Мы поможем ограничить сегмент и получить максимальную оценку.
Ежегодная оценка защищенности сегмента по требованиям ГОСТ 57580 обязательна.
Музалевский Фёдор Александрович
Царев Евгений Олегович
Кобец Дмитрий Андреевич
Гончаров Андрей Михайлович
Алтухов Артём Валерьевич
Федюнина Анастасия Валерьевна
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Все эксперты
Эксперт по информационной безопасности
Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года
Все эксперты
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года
Все эксперты
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года
Все эксперты
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2017 года
Все эксперты
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года
Все экспертыАудит (оценка соответствия) ЕБС (сегмента Единой Биометрической Системы) в банке должен проводиться в соответствии с Приказом №321 Минкомсвязи России от 25.06.2018 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации»
Приказ №321 содержит прямое указание использовать информационные технологии и технические средства, которые соответствуют второму (стандартному) уровню защиты информации по ГОСТ Р 57580.1-2017.
Требования ГОСТ 57580.1 разделяются на 4 направления (Планирование, Реализация, Контроль и Совершенствование), а также 8 процессов:
В большинстве реализаций ЕБС в банках, полностью неприменимым можно считать только процессы защиты среды виртуализации и мобильных устройств.
Остальные процессы являются полностью или частично применимыми.
Таким образом,
К сегменту ЕБС применяются высокие требования по обеспечению информационной безопасности.
В задачи аудитора входит четкое определение применимости мер защиты информации из ГОСТ Р 57580.1-2017.
От качественного определения применимых мер зависит объективность и адекватность оценки соответствия (аудита).
По Приказу №321 Минкомсвязи предусмотрена только внешняя оценка лицензиатом ФСТЭК России (лицензия на техническую защиту конфиденциальной безопасности). В требованиях 321-го приказа не уточняется методика проведения оценки, однако ГОСТ Р 57580.1-2017 содержит прямое указание проводить оценку соответствия по методике, которая содержится в ГОСТ Р 57580.2-2018.
Самооценка не предусмотрена.
Оценка проводится на ежегодной основе.
Для уточнения стоимости и сроков звоните или пишите нам:
Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru
| Наименование услуги | Стоимость |
|---|---|
|
Консультация |
бесплатно |
|
Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако) Срок — от 8 недель |
от 300 000 руб. |
|
Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако) Срок — от 10 недель |
от 500 000 руб. |
|
Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение) Срок — от 10 недель |
от 400 000 руб. |
|
Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение) Срок — от 10 недель |
от 600 000 руб. |
|
Разработка организационно-распорядительной документации (ОРД) для сегмента ЕБС в соответствии с ГОСТ Р 57580 Срок — от 2 недель |
от 200 000 руб. |
Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.
Что требуется сделать до проведения аудита ЕБС? Как подготовиться к аудиту?
Анатолий
До проведения аудита в организации необходимо собрать имеющиеся внутренние документы по информационной безопасности и актуализировать, если произошли изменения в процессе защиты информации, или если такие документы морально устарели. Также нужно обновить программные средства защиты информации во избежание низкой оценки, т.к. законодательство обязует использовать обновляемые и актуальные средства защиты.
Для получения высокой оценки необходимо, чтобы требования по защите информации выполнялись по меньше мере с незначительными недочетами. Для этого нужно подготовить полноценное функционирование программных и аппаратных средств. Кроме технической части, должна выполняться организационная, особенно, обеспечение контроля выполнения обязанностей и функционирования технических средств.
Такая подготовка положительно сказывается на процессе и результатах проведения аудита. Кроме того, нужно предусмотреть выделение сотрудника для взаимодействия с проверяющей организацией, поскольку оперативная обратная связь способствует повышению качества результата.
Кобец Дмитрий Андреевич
Здравствуйте! Какие документы обязывают банки проводить аудит единой биометрической системы?
Игорь
Здравствуйте!
Нормативные документы, согласно которым банки, оказывающие услуги по сбору данных в Единую биометрическую систему, обязаны проводить аудит:
- Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. N 321.
- Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.
В п.9 Приказа №321 содержится:
«2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)».
В документе «Методические рекомендации Банка России от 14.02.2019 N 4-МР…»:
- 2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2017) (далее — ГОСТ Р 57580.1-2017).
- 2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года № 51532.
- 2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.
Кобец Дмитрий Андреевич
Нужно ли информировать ЦБ о проведении оценки соответствия требований к защите информации по ГОСТ 57580 сегмента ЕБС
Григорий
В соответствии с п.9 пп. 2 приложения 1 к к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
от 25.06. 2018 N 321, Банки или иные организации, осуществляющие обработку биометрических персональных данных, включая сбор и хранение, обязаны проводить ежегодную оценку соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации», а также ежегодное информирование Банка России о результатах такой оценки.
Гончаров Андрей Михайлович
Здравствуйте! Как проводится аудит ЕБС? Какова процедура?
Олег
Добрый день!
Сначала проводится выездной осмотр в организацию, чтобы увидеть лично как происходит обеспечение информационной безопасности, какое оборудование используется, какие средства применяются, а также для ознакомления с документацией.
Затем работа перетекает в проведение аудита, который происходит в формате диалога. С нашей стороны запрашиваются скриншоты, фотографии, документы и формируются вопросы относительно системы защиты информации. Совокупность предоставленных сведений будет подтверждать выполнение требований обеспечения защиты и влиять на итоговую оценку соответствия. Наблюдения, зафиксированные во время выездного осмотра экспертом, также используются в качестве доказательств выполнения требований. Полученная оценка говорит не только о количественных показателях, но и о качественных, отображая уровень защищенности.
Если в ходе аудита оценка выходит низкой, то предлагаются рекомендации по улучшению безопасности. Устранение недостатков может быть как самостоятельным, так и с нашей помощью. Целью является добиться как можно большей защищенности.
По результатам аудита формируются итоговые рекомендации по совершенствованию системы защиты информации, в соответствии с выявленными недостатками. Затем составляется отчет о проведении аудита.
Кобец Дмитрий Андреевич
Как ЦБ за ЕБС без оценки сможет наказать?
Дмитрий
Формально нет метрики штрафных санкций от ЦБ за те или иные нарушения. В тое время встречаются предписания за невыполнение рекомендаций 4-МР в части устранения нарушений, в том числе отсутствия оценки. Пока банки не рискуют игнорировать или оспаривать подобные предписания.
Музалевский Фёдор Александрович
А то не хочется ежегодно по ЕБС еще по пол ляма отдавать за оценку.
Дмитрий
В RTM Group повторные оценки по ЕБС стоят ровно в 2 раза дешевле.
И по полмиллиона за оценку ЕБС — это дорого.
Музалевский Фёдор Александрович
