ЕБС: Оценка соответствия (аудит) в банке

Мы предлагаем:

  • Выделение сегмента ЕБС в банке
  • Выбор применимых мер и оценка по ГОСТ Р 57580.1-2017
  • Разработка документации и подготовка рекомендаций для соответствия

Почему мы:

Мы поможем ограничить сегмент и получить максимальную оценку.

Важно:

Ежегодная оценка защищенности сегмента по требованиям ГОСТ 57580 обязательна.

ЕБС: Оценка соответствия (аудит) в банке - услуги RTM Group
ЕБС: Оценка соответствия (аудит) в банке - от RTM Group
Узнать стоимость?

Эксперты по аудиту (оценки соответствия) ЕБС для банков

Эксперт по аудиту (оценки соответствия) ЕБС для банков Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценки соответствия) ЕБС для банков Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Аудит (оценка соответствия) ЕБС (сегмента Единой Биометрической Системы) в банке должен проводиться в соответствии с Приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 12.05.2023 № 453 “О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц”.

 

На соответствие чему оценивается сегмент ЕБС?

Приказ №453 содержит прямое указание использовать информационные технологии и технические средства, которые соответствуют второму (стандартному) уровню защиты информации по ГОСТ Р 57580.1-2017.

Требования ГОСТ 57580.1 разделяются на 4 направления (Планирование, Реализация, Контроль и Совершенствование), а также 8 процессов:
Направления и процессы требований ГОСТ 57580.1

  • Обеспечение защиты информации при управлении доступом
  • Обеспечение защиты вычислительных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Защита от вредоносного кода
  • Предотвращение утечек информации
  • Управление инцидентами защиты информации
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

В большинстве реализаций ЕБС в банках, полностью неприменимым можно считать только процессы защиты среды виртуализации и мобильных устройств.

Остальные процессы являются полностью или частично применимыми.

Таким образом,

К сегменту ЕБС применяются высокие требования по обеспечению информационной безопасности.

В задачи аудитора входит четкое определение применимости мер защиты информации из ГОСТ Р 57580.1-2017.

От качественного определения применимых мер зависит объективность и адекватность оценки соответствия (аудита).

    Нужна консультация?

    Оценка соответствия (аудит) по ЕБС

    По Приказу №453 Минкомсвязи предусмотрена только внешняя оценка лицензиатом ФСТЭК России (лицензия на техническую защиту конфиденциальной безопасности). В требованиях 453-го приказа не уточняется методика проведения оценки, однако ГОСТ Р 57580.1-2017 содержит прямое указание проводить оценку соответствия по методике, которая содержится в ГОСТ Р 57580.2-2018.

    Самооценка не предусмотрена.

    Оценка проводится на ежегодной основе.

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 719-П, авторами профессиональных курсов по банковской безопасности, включая 719-П и ГОСТ Р 57580.1
    • Сроки проведения оценки соответствия от 3 недель до 3 месяцев (в зависимости от сложности)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по аудиту ЕБС

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по аудиту (оценки соответствия) ЕБС для банков

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту (оценки соответствия) ЕБС для банков

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако)

    Срок – от 10 недель

    от 700 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (облако)

    Срок – от 14 недель

    от 900 000 руб.

    Оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение)

    Срок – от 10 недель

    от 700 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 в сегменте ЕБС (локальное решение)

    Срок – от 14 недель

    от 900 000 руб.

    Разработка организационно-распорядительной документации (ОРД) для сегмента ЕБС в соответствии с ГОСТ Р 57580

    Срок – от 2 недель

    от 200 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    3 лицензии

    ФСТЭК России и ФСБ России

    Наши отзывы по аудиту (оценки соответствия) ЕБС для банков

    Благодарность от АО «НВКбанк»
    26.08.2019
    Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    FAQ: Часто задаваемые вопросы

    Что требуется сделать до проведения аудита ЕБС? Как подготовиться к аудиту?

    До проведения аудита в организации необходимо собрать имеющиеся внутренние документы по информационной безопасности и актуализировать, если произошли изменения в процессе защиты информации, или если такие документы морально устарели. Также нужно обновить программные средства защиты информации во избежание низкой оценки, т.к. законодательство обязует использовать обновляемые и актуальные средства защиты.

    Для получения высокой оценки необходимо, чтобы требования по защите информации выполнялись по меньше мере с незначительными недочетами. Для этого нужно подготовить полноценное функционирование программных и аппаратных средств. Кроме технической части, должна выполняться организационная, особенно, обеспечение контроля выполнения обязанностей и функционирования технических средств.

    Такая подготовка положительно сказывается на процессе и результатах проведения аудита. Кроме того, нужно предусмотреть выделение сотрудника для взаимодействия с проверяющей организацией, поскольку оперативная обратная связь способствует повышению качества результата.

    Здравствуйте! Какие документы обязывают банки проводить аудит единой биометрической системы?

    Здравствуйте!

    Нормативные документы, согласно которым банки, оказывающие услуги по сбору данных в Единую биометрическую систему, обязаны проводить аудит:

    • Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. N 321.
    • Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

    В п.9 Приказа №321 содержится:

    «2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами “б”, “д” или “е” пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 “О лицензировании деятельности по технической защите конфиденциальной информации” и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)».

    В документе «Методические рекомендации Банка России от 14.02.2019 N 4-МР…»:

    • 2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2017) (далее – ГОСТ Р 57580.1-2017).
    • 2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года № 51532.
    • 2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

    Нужно ли информировать ЦБ о проведении оценки соответствия требований к защите информации по ГОСТ 57580 сегмента ЕБС

    В соответствии с п.9 пп. 2 приложения 1 к к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
    от 25.06. 2018 N 321, Банки или иные организации, осуществляющие обработку биометрических персональных данных, включая сбор и хранение, обязаны проводить ежегодную оценку соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами “б”, “д” или “е” пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 “О лицензировании деятельности по технической защите конфиденциальной информации”, а также ежегодное информирование Банка России о результатах такой оценки.

    Здравствуйте! Как проводится аудит ЕБС? Какова процедура?

    Добрый день!

    Сначала проводится выездной осмотр в организацию, чтобы увидеть лично как происходит обеспечение информационной безопасности, какое оборудование используется, какие средства применяются, а также для ознакомления с документацией.

    Затем работа перетекает в проведение аудита, который происходит в формате диалога. С нашей стороны запрашиваются скриншоты, фотографии, документы и формируются вопросы относительно системы защиты информации. Совокупность предоставленных сведений будет подтверждать выполнение требований обеспечения защиты и влиять на итоговую оценку соответствия. Наблюдения, зафиксированные во время выездного осмотра экспертом, также используются в качестве доказательств выполнения требований. Полученная оценка говорит не только о количественных показателях, но и о качественных, отображая уровень защищенности.

    Если в ходе аудита оценка выходит низкой, то предлагаются рекомендации по улучшению безопасности. Устранение недостатков может быть как самостоятельным, так и с нашей помощью. Целью является добиться как можно большей защищенности.

    По результатам аудита формируются итоговые рекомендации по совершенствованию системы защиты информации, в соответствии с выявленными недостатками. Затем составляется отчет о проведении аудита.

    Как ЦБ за ЕБС без оценки сможет наказать?

    Формально нет метрики штрафных санкций от ЦБ за те или иные нарушения. В тое время встречаются предписания за невыполнение рекомендаций 4-МР в части устранения нарушений, в том числе отсутствия оценки. Пока банки не рискуют игнорировать или оспаривать подобные предписания.

    А то не хочется ежегодно по ЕБС еще по пол ляма отдавать за оценку.

    В RTM Group повторные оценки по ЕБС стоят ровно в 2 раза дешевле.

    И по полмиллиона за оценку ЕБС — это дорого.

    321 приказ отменяется теперь 930. Теперь ежегодно аудит ЕБС внешней организацией по ГОСТ 57580?

    С выходом нового приказа, не меняются условия к проведению внешней оценке по ГОСТ Р 57580. Данное требование было и в 321 приказе Минкомсвязи.

    “П. 9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:
    ..
    2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами “”б””, “”д”” или “”е”” пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 “”О лицензировании деятельности по технической защите конфиденциальной информации”” и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).”