ГОСТ Р 57580.1-2017
О СТАНДАРТЕ
Национальный Стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1) был разработан Центральным банком Российской Федерации и Научно-производственной фирмой «Кристалл», а утвержден и введен в действие 8 августа 2017 г. N 822-ст Приказом Федерального агентства по техническому регулированию и метрологии.
Стандарт определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, которые применяются различными организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.
Необходимость обеспечения соответствия требованиям стандарта ГОСТ Р 57580.1 определена в различных положениях, выпущенных Банком России и другими регуляторами, в том числе:
Положение Банка России N 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”.
Положение Банка России от 25.07.2022 N 802-П «О требованиях к защите информации в платежной системе Банка России».
Положение Банка России от 03.12.2020 N 742-П «О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы, о ведении Банком России реестра операторов финансовых платформ и о требованиях к порядку регистрации Банком России изменений в правила финансовой платформы».
Положение Банка России от 04.06.2020 N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Положение Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Положение Банка России от 07.12.2023 N 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля».
Приказ Минцифры России от 12.05.2023 N 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц».
Требования к определению уровня защищенности (усиленный, стандартный или минимальный), периодичности оценки соответствия, компании-аудитору и необходимому уровню соответствия требованиям ГОСТ Р 57580.1 определены в вышеуказанных положениях и приказах.
Напишите нам, чтобы получить консультацию по вопросам ГОСТ Р 57580.1 и мы свяжемся с Вами!
ЗаполнитьПРЕИМУЩЕСТВА НАШЕЙ КОМПАНИИ
- Наша компания обладает необходимой лицензией по технической защите конфиденциальной информации для проведения работ от Федеральной службы по техническому и экспортному контролю.
- В нашей компании работают два специалиста, сертифицированных по программе «Введение, внедрение и оценка соответствия финансовых организаций ГОСТ Р 57580 «Безопасность финансовых (банковских) операций», подготовленной разработчиками стандарта.
- Наши специалисты получили опыт, успешно реализовав проекты в нескольких крупных банках, доведя оценку до необходимого четвертого уровня.
ЭТАПЫ ПРОЕКТА
Определение области оценки соответствия и согласование плана оценки
Удаленная проверка организационно-распорядительной документации заказчика на соответствие требованиям Положения
Оценка соответствия на месте, включающая:
- анализ конфигураций информационных систем и оборудования;
- анализ используемых технических средств и организационных мер защиты информации;
- интервью с ответственными сотрудниками.
Подготовка предварительной отчетной документации и рекомендаций по обеспечению организацией необходимого уровня защищенности
Устранение заказчиком несоответствий
Подтверждение устранения несоответствий, разработка итогового отчета в соответствии с требованиями Банка России
РЕЗУЛЬТАТЫ ПРОЕКТА
По результатам выполненных работ будут подготовлены следующие отчётные материалы:
- Отчет о предварительной оценке соответствия требованиям ГОСТ Р 57580.1 – 2017.
- Рекомендации по повышению уровня защищенности и общей оценки.
- Отчет об оценке соответствия требованиям ГОСТ Р 57580.1 – 2017 , включающий:
- сведения о проверяющей организации;
- сведения о руководителе и членах проверяющей группы;
- сведения о проверяемой организации;
- сведения о заказчике оценки соответствия ЗИ;
- цель оценки соответствия ЗИ;
- сроки проведения оценки соответствия ЗИ;
- область оценки соответствия ЗИ;
- перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
- обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ – если таковые были документально оформлены Заказчиком;
- краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/ или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ;
- числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
- подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки соответствия ЗИ;
- неразрешенные разногласия между проверяющей группой и проверяемой организацией;
- перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;
- сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ;
- перечень несоответствий ЗИ, выявленных членами проверяющей группы в результате оценки соответствия ЗИ;
- рекомендации по совершенствованию ЗИ и устранению выявленных нарушений;
- заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки, по форме, приведенной в приложении А к ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»
- копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований ЗИ;
- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований ЗИ (скриншоты, конфигурационные файлы и др).
Вышеприведенный отчет по запросу предоставляется в Банк России или другие регулирующие органы.