Неверное определение области оценки заказчиком

Что делали

На основании договора производились работы по оценке реализации технических и организационных мер защиты согласно ГОСТ 57580.1.

На первом этапе работ производилось определение области оценки на основании ответов компетентных сотрудников со стороны заказчика на предметные запросы экспертов проверяющей группы.

После определения области оценки эксперты проверяющей группы RTM Group перешли к основному этапу работ по сбору свидетельств реализации мер защиты.

В процессе анализа предоставленных свидетельств по предметным запросам, сотрудниками нашей компании было выявлено, что область оценки была определена на основании неверных ответов со стороны заказчика и была упущена часть информационных систем, к которым предъявлялись аналогичные требования.

В результате проведенного исследования в дополнении к рассматриваемым информационным системам были добавлены ранее не рассматриваемые ИС, обрабатывающие защищаемую информацию.

Далее работы производились на основании корректно определенного состава рассматриваемых информационных систем, были выданы дополнительные рекомендации по обеспечению информационной безопасности в рассматриваемой инфраструктуре.

Результат

Таким образом, на основном этапе проведения оценки соответствия, путём анализа исходных данных с формированием нескольких дополнительных запросов к заказчику, экспертами RTM Group были обнаружены дополнительные ИС, деятельность которых регламентируется ЦБ РФ.

В результате этого область проведения работ была определена верно, что в будущем предотвратило необходимость дополнительных затрат на проведение дополнительного аудита.

Также в результате деятельности наших сотрудников получилось в установленные сроки направить отчетность в ЦБРФ о результатах корректно проведенной проверки.

Помимо договорных работ была проведена дополнительная консультация сотрудников заказчика относительно области действия рассматриваемых документов для предотвращения штрафных санкций Центрального Банка.