Музалевский Фёдор Александрович
Царев Евгений Олегович
Кобец Дмитрий Андреевич
Гончаров Андрей Михайлович
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО "ВГУИТ" Профиль >>
Все эксперты
Эксперт по информационной безопасности
Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года Профиль >>
Все эксперты
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года Профиль >>
Все эксперты
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года Профиль >>
Все экспертыАудит (оценка соответствия) ЕБС (сегмента Единой Биометрической Системы) в банке должен проводиться в соответствии с Приказом №930 Минкомсвязи России от 10.09.2021 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
Приказ №930 содержит прямое указание использовать информационные технологии и технические средства, которые соответствуют второму (стандартному) уровню защиты информации по ГОСТ Р 57580.1-2017.
Требования ГОСТ 57580.1 разделяются на 4 направления (Планирование, Реализация, Контроль и Совершенствование), а также 8 процессов:
В большинстве реализаций ЕБС в банках, полностью неприменимым можно считать только процессы защиты среды виртуализации и мобильных устройств.
Остальные процессы являются полностью или частично применимыми.
Таким образом,
К сегменту ЕБС применяются высокие требования по обеспечению информационной безопасности.
В задачи аудитора входит четкое определение применимости мер защиты информации из ГОСТ Р 57580.1-2017.
От качественного определения применимых мер зависит объективность и адекватность оценки соответствия (аудита).
По Приказу №930 Минкомсвязи предусмотрена только внешняя оценка лицензиатом ФСТЭК России (лицензия на техническую защиту конфиденциальной безопасности). В требованиях 930-го приказа не уточняется методика проведения оценки, однако ГОСТ Р 57580.1-2017 содержит прямое указание проводить оценку соответствия по методике, которая содержится в ГОСТ Р 57580.2-2018.
Самооценка не предусмотрена.
Оценка проводится на ежегодной основе.
Для уточнения стоимости и сроков звоните или пишите нам:
Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru
| Наименование услуги | Стоимость |
|---|---|
|
Консультация |
Бесплатно |
|
Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако)
Срок - от 8 недель
|
от 300 000 руб. |
|
Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако)
Срок - от 10 недель
|
от 500 000 руб. |
|
Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение)
Срок - от 10 недель
|
от 400 000 руб. |
|
Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение)
Срок - от 10 недель
|
от 600 000 руб. |
|
Разработка организационно-распорядительной документации (ОРД) для сегмента ЕБС в соответствии с ГОСТ Р 57580
Срок - от 2 недель
|
от 200 000 руб. |
Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.
Анатолий
До проведения аудита в организации необходимо собрать имеющиеся внутренние документы по информационной безопасности и актуализировать, если произошли изменения в процессе защиты информации, или если такие документы морально устарели. Также нужно обновить программные средства защиты информации во избежание низкой оценки, т.к. законодательство обязует использовать обновляемые и актуальные средства защиты. Для получения высокой оценки необходимо, чтобы требования по защите информации выполнялись по меньше мере с незначительными недочетами. Для этого нужно подготовить полноценное функционирование программных и аппаратных средств. Кроме технической части, должна выполняться организационная, особенно, обеспечение контроля выполнения обязанностей и функционирования технических средств. Такая подготовка положительно сказывается на процессе и результатах проведения аудита. Кроме того, нужно предусмотреть выделение сотрудника для взаимодействия с проверяющей организацией, поскольку оперативная обратная связь способствует повышению качества результата.
1
Игорь
Здравствуйте! Нормативные документы, согласно которым банки, оказывающие услуги по сбору данных в Единую биометрическую систему, обязаны проводить аудит:В п.9 Приказа №321 содержится: «2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)». В документе «Методические рекомендации Банка России от 14.02.2019 N 4-МР…»:
- Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. N 321.
- Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.
- 2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2017) (далее - ГОСТ Р 57580.1-2017).
- 2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года № 51532.
- 2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.
1
Григорий
В соответствии с п.9 пп. 2 приложения 1 к к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25.06. 2018 N 321, Банки или иные организации, осуществляющие обработку биометрических персональных данных, включая сбор и хранение, обязаны проводить ежегодную оценку соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации", а также ежегодное информирование Банка России о результатах такой оценки.
1
Олег
Добрый день! Сначала проводится выездной осмотр в организацию, чтобы увидеть лично как происходит обеспечение информационной безопасности, какое оборудование используется, какие средства применяются, а также для ознакомления с документацией. Затем работа перетекает в проведение аудита, который происходит в формате диалога. С нашей стороны запрашиваются скриншоты, фотографии, документы и формируются вопросы относительно системы защиты информации. Совокупность предоставленных сведений будет подтверждать выполнение требований обеспечения защиты и влиять на итоговую оценку соответствия. Наблюдения, зафиксированные во время выездного осмотра экспертом, также используются в качестве доказательств выполнения требований. Полученная оценка говорит не только о количественных показателях, но и о качественных, отображая уровень защищенности. Если в ходе аудита оценка выходит низкой, то предлагаются рекомендации по улучшению безопасности. Устранение недостатков может быть как самостоятельным, так и с нашей помощью. Целью является добиться как можно большей защищенности. По результатам аудита формируются итоговые рекомендации по совершенствованию системы защиты информации, в соответствии с выявленными недостатками. Затем составляется отчет о проведении аудита.
1
Дмитрий
Формально нет метрики штрафных санкций от ЦБ за те или иные нарушения. В тое время встречаются предписания за невыполнение рекомендаций 4-МР в части устранения нарушений, в том числе отсутствия оценки. Пока банки не рискуют игнорировать или оспаривать подобные предписания.
1
Дмитрий
В RTM Group повторные оценки по ЕБС стоят ровно в 2 раза дешевле. И по полмиллиона за оценку ЕБС — это дорого.
1
Неизвестный пользователь
С выходом нового приказа, не меняются условия к проведению внешней оценке по ГОСТ Р 57580. Данное требование было и в 321 приказе Минкомсвязи. "П. 9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать: .. 2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами ""б"", ""д"" или ""е"" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 ""О лицензировании деятельности по технической защите конфиденциальной информации"" и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)."
1
Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.
