Оценка соответствия защиты информации требованиям
ФО должны соблюдать требования ГОСТ Р 57580.1-2017 и обеспечивать необходимый уровень защиты информации согласно:
- Положения Банка России от 17.04.2019 №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – 683-П);
- Положения Банка России от 04.06.2020 №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 719-П);
- Положения Банка России от 23.12.2020 №747-П «О требованиях к защите информации в платежной системе Банка России» (далее – 747-П);
- Положения Банка России от 20.04.2021 №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – 757-П).
Также, в соответствии с 683-П, 719-П, 747-П и 757 П с 1 января 2021 года ФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать проведение оценки соответствия определенного ими уровня защиты информации с соблюдением следующих требований.
Оценка соответствия защиты информации – это процесс оценки выбора и полноты реализации организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1-2017. Оценка соответствия защиты информации должна проводиться с привлечением проверяющей организацией, обладающей лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.
УЦСБ обладает всеми требованиями, предъявляемыми к проверяющим организациями и имеет лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 года №79 «О лицензировании деятельности по технической защите конфиденциальной информации»
Дополнительным преимуществом УЦСБ является наличие в команде аудиторов специалистов, квалификация которых подтверждается международными сертификатами CISSP, CISA, CISM, а также завершенными обучениями по аудитам (в частности, ISO 27001, ГОСТ Р 57580).
В рамках оценки соответствия защиты информации выполняются следующие этапы:
- определение области оценки соответствия защиты информации (далее – ЗИ);
- обследование объектов информатизации, входящих в область оценки соответствия;
- сбор свидетельств для оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ;
- анализ организационно-распорядительной документации в области ИБ;
- выявление нарушений ЗИ;
- оценка мер и расчет итоговых показателей оценки соответствия.
- формирование отчета и рекомендаций по совершенствованию ЗИ и устранению выявленных нарушений.
В результате оформляется отчет по результатам оценки соответствия ЗИ, включающий:
- перечень нарушений ЗИ, выявленных членами проверяющей группы в результате оценки соответствия ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам;
- рекомендации по совершенствованию ЗИ и устранению выявленных нарушений;
- таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений ЗИ по результатам оценки соответствия ЗИ.
К отчету по результатам оценки соответствия ЗИ прилагается:
- заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки;
- копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований ЗИ;
- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований ЗИ.
Оптимизируйте затраты на оценку соответствия,
используя онлайн-сервис оценки соответствия ЗИ
по ГОСТ Р 57580.1-2017 от УЦСБ
В соответствии с требованиями Положений Банка России 683-П, 719-П, 747-П и 757 П ФО должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Подробнее о наших услугах по тестированию на проникновение можно узнать на сайте pentest.ussc.ru.