8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Неверное определение области оценки

Заказчик обратился в RTM Group для проведения оценки соответствия требованиям положения 719-П ЦБ РФ. В результате область оценки была скорректирована.

Что делали

На предварительном этапе оценки соответствия организацией в перечень оцениваемых систем были отнесены системы, включающие в себя виртуальные сервера, инфраструктуру удалённого доступа, внутреннюю сеть Wi-Fi.

Принимая во внимание особую важность для численного значения оценки соответствия включения в область оценки виртуальных машин, средств удалённого доступа и беспроводных сетей, было решено подробнее изучить перечисленные системы. В ходе анализа было выяснено, что на платформах виртуализации, при помощи удалённого доступа и сети Wi-Fi не происходит обработки платёжной информации, что позволило исключить множество информационных систем из области оценки. Корректировка перечня оцениваемых систем дала возможность обозначить как неоцениваемые следующие группы требований ГОСТ Р 57580.1–2017:

  • Процесс «Защита среды виртуализации», так как в платёжном сегменте не используются средства виртуализации;
  • Процесс «Защита информации при осуществлении удаленного доступа с использованием мобильных (переносных) устройств», так как в платежном сегменте не используются мобильные (переносные) устройства;
  • подпроцесс «Защита беспроводных сетей», так как в платежном сегменте отсутствует оборудование по предоставлению беспроводного доступа (Wi-Fi);
  • Направления процессов «Защита среды виртуализации» и «Защита информации при осуществлении удаленного доступа с использованием мобильных (переносных) устройств».

Исключение данных частей в дальнейшем позволило существенно увеличить значение оценки соответствия.

Также на предварительном этапе обсуждалась необходимость реализации усиленного уровня защиты информации, так как организация предоставляла услуги информационного обмена системно значимому банку. В ходе обсуждения было доказано отсутствие необходимости реализации усиленного уровня на основании пункта 4.3 положения ЦБ №719-П. Снижение уровня защиты информации до стандартного также оказало позитивное влияние на значение оценки соответствия.

Результат

Таким образом, на предварительном этапе проведения оценки соответствия, путём корректировки области оценки и необходимого уровня защиты информации, были использованы предпосылки для увеличения значения оценки соответствия, что впоследствии позволило успешно доказать соответствие полноты защиты информации четвёртому уровню соответствия.

Сопутствующие услуги

ГОСТ Р 57580: Аудит (оценка соответствия)

ГОСТ Р 57580: Аудит (оценка соответствия)

- Кто имеет право проводить оценку соответствия по ГОСТ 57580?
- Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка
- Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?
- Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?
- Оценка по Приказу №930 Минкомсвязи (Биометрия)
- Почему RTM Group?
- Цена оценки соответствия по ГОСТ Р 57580.2

Помощь в проведении самооценки по ГОСТ Р 57580 (757-П и 683-П)

Помощь в проведении самооценки по ГОСТ Р 57580 (757-П и 683-П)

- Основные понятия
- Помощь в самооценке
- Заказать помощь в проведении самооценки по ГОСТ Р 57580

Полезные статьи

757-П: что нового для некредитных финансовых организаций?

757-П: что нового для некредитных финансовых организаций?

Прошел почти год с момента, как Положение 684-П было заменено на Положение 757-П. Новый документ гораздо объемнее предыдущего. Однако, до сих пор неясно, какие ключевые отличия имеются в 757-П по сравнению с 684-П. Наш небольшой материал призван расставить все по местам. Надеемся, что он внесет ясность для тех некредитных финансовых организаций (НФО), которым необходимо выполнять требования документа.

Положение банка России № 757-П

Положение банка России № 757-П

Положение 757-П вышло на замену 684-П и устанавливает новые обязательные для Некредитных Финансовых Организаций требования по защите информации.

Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.