+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Что такое ГОСТ 57580?

Что такое ГОСТ 57580?

ГОСТ 57580.1 – это стандарт, определяющий уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации.

Данные требования применяются финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Центрального Банка России.

Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы.

Согласно статье 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» некредитными финансовыми организациями являются профессиональные участники рынка ценных бумаг, УК инвестиционных, паевых инвестиционных и негосударственных пенсионных фондов, клиринговая деятельность, деятельность организатора торговли, деятельность центрального депозитария, деятельность субъектов страхового дела, микрофинансовые организации и прочие.

Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Центрального Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах.

Первая редакция данного стандарта, определяющая требования к обеспечению безопасности финансового сектора, вступила в силу 1 января 2018 года, с 1 сентября того же года вступил в силу ГОСТ Р 57580.2-2018, включающий методику оценки соответствия организации вышеуказанным требованиям.

ГОСТ 57580.1 и .2

Каковы основные положения ГОСТ 57580?

Деятельности любой финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Данный риск является объективной реальностью, устранить его не представляется возможным на данный момент времени.

Понизить же вышеупомянутый риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить ряд определенных мер по защите данной информации.

Итак, основными целями настоящего стандарта являются:

  • определение уровней защиты информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации, применяемых финансовыми организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Центрального Банка России
  • достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска
  • обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями
Запрос коммерческого предложения

Какие меры необходимо принять финансовым организациям для защиты информации?

Данный ГОСТ выделяет три уровня защиты информации: минимальный, стандартный и усиленный.

В финансовой организации формируются контуры безопасности, для которых может быть установлен разный уровень защиты информации.

Вышеуказанный уровень для каждого конкретного контура безопасности устанавливается нормативными актами Центрального Банка России.

Требования к уровню безопасности устанавливаются на основе оценки следующих параметров организации: вида деятельности организации, объема финансовых операций, категории (размера) организации и значимости конкретной организации для финансового рынка и национальной платежной системы в целом.

В пункте 6.1 настоящего стандарта (ГОСТ 57580) обозначена необходимость обеспечить:

      • идентификацию и учет объектов информатизации, в том числе автоматизированных систем, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Центрального Банка России, устанавливающих обязательность применения его положений
      • применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией мер защиты информации, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации
      • применение выбранных финансовой организацией мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации
      • применение выбранных финансовой организацией мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла автоматизированной системы и приложений
      • оценку остаточного операционного риска (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Центрального Банка России

Так же в рассматриваемом стандарте упоминается, что, в случае невозможности технической реализации отдельных выбранных мероприятий по защите информации, а также с учетом экономической целесообразности на этапах уточнения базового состава мероприятий могут разрабатываться иные компенсирующие меры.

Данные меры направлены на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации.

Основой для реализации правильного и эффективного способа минимизации возможных финансово неприемлемых для вышеупомянутой организации операционных рисков, связанных с нарушением безопасности информации, являются принятые и контролируемые руководством финансовой организации документы.

ГОСТ 57580 регламентирует определенные требования к системе защиты информации и базовому составу мер по ее обеспечению, таких как:

      1. Обеспечение защиты информации при управлении доступом
      2. Обеспечение защиты вычислительных сетей
      3. Контроль целостности и защищенности информационной инфраструктуры
      4. Защита от вредоносного кода
      5. Предотвращение утечек информации
      6. Управление инцидентами защиты информации
      7. Защита среды виртуализации
      8. Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Указанные группы мер определяются ГОСТом как «процессы», внутри которых выделяются «подпроцессы».

Какова область применения ГОСТ 57580?

Данный стандарт разработан с целью развития и укрепления банковской системы Российской федерации, развитие и обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и достаточного уровня защиты информации.

Сами по себе ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018 не определяют область своего применения в конкретных организациях.

Область применения определятся нормативными актами Банка России. В частности требования соответствия ГОСТу прописаны в:

Базовый состав организационных и технический мер защиты информации определен в ГОСТе 57580.1, и соответственно, способ проверки соответствия (методика оценки соответствия) определена в ГОСТе 57580.2.

ГОСТ 57580.2-2018 устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер в соответствии с требованиями ГОСТ 57580.

В область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а так же услуг по осуществлению перемещений денежных средств частными и юридическими лицами.

Для оценки полноты соответствия системы защиты информации существующему ГОСТу приняты уровни соответствия, от нулевого к пятому (где пятый – процессы реализуются в полном объеме на постоянной основе).

Заключение

ГОСТ 57580 содержит широкий спектр требований и рекомендаций по осуществлению мер по организации защиты информации и финансовых операций кредитными и некредитными организациями.

Меры системы организации и управления защитой информации применяются на системных уровнях инфраструктуры и на этапах жизненного цикла автоматизированных систем и приложений для осуществления финансовых операций.

Целями регулирования и контроля данных мер является обеспечение устойчивого развития финансового рынка, управление рисками, противодействие кризисным ситуациям, защита прав и интересов участников процесса на финансовых рынках.

Область оценки соответствия информационной безопасности ГОСТу определяется нормативными актами Центрального Банка России и подлежит согласованию на объектах заказчика. По результатам работ по оценке соответствия разрабатываются рекомендации по совершенствованию обеспечения информационной безопасности в соответствии с требованиями национального стандарта ГОСТ Р 57580.

По результатам аудита (оценки соответствия) информационной безопасности существующим стандартам составляется подробный отчет, являющийся собственностью проверяемой организации. Отчет должен содержать полные, четкие и достаточные записи о соответствии мер по защите информации установленным данным ГОСТом стандартам. Требования к вышеуказанному отчету содержатся в разделе 8 ГОСТ 57580.2.

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку персональных данных.

Связанные услуги

Аудит (оценка соответствия) по ГОСТ Р 57580

Аудит (оценка соответствия) по ГОСТ Р 57580

- Кто имеет право проводить оценку соответствия по ГОСТ 57580?
- Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка
- Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?
- Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?
- Оценка по Приказу №321 Минкомсвязи (Биометрия)
- Почему RTM Group?
- Цена оценки соответствия по ГОСТ Р 57580.2

Оценка соответствия (аудит) ЕБС в банке

Оценка соответствия (аудит) ЕБС в банке

- На соответствие чему оценивается сегмент ЕБС?
- Оценка соответствия по ЕБС
- Почему RTM Group?
- Цена работ по ЕБС для банков
- Заказать работы по аудиту ЕБС

Приведение в соответствие и оценка по 683-П для банка

Приведение в соответствие и оценка по 683-П для банка

- Суть 683-П
- Какая информация должна защищаться по 683-П?
- На кого распространяются требования 683-П?
- Важные требования 683-П для банков
- Оценка по ГОСТ 57580.2 для банков
- Когда 683-П вступает в силу?
- Дополнительные услуги по 683-П
- Почему RTM Group?
- Цена работ по 683-П для банков
- Заказать работы по 683-П

Приведение в соответствие и оценка по 684-П для НФО

Приведение в соответствие и оценка по 684-П для НФО

- Суть 684-П
- Какая информация должна защищаться по 684-П?
- На кого распространяются требования 684-П?
- Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?
- Оценка по ГОСТ 57580.2 для некредитных финансовых организаций
- Когда 684-П вступает в силу?
- Цена работ по 684-П для НФО
- Заказать работы по 684-П

Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

- Основные понятия
- Помощь в самооценке
- Заказать помощь в проведении самооценки по ГОСТ 57580

Приведение в соответствие и оценка соответствия по 672-П

Приведение в соответствие и оценка соответствия по 672-П

— Суть 672-П
— ГОСТ Р 57580 как часть 672-П
— Что нужно сделать для выполнения 672-П?
— Список документов для соответствия 672-П?
— Сроки приведения в соответствие 672-П и ГОСТ 57580
— Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П)
— Как оценить выполнение 672-П и ГОСТ?

Аудит на соответствие 152-ФЗ «О персональных данных»

Аудит на соответствие 152-ФЗ «О персональных данных»

— Что означает соответствие 152-ФЗ?
— Чем грозит несоответствие по 152-ФЗ?
— Что представляет собой аудит?
— Стоимость аудита 152-ФЗ

Сопровождение организаций во время проверки ЦБ

Сопровождение организаций во время проверки ЦБ

— Что необходимо знать при проверке ЦБ
— Сроки проведения проверки
— Типы (виды) проверок

Оценка состояния ИБ на соответствие требованиям клиентов и/или стандартов

Оценка состояния ИБ на соответствие требованиям клиентов и/или стандартов

— Для чего нужна оценка соответствия ИБ
— Как проходит аудит
— Этапы проведения аудита
— Результат аудита

Аудит информационной безопасности банка

Аудит информационной безопасности банка

Что это такое?
Цели проведения
Виды
Что входит?
Этапы
Выгодное предложение