833-П: Обеспечение соответствия положению ЦБ РФ

Аудит соответствия общим требованиям 833-П

Аудит соответствия системы защиты информации в соответствии с требованиями Положение Банка России от 7 декабря 2023 г. N 833-П (далее – 833-П), проводится с целью определения качества и степени выполнения настоящего положения.

1. Требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования
2. Требования к обеспечению защиты информации с помощью СКЗИ
3. Требования к обеспечению защиты информации по порядку проведения оценки соответствия уровню защиты информации
4. Требования о проведении тестирования на проникновение в пределах выделенного сегмента цифрового рубля
5. Требования к обеспечению защиты информации, применяемые в отношении технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями
6. Требования по реализации организационных и технических мер защиты согласно ГОСТ 57580.1 по стандартному или усиленному уровням защиты

В ходе аудита проводятся следующие работы: 

• Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
• Анализируется организационно-распорядительная документация
• Анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации
• Проводится интервью с сотрудниками проверяемой организации
• Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
• Оценивается соответствие проверяемой организации пунктам требований руководящих документов.
• Проводится проверка устранения обнаруженных несоответствий
• Повторно проводится аудит соответствия требований положения 833-П к системе обеспечения информационной безопасности
• Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям положения к системе обеспечения информационной безопасности
• Оформляется финальный отчет

Результат и отчетная документация:

1. Отчет о проведенных работах по общим требованиям Положения 833-П
2. Обоснование и дополнительные рекомендации (если требуются)

833-П: Оценка соответствия по ГОСТ Р 57580

Цель проведения работ — соответствие ГОСТ Р 57580.1-2017 в рамках 833-П.

Работы по обследованию проводятся дистанционно на основании документации и интервью.

В ходе оценки проводятся следующие работы: 

1. Определяется область оценки (объектов доступа, персонала)
2. Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
3. Анализируется организационно-распорядительная документация
4. Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения
5. Проводится визуальное наблюдение на объектах Банка (в случае необходимости)
6. Проводится интервью сотрудников проверяемой организации
7. Составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1–2017
8. Оценивается выполнение мер по защите информации ГОСТ Р 57580.1–2017 (с комментариями)
9. Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
10. Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018
11. Согласовывается полученный результат

Результат и отчетная документация:

• Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018
• Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия
• Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия защиты информации
• Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11

Скачать положение ЦБ РФ 833-П

Положение Банка России от 7 декабря 2023 г. N 833-П «О требованиях к обеспечению защиты информации для участников цифрового рубля»

Зарегистрировано в Минюсте 29 сентября 2023 года. Содержит требования к обеспечению защиты информации для участников цифрового рубля.

Скачать последнюю редакцию Положения 833-П можно здесь (.pdf).

Обзор 833-П

Положение ЦБ РФ № 833-П устанавливает требования к обеспечению защиты информации для участников цифрового рубля.

Положение включает в себя требования:

• К использованию криптографии при взаимодействии с платформой цифрового рубля
• Требования по защите инфраструктуры, которая взаимодействует в рамках платформы цифрового рубля
• Требования по реализации функций защиты в ПО, которое распространяется пользователям-клиентам участника платформы

833-П: Важные сроки

833-П вступает в силу с 1 января 2024 года.

Отдельные сроки установлены в отношении отдельных положений:

1. Абзацы третий и пятый подпункта 14.1, абзацы третий и пятый подпункта 14.2 и пункта 14 вступают в силу 1 января 2025 года
2. Абзацы второй и четвертый подпункта 14.1, абзацы второй и четвертый подпункта 14.2 пункта 14 действуют по 31 декабря 2024 года
3. (Требования на применения СКЗИ класса КС2 заменяется на применение СКЗИ класса КС3)
4. В отношении всех остальных требований 833-П установлен единый срок – 1 января 2024 года

Структура положения 833-П

Положение 833-П содержит 25 пунктов и 2 приложения:

1. Общие требования:
   Введение, описание целей и задач постановления, определение основных понятий.

2. Требования к защите информации:

• • Описание необходимости обеспечения безопасности информации участников цифрового рубля
  • Определение общих требований к защите информации, включая необходимость создания системы защиты, контроля и обработки информации
  • Отношения субъектов информационных отношений и требования к сохранности информации

3. Меры по обеспечению безопасности информации:

• • Описание мер, принимаемых участниками цифрового рубля для обеспечения безопасности и конфиденциальности информации
  • Требования к защите информационных систем, программного обеспечения и технических средств

4. Порядок проверки и контроля за соблюдением требований по обеспечению информационной безопасности:

• • Описание процедуры контроля и проверки соблюдения требований по обеспечению информационной безопасности
  • Регулярность проверок, основные положения и требования к проверяющим органам
  • Ответственность за невыполнение требований по обеспечению информационной безопасности

5. Заключительные положения:

• • Процедура вступления постановления в силу и перечень актов, которые оно заменяет
  • Дата вступления постановления в силу

Ключевые требования 833-П для банков

• Обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.1-2017
• Проведение оценки соответствия по ГОСТ 57580.2-2018 каждые 2 года
• Оценка соответствия проводится лицензиатом ФСТЭК России (внешней проверяющей организацией)
• Ежегодные тестирования на проникновения и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, размещенных в сегменте цифрового рубля

Почему RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты