8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
info@rtmtech.ru Контакты Поиск
RTM Group » Услуги » Информационная безопасность » ЕБС: Оценка соответствия (аудит) в банке

ЕБС: Оценка соответствия (аудит) в банке

Аудит (оценка соответствия) ЕБС (сегмента Единой Биометрической Системы) в банке должен проводиться в соответствии с Приказом №321 Минкомсвязи России от 25.06.2018 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации»

 

ЕБС: Оценка соответствия (аудит) в банке
Нужна консультация?

Эксперты по аудиту (оценки соответствия) ЕБС для банков

Эксперт по аудиту (оценки соответствия) ЕБС для банков Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Алтухов Артём Валерьевич

Алтухов Артём Валерьевич

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2017 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Воронин Владислав Леонидович

Воронин Владислав Леонидович

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Федюнина Анастасия Валерьевна

Федюнина Анастасия Валерьевна

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты

Оглавление:

На соответствие чему оценивается сегмент ЕБС? Оценка соответствия по ЕБС Почему RTM Group? Заказать работы по аудиту ЕБС

На соответствие чему оценивается сегмент ЕБС?

Приказ №321 содержит прямое указание использовать информационные технологии и технические средства, которые соответствуют второму (стандартному) уровню защиты информации по ГОСТ Р 57580.1-2017.

Требования ГОСТ 57580.1 разделяются на 4 направления (Планирование, Реализация, Контроль и Совершенствование), а также 8 процессов:
Направления и процессы требований ГОСТ 57580.1

  • Обеспечение защиты информации при управлении доступом
  • Обеспечение защиты вычислительных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Защита от вредоносного кода
  • Предотвращение утечек информации
  • Управление инцидентами защиты информации
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

В большинстве реализаций ЕБС в банках, полностью неприменимым можно считать только процессы защиты среды виртуализации и мобильных устройств.

Остальные процессы являются полностью или частично применимыми.

Таким образом,

К сегменту ЕБС применяются высокие требования по обеспечению информационной безопасности.

В задачи аудитора входит четкое определение применимости мер защиты информации из ГОСТ Р 57580.1-2017.

От качественного определения применимых мер зависит объективность и адекватность оценки соответствия (аудита).

    Нужна консультация?
    Задать вопрос

    Оценка соответствия (аудит) по ЕБС

    По Приказу №321 Минкомсвязи предусмотрена только внешняя оценка лицензиатом ФСТЭК России (лицензия на техническую защиту конфиденциальной безопасности). В требованиях 321-го приказа не уточняется методика проведения оценки, однако ГОСТ Р 57580.1-2017 содержит прямое указание проводить оценку соответствия по методике, которая содержится в ГОСТ Р 57580.2-2018.

    Самооценка не предусмотрена.

    Оценка проводится на ежегодной основе.

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
    • Сроки проведения оценки соответствия от 3 недель до 3 месяцев (в зависимости от сложности)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по аудиту ЕБС

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по аудиту (оценки соответствия) ЕБС для банков

    Наши преимущества

    382-П, 683-П, 684-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Нами проведено более 300 аудитов

    Сотрудники компании провели более 300 аудитов по различным критериям

    Широкая география работы и присутствия

    Работа на территории России, Украины, Белоруси и Казахстана

    3 лицензии

    ФСТЭК России и ФСБ России

    Цены на услуги по аудиту (оценки соответствия) ЕБС для банков

    Наименование услуги Стоимость

    Консультация

    бесплатно

    Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако) - от 8 недель

    Опросный лист (анкета)

    от 300 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако) - от 10 недель

    от 500 000 руб.

    Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение) - от 10 недель

    от 400 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение) - от 10 недель

    от 600 000 руб.

    Разработка организационно-распорядительной документации (ОРД) для сегмента ЕБС в соответствии с ГОСТ Р 57580 - от 2 недель

    от 200 000 руб.

    Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

    FAQ: Часто задаваемые вопросы

    Что требуется сделать до проведения аудита ЕБС? Как подготовиться к аудиту?

    До проведения аудита в организации необходимо собрать имеющиеся внутренние документы по информационной безопасности и актуализировать, если произошли изменения в процессе защиты информации, или если такие документы морально устарели. Также нужно обновить программные средства защиты информации во избежание низкой оценки, т.к. законодательство обязует использовать обновляемые и актуальные средства защиты.

    Для получения высокой оценки необходимо, чтобы требования по защите информации выполнялись по меньше мере с незначительными недочетами. Для этого нужно подготовить полноценное функционирование программных и аппаратных средств. Кроме технической части, должна выполняться организационная, особенно, обеспечение контроля выполнения обязанностей и функционирования технических средств.

    Такая подготовка положительно сказывается на процессе и результатах проведения аудита. Кроме того, нужно предусмотреть выделение сотрудника для взаимодействия с проверяющей организацией, поскольку оперативная обратная связь способствует повышению качества результата.

    Здравствуйте! Какие документы обязывают банки проводить аудит единой биометрической системы?

    Здравствуйте!

    Нормативные документы, согласно которым банки, оказывающие услуги по сбору данных в Единую биометрическую систему, обязаны проводить аудит:

    • Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. N 321.
    • Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

    В п.9 Приказа №321 содержится:

    «2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)».

    В документе «Методические рекомендации Банка России от 14.02.2019 N 4-МР…»:

    • 2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2017) (далее — ГОСТ Р 57580.1-2017).
    • 2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года № 51532.
    • 2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

    Нужно ли информировать ЦБ о проведении оценки соответствия требований к защите информации по ГОСТ 57580 сегмента ЕБС

    В соответствии с п.9 пп. 2 приложения 1 к к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
    от 25.06. 2018 N 321, Банки или иные организации, осуществляющие обработку биометрических персональных данных, включая сбор и хранение, обязаны проводить ежегодную оценку соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации», а также ежегодное информирование Банка России о результатах такой оценки.

    Здравствуйте! Как проводится аудит ЕБС? Какова процедура?

    Добрый день!

    Сначала проводится выездной осмотр в организацию, чтобы увидеть лично как происходит обеспечение информационной безопасности, какое оборудование используется, какие средства применяются, а также для ознакомления с документацией.

    Затем работа перетекает в проведение аудита, который происходит в формате диалога. С нашей стороны запрашиваются скриншоты, фотографии, документы и формируются вопросы относительно системы защиты информации. Совокупность предоставленных сведений будет подтверждать выполнение требований обеспечения защиты и влиять на итоговую оценку соответствия. Наблюдения, зафиксированные во время выездного осмотра экспертом, также используются в качестве доказательств выполнения требований. Полученная оценка говорит не только о количественных показателях, но и о качественных, отображая уровень защищенности.

    Если в ходе аудита оценка выходит низкой, то предлагаются рекомендации по улучшению безопасности. Устранение недостатков может быть как самостоятельным, так и с нашей помощью. Целью является добиться как можно большей защищенности.

    По результатам аудита формируются итоговые рекомендации по совершенствованию системы защиты информации, в соответствии с выявленными недостатками. Затем составляется отчет о проведении аудита.

    Как ЦБ за ЕБС без оценки сможет наказать?

    Формально нет метрики штрафных санкций от ЦБ за те или иные нарушения. В тое время встречаются предписания за невыполнение рекомендаций 4-МР в части устранения нарушений, в том числе отсутствия оценки. Пока банки не рискуют игнорировать или оспаривать подобные предписания.

    А то не хочется ежегодно по ЕБС еще по пол ляма отдавать за оценку.

    В RTM Group повторные оценки по ЕБС стоят ровно в 2 раза дешевле.

    И по полмиллиона за оценку ЕБС — это дорого.

    Наши отзывы по аудиту (оценки соответствия) ЕБС для банков

    Благодарность от АО «НВКбанк»

    26.08.2019

    Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
    Благодарность от ООО КБ «АРЕСБАНК»

    27.02.2020

    Уважаемый Евгений Олегович! Коммерческий Банк «АРЕСБАНК» общество с ограниченной ответственностью благодарит компанию «РТМ ТЕХНОЛОГИИ» за проведенную оценку соответствия №382- П. Аудит был проведен в рамках действующих требований и показал объективную оценку. Так же, после проведения пентеста, были получены дополнительные рекомендации по защите информации. Спасибо компании «РТМ ТЕХНОЛОГИИ» за проделанную работу. По итогам проведенной проверки мы получили исчерпывающую информацию о защищенности всей системы. Отдельную благодарность выражаем коллективу компании за профессиональный подход к своим обязанностям. Сотрудники работают четко в соответствии с составленным договором, и предоставляют исчерпывающие данные о проверке. Заместитель Председателя Правления А.И. Валов

    Услуги для вас

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    - Где содержится требование проводить оценку (анализ) уязвимостей ПО?
    - Какое ПО нужно оценивать на уязвимости по 382-П 684-П и 683-П?
    - Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
    - Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
    - Отчет по анализу уязвимостей ПО
    - Дополнительные услуги по анализу уязвимостей
    - Почему RTM Group?
    - Цена работ по анализу уязвимостей программного обеспечения
    - Заказать работы по анализу уязвимостей программного обеспечения
    ГОСТ Р 57580: Аудит (оценка соответствия)

    ГОСТ Р 57580: Аудит (оценка соответствия)

    - Кто имеет право проводить оценку соответствия по ГОСТ 57580?
    - Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка
    - Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?
    - Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?
    - Оценка по Приказу №321 Минкомсвязи (Биометрия)
    - Почему RTM Group?
    - Цена оценки соответствия по ГОСТ Р 57580.2
    382‑П: Оценка соответствия

    382‑П: Оценка соответствия

    - Скачать актуальную редакцию 382-П
    - Что необходимо для проведения оценки соответствия по 382-П?
    - Как проводится оценка соответствия по 382-П?
    - Что включает в себя отчет по 382-П?
    - Дополнительные услуги по 382-П
    - Почему RTM Group?
    - Цены
    - Заказать аудит по 382-П
    Тест на проникновение (пентест) и анализ уязвимостей

    Тест на проникновение (пентест) и анализ уязвимостей

    - Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
    - Пример технического задания на проведение пентеста по 382-П, 683-П, 684-П
    - Почему RTM Group?
    - Цена проведения пентеста

    Полезные статьи

    Что такое ГОСТ 57580?

    Что такое ГОСТ 57580?

    - Понятие ГОСТ 57580
    - Краткий обзор ГОСТ 57580
    - Применение ГОСТа
    - Заключение
    Что подготовить к проверке Банка России по защите информации (информационной безопасности) в 2020 году?

    Что подготовить к проверке Банка России по защите информации (информационной безопасности) в 2020 году?

    — Что проверяет ЦБ
    — Чек-лист для самопроверки
    — Вопрос-ответ эксперта

    НАМ ДОВЕРЯЮТ