8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » ЕБС: Оценка соответствия (аудит) в банке

ЕБС: Оценка соответствия (аудит) в банке

Мы предлагаем:

  • Выделение сегмента ЕБС в банке
  • Выбор применимых мер и оценка по ГОСТ Р 57580.1-2017
  • Разработка документации и подготовка рекомендаций для соответствия

Почему мы:

Мы поможем ограничить сегмент и получить максимальную оценку.

Важно:

Ежегодная оценка защищенности сегмента по требованиям ГОСТ 57580 обязательна.

ЕБС: Оценка соответствия (аудит) в банке - услуги RTM Group
ЕБС: Оценка соответствия (аудит) в банке - от RTM Group
Узнать стоимость?
Перейти

Эксперты по аудиту (оценки соответствия) ЕБС для банков

Эксперт по аудиту (оценки соответствия) ЕБС для банков Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Аудит (оценка соответствия) ЕБС (сегмента Единой Биометрической Системы) в банке должен проводиться в соответствии с Приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 12.05.2023 № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц».

 

На соответствие чему оценивается сегмент ЕБС?

Приказ №453 содержит прямое указание использовать информационные технологии и технические средства, которые соответствуют второму (стандартному) уровню защиты информации по ГОСТ Р 57580.1-2017.

Требования ГОСТ 57580.1 разделяются на 4 направления (Планирование, Реализация, Контроль и Совершенствование), а также 8 процессов:
Направления и процессы требований ГОСТ 57580.1

  • Обеспечение защиты информации при управлении доступом
  • Обеспечение защиты вычислительных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Защита от вредоносного кода
  • Предотвращение утечек информации
  • Управление инцидентами защиты информации
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

В большинстве реализаций ЕБС в банках, полностью неприменимым можно считать только процессы защиты среды виртуализации и мобильных устройств.

Остальные процессы являются полностью или частично применимыми.

Таким образом,

К сегменту ЕБС применяются высокие требования по обеспечению информационной безопасности.

В задачи аудитора входит четкое определение применимости мер защиты информации из ГОСТ Р 57580.1-2017.

От качественного определения применимых мер зависит объективность и адекватность оценки соответствия (аудита).

    Нужна консультация?
    Задать вопрос

    Оценка соответствия (аудит) по ЕБС

    По Приказу №453 Минкомсвязи предусмотрена только внешняя оценка лицензиатом ФСТЭК России (лицензия на техническую защиту конфиденциальной безопасности). В требованиях 453-го приказа не уточняется методика проведения оценки, однако ГОСТ Р 57580.1-2017 содержит прямое указание проводить оценку соответствия по методике, которая содержится в ГОСТ Р 57580.2-2018.

    Самооценка не предусмотрена.

    Оценка проводится на ежегодной основе.

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 821-П, авторами профессиональных курсов по банковской безопасности, включая 719-П и ГОСТ Р 57580.1
    • Сроки проведения оценки соответствия от 3 недель до 3 месяцев (в зависимости от сложности)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по аудиту ЕБС

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru




    Оглавление:

    На соответствие чему оценивается сегмент ЕБС? Оценка соответствия по ЕБС Почему RTM Group? Заказать работы по аудиту ЕБС


    Видео по аудиту (оценки соответствия) ЕБС для банков

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту (оценки соответствия) ЕБС для банков

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако)

    Срок — от 10 недель

    от 700 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако)

    Срок — от 14 недель

    от 900 000 руб.

    Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение)

    Срок — от 10 недель

    от 700 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение)

    Срок — от 14 недель

    от 900 000 руб.

    Разработка организационно-распорядительной документации (ОРД) для сегмента ЕБС в соответствии с ГОСТ Р 57580

    Срок — от 2 недель

    от 200 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    3 лицензии

    ФСТЭК России и ФСБ России

    Наши отзывы по аудиту (оценки соответствия) ЕБС для банков

    Благодарность от АО «НВКбанк»
    26.08.2019
    Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
    Благодарность от ООО КБ «АРЕСБАНК»
    27.02.2020
    Уважаемый Евгений Олегович! Коммерческий Банк «АРЕСБАНК» общество с ограниченной ответственностью благодарит компанию «РТМ ТЕХНОЛОГИИ» за проведенную оценку соответствия №382- П. Аудит был проведен в рамках действующих требований и показал объективную оценку. Так же, после проведения пентеста, были получены дополнительные рекомендации по защите информации. Спасибо компании «РТМ ТЕХНОЛОГИИ» за проделанную работу. По итогам проведенной проверки мы получили исчерпывающую информацию о защищенности всей системы. Отдельную благодарность выражаем коллективу компании за профессиональный подход к своим обязанностям. Сотрудники работают четко в соответствии с составленным договором, и предоставляют исчерпывающие данные о проверке. Заместитель Председателя Правления А.И. Валов

    Наши кейсы

    Оценка соответствия ГОСТ 57580 в особых обстоятельствах

    Проведение оценки соответствия ГОСТ 57580 в сегменте ЕБС при особых обстоятельствах. Выяснилось, что заказчик не имеет ресурсов и возможности для полноценного сбора свидетельств, необходимых для оценки соответствия, и предоставления их проверяющей организации.

    Услуги для вас

    Услуга Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    - Где содержится требование проводить оценку (анализ) уязвимостей ПО?
    - Какое ПО нужно оценивать на уязвимости?
    - Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
    - Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
    - Отчет по анализу уязвимостей ПО
    Услуга ГОСТ Р 57580: Аудит (оценка соответствия)

    ГОСТ Р 57580: Аудит (оценка соответствия)

    - Кто имеет право проводить оценку соответствия по ГОСТ 57580?
    - Исходные данные для оценки соответствия. Область применения, область оценки, выборка
    - Как проходит аудит (оценка соответствия)?
    - Как оформляется отчет по результатам оценки?
    - Оценка по Приказу №453 Минкомсвязи (Биометрия)
    - Цена оценки соответствия по ГОСТ Р 57580.2
    Услуга 382‑П: Оценка соответствия

    382‑П: Оценка соответствия

    - Скачать актуальную редакцию 382-П
    - Что необходимо для проведения оценки соответствия по 382-П?
    - Как проводится оценка соответствия по 382-П?
    - Что включает в себя отчет по 382-П?
    - Дополнительные услуги по 382-П
    Услуга Пентест — услуги тестирования на проникновение и анализа уязвимостей

    Пентест — услуги тестирования на проникновение и анализа уязвимостей

    - Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
    - Пример технического задания на проведение пентеста по 683-П, 821-П, 757-П
    - Почему RTM Group?
    - Цена проведения пентеста

    Продукты и решения для вас

    МФУ и печатная техника

    МФУ и печатная техника

    МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
    Офисный пакет

    Офисный пакет

    Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
    ПК (АРМ)

    ПК (АРМ)

    ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
    Сервер

    Сервер

    Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
    Системы защиты информации

    Системы защиты информации

    Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
    СХД

    СХД

    Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
    DLP

    DLP

    DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
    SIEM

    SIEM

    SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

    Межсетевые экраны

    Межсетевые экраны

    Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
    Управление уязвимостями

    Управление уязвимостями

    Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

    Антивирусы

    Антивирусы

    Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
    Цифровая криминалистика

    Цифровая криминалистика
    Операционные системы

    Операционные системы

    Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

    Информационная безопасность

    Информационная безопасность

    Нам доверяют

    Полезные статьи

    Статья Что такое ГОСТ 57580?

    Что такое ГОСТ 57580?

    - Понятие ГОСТ 57580
    - Краткий обзор ГОСТ 57580
    - Применение ГОСТа
    - Заключение
    Статья Что подготовить к проверке Банка России по защите информации (информационной безопасности) в 2020 году?

    Что подготовить к проверке Банка России по защите информации (информационной безопасности) в 2020 году?

    — Что проверяет ЦБ
    — Чек-лист для самопроверки
    — Вопрос-ответ эксперта
    Статья Защита биометрических персональных данных

    Защита биометрических персональных данных

    — Хранение и защита биометрических данных;
    — Защита биометрических данных и закон;
    — От чего необходимо защищать биометрические данные?;
    — Защита биометрических данных: основные моменты.

    FAQ: Часто задаваемые вопросы

    Что требуется сделать до проведения аудита ЕБС? Как подготовиться к аудиту?

    До проведения аудита в организации необходимо собрать имеющиеся внутренние документы по информационной безопасности и актуализировать, если произошли изменения в процессе защиты информации, или если такие документы морально устарели. Также нужно обновить программные средства защиты информации во избежание низкой оценки, т.к. законодательство обязует использовать обновляемые и актуальные средства защиты.

    Для получения высокой оценки необходимо, чтобы требования по защите информации выполнялись по меньше мере с незначительными недочетами. Для этого нужно подготовить полноценное функционирование программных и аппаратных средств. Кроме технической части, должна выполняться организационная, особенно, обеспечение контроля выполнения обязанностей и функционирования технических средств.

    Такая подготовка положительно сказывается на процессе и результатах проведения аудита. Кроме того, нужно предусмотреть выделение сотрудника для взаимодействия с проверяющей организацией, поскольку оперативная обратная связь способствует повышению качества результата.

    Здравствуйте! Какие документы обязывают банки проводить аудит единой биометрической системы?

    Здравствуйте!

    Нормативные документы, согласно которым банки, оказывающие услуги по сбору данных в Единую биометрическую систему, обязаны проводить аудит:

    • Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. N 321.
    • Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

    В п.9 Приказа №321 содержится:

    «2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)».

    В документе «Методические рекомендации Банка России от 14.02.2019 N 4-МР…»:

    • 2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2017) (далее — ГОСТ Р 57580.1-2017).
    • 2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года № 51532.
    • 2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

    Нужно ли информировать ЦБ о проведении оценки соответствия требований к защите информации по ГОСТ 57580 сегмента ЕБС

    В соответствии с п.9 пп. 2 приложения 1 к к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
    от 25.06. 2018 N 321, Банки или иные организации, осуществляющие обработку биометрических персональных данных, включая сбор и хранение, обязаны проводить ежегодную оценку соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации», а также ежегодное информирование Банка России о результатах такой оценки.

    Здравствуйте! Как проводится аудит ЕБС? Какова процедура?

    Добрый день!

    Сначала проводится выездной осмотр в организацию, чтобы увидеть лично как происходит обеспечение информационной безопасности, какое оборудование используется, какие средства применяются, а также для ознакомления с документацией.

    Затем работа перетекает в проведение аудита, который происходит в формате диалога. С нашей стороны запрашиваются скриншоты, фотографии, документы и формируются вопросы относительно системы защиты информации. Совокупность предоставленных сведений будет подтверждать выполнение требований обеспечения защиты и влиять на итоговую оценку соответствия. Наблюдения, зафиксированные во время выездного осмотра экспертом, также используются в качестве доказательств выполнения требований. Полученная оценка говорит не только о количественных показателях, но и о качественных, отображая уровень защищенности.

    Если в ходе аудита оценка выходит низкой, то предлагаются рекомендации по улучшению безопасности. Устранение недостатков может быть как самостоятельным, так и с нашей помощью. Целью является добиться как можно большей защищенности.

    По результатам аудита формируются итоговые рекомендации по совершенствованию системы защиты информации, в соответствии с выявленными недостатками. Затем составляется отчет о проведении аудита.

    Как ЦБ за ЕБС без оценки сможет наказать?

    Формально нет метрики штрафных санкций от ЦБ за те или иные нарушения. В тое время встречаются предписания за невыполнение рекомендаций 4-МР в части устранения нарушений, в том числе отсутствия оценки. Пока банки не рискуют игнорировать или оспаривать подобные предписания.

    А то не хочется ежегодно по ЕБС еще по пол ляма отдавать за оценку.

    В RTM Group повторные оценки по ЕБС стоят ровно в 2 раза дешевле.

    И по полмиллиона за оценку ЕБС — это дорого.

    321 приказ отменяется теперь 930. Теперь ежегодно аудит ЕБС внешней организацией по ГОСТ 57580?

    С выходом нового приказа, не меняются условия к проведению внешней оценке по ГОСТ Р 57580. Данное требование было и в 321 приказе Минкомсвязи.

    «П. 9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:
    ..
    2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «»б»», «»д»» или «»е»» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «»О лицензировании деятельности по технической защите конфиденциальной информации»» и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).»