
• рекомендации по совершенствованию ЗИ и устранению выявленных нарушений;
• таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений ЗИ по результатам оценки соответствия ЗИ.

К отчету по результатам оценки соответствия ЗИ прилагается:

• заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки;
• копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований ЗИ;
• машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований ЗИ.

В соответствии с требованиями Положений Банка России 683-П, 719-П, 747-П и 757 П ФО должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Подробнее о наших услугах по тестированию на проникновение можно узнать на сайте pentest.ussc.ru.