+7 (495) 309-31-25 пн.-пт.: 10:00 - 18:00

Аудит (оценка соответствия) по ГОСТ Р 57580

Аудит или, в более общем смысле, оценка соответствия по ГОСТ Р 57580, проводятся в соответствии с методикой, которая содержится в документе:

Сами требования к содержанию базового состава организационных и технических мер защиты информации содержатся в документе:

Таким образом, ГОСТ 57580.1 содержит требования, а ГОСТ 57580.2 описывает, как необходимо проводить аудит (оценку соответствия).

Аудит (оценка соответствия) по ГОСТ Р 57580

Эксперты по аудиту (оценке соответствия) по ГОСТ Р 57580

Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Баранов Александр Николаевич

Баранов Александр Николаевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий с 1996 года.
Профессиональный опыт в сфере информационной безопасности с 2004 года.

Профиль >>

Все эксперты

Описание

Кто имеет право проводить оценку соответствия по ГОСТ 57580?

Правом проведения оценки соответствия обладают организации, соответствующие следующим требованиям:

  • Проверяющая организация должна быть независимой по отношению к проверяемой организации. Другими словами аудиторская организация не может быть аффилирована с той организаций, которую проверяет
  • Проверяющая организация должна обладать необходимым уровнем компетенции. В настоящий момент отсутствуют формальные критерии оценки компетенций, однако одним из подтверждений уровня компетенций может служить прохождение аудиторами обучения по ГОСТ 57580.
  • проверяющая организация должна обладать лицензией на ТЗКИ (деятельность по технической защите конфиденциальной информации) как минимум на один из следующих видов работ и услуг:
    • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
    • проектирование в защищенном исполнении средств и систем информатизации
    • установка, монтаж, испытания, ремонт средств защиты информации

С полным перечнем видов деятельности, которые подлежат лицензированию можно ознакомиться в Постановлении Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) «О лицензировании деятельности по технической защите конфиденциальной информации».

Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка

Одним из важнейший этапов проведения оценки соответствия по ГОСТ Р 57580.2 является определение области оценки и осуществление выборки.

Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1.

Область применения ГОСТ Р 57580.1, определяющая обязанность финансовых организаций применять меры ЗИ, реализующие один из уровней ЗИ для конкретной совокупности объектов информатизации, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на ГОСТ Р 57580.1.

Следует отметить

В настоящее время нормативные акты Банка России, определяющие область применения ГОСТ Р 57580.1, отсутствуют.

Банк России планирует в первую очередь определить область применения ГОСТ Р 57580.1 в отношении деятельности по защите информации при переводе денежных средств, посредством выпуска новой редакции Положения Банка России № 382-П с приведением в нем ссылок на ГОСТ Р 57580.1.

Таким образом, финансовым организациям целесообразно в первую очередь сконцентрироваться на определении состава объектов и ресурсов доступа задействованных при переводе денежных средств.

Финансовая организации может себе облегчить работу при формировании исходных данных, необходимых для оценки соответствия, так как в соответствии с требованиями ГОСТ Р 57580.2 проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ обязана предоставить проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

В соответствии с требованиями ГОСТ Р 57580.2 в область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.

Запрос коммерческого предложения

Объект информатизации финансовой организации представляет собой совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, как показано на рисунке:

Аудит (оценка соответствия) по ГОСТ Р 57580

перечень объектов и ресурсов доступа согласно ГОСТ 57580

Таким образом, описание границ области оценки соответствия целесообразно выполнять в виде перечней объектов и ресурсов доступа.

К объектам доступа, согласно ГОСТ 57580.1, относятся:

  • Автоматизированные рабочие места (АРМ) пользователей
  • АРМ эксплуатационного персонала
  • Серверное оборудование
  • Сетевое оборудование
  • Системы хранения данных
  • Аппаратные модули безопасности (HSM)
  • Устройства печати и копирования информации
  • Объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы)

К ресурсам доступа, согласно ГОСТ 57580.1, относятся:

  • АС
  • Базы данных
  • Сетевые файловые ресурсы
  • Виртуальные машины, предназначенные для размещения серверных компонентов АС
  • Виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала
  • Ресурсы доступа, относящиеся к сервисам электронной почты
  • Ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интернет и Интернет

На основании предоставленной информации проверяющая организация самостоятельно определяет количество и выборку объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

Осуществление выборки для оценки соответствия ЗИ включает в себя следующие шаги:

  • Постановка целей осуществления выборки
  • Выбор объема ресурсов и объектов доступа из их общей совокупности в границах оценки
  • Выбор метода проведения выборки
  • Определение объема производимой выборки
  • Проведение выборки
  • Сбор материала, проведение оценки, регистрации и документирования результатов

В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата.

При проведении оценки соответствия ЗИ могут использоваться выборки по усмотрению, т. е. сделанные на основе решения проверяющего или статистические выборки.

Выборки, сделанные по решению, полагаются на знания, навыки и опыт проверяющей группы.

Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?

Ход проведения оценки соответствия по ГОСТ 57580 принципиально не отличается от проведения оценки соответствия по 382-П или СТО БО ИББС. Стандарт содержит прямую ссылку на ГОСТ Р ИСО 19011—2012 Руководящие указания по аудиту систем менеджмента в части рекомендуемых типовых действий при проведении оценки соответствия.

Из значимых особенностей ГОСТ 57580.2, следует отметить выделение стандартом оценки трех направлений оценки:

  • Оценка по выбору мер защиты информации (ГОСТ Р 57580.1-2017, раздел 7)
  • Оценка полноты реализации защиты информации (ГОСТ Р 57580.1-2017, раздел 8)
  • Обеспечение защиты информации  на этапах жизненного цикла автоматизированных систем (ГОСТ Р 57580.1-2017, раздел 9)

В качестве основных свидетельств, которые аудиторы могут использовать для оценки, являются документы, результаты интервью, результаты наблюдений и результаты технических тестов. В этой части ГОСТ 57580 не отличается от других критериев (382-П и СТО БР ИББС). При этом необходимо отметить большое количество технических требований, для оценки которых требуется высокий уровень технической подготовки аудиторов.

Особо отметим, что ГОСТ 57580.1 устанавливает ряд требований по обеспечению безопасности жизненного цикла программного обеспечения.

Важно

Данный раздел стандарта касается не только учреждений, использующих программы собственной разработки.

Этапы жизненного цикла включают в себя, в частности: сопровождение, модернизацию, вывод из эксплуатации. Нормативное и техническое обеспечение данных процессов так же возможно заранее привести в соответствие с требованиями ГОСТ 57580.1.

Запрос коммерческого предложения

Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?

Требования к оформлению содержатся в разделе 8 ГОСТ 57580.2. Стандарт содержит подробный перечень информации, которая в обязательном порядке должна быть включена в отчет.

Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ (защиты информации) и включать следующие данные:

  • Сведения о проверяющей организации;
  • Сведения о руководителе и членах проверяющей группы
  • Сведения о проверяемой организации
  • Сведения о заказчике оценки соответствия
  • Цель оценки соответствия
  • Сроки проведения оценки соответствия
  • Область оценки соответствия
  • Перечень неоцениваемых областей оценки соответствия (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия
  • Обоснование применения компенсирующих мер при невозможности реализации отдельных выбранных мер
  • Краткое изложение процесса оценки соответствия, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия
  • Числовое значение итоговой оценки соответствия, характеризующей соответствие проверяемой организации установленным требованиям на дату завершения оценки соответствия
  • Подтверждение, что цель оценки соответствия достигнута
  • Неразрешенные разногласия между проверяющей группой и проверяемой организацией
  • Перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия
  • Сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия
  • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них
  • Опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

Также к отчету необходимо приложить:

  • Заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы и направлений
  • Перечень нарушений, выявленных членами проверяющей группы в результате оценки соответствия, которые могли или могут привести к инцидентам, наносящим ущерб финансовой организации или ее клиентам
  • Рекомендации по совершенствованию ЗИ и устранению выявленных нарушений
  • Таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений
  • Копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований
  • Машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований

Помимо указанных требований к отчету предъявляются технические требования по оформлению (нумерация, скрепление, подпись и прочее). Необходимо дополнительно обратить внимание, что ГОСТ 57580.2 предъявляет требования к электронным документам, которые прилагаются к отчету, в частности, для каждого электронного документа, файла данных должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.

Оценка по Приказу №321 Минкомсвязи (Биометрия)

Приказ Министерства цифрового развития, связи и массовых коммуникаций №321 обязывает банки проводить ежегодные оценки соответствия по требованиям ГОСТ 57580.1 (пункт 9 порядка). Оценка должна быть внешней. Проводить оценку ЕБС по ГОСТу должна внешняя организация, которая отвечает следующим критериям:

  • имеет лицензию ФСТЭК (лицензия на техническую защиту конфиденциальной информации, пункты «б», «д», «е»).
  • является независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018).

Оценивать необходимо соответствие 2-му уровню защиты (стандартному). Производить аудит по биометрии рекомендуется в рамках отдельного проекта. Дело в том, что отличительной особенностью аудита по оценке соответствия требований по ЗИ в рамках 321-го приказа является очень узкая область оценки. Таким образом, существенно сокращается количество применимых мер по ГОСТ 57580.1-2017, что снижает сроки и стоимость работ.

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия проводятся экспертами обладающими большим опытом проведения оценок соответствия по ГОСТ Р 57580.2, авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580.2
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от области оценки)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Похожие услуги

Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

 

Заказать аудит по ГОСТ Р 57580.2

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.






Видео по аудиту (оценке соответствия) по ГОСТ Р 57580

Наши преимущества

7 лет

минимальный стаж экспертной работы

Лицензии

Мы обладаем лицензиями ФСТЭК и ФСБ России

Профиль деятельности RTM Group

Проведение экспертиз по направлению ИТ и кибербезопасности

Цены на услуги по аудиту (оценке соответствия) по ГОСТ Р 57580

Наименование услуги Стоимость

Консультация

бесплатно

Оценка соответствия по ГОСТ Р 57580.2

от 250 000 руб.

Помощь в проведении самооценки по ГОСТ 57580

от 100 000 руб.

* Мы работаем исключительно с юридическими лицами и ИП.

Вопрос-Ответ

Ответы экспертов

Какой использовать подход при реализации двухфакторной аутентификации для сетевых и прикладных админов, если железки/ПО не поддерживают двухфакторную аутентификацию?

Какой использовать подход при реализации двухфакторной аутентификации для сетевых и прикладных админов, если железки/ПО не поддерживают двухфакторную аутентификацию?

Для реализации двухфакторной аутентификации для сетевых и прикладных администраторов допустимо использовать считыватель и идентификатор СЗИ от НСД (к примеру ПАК «Соболь») при предоставлении доступа к настройкам сетевых и коммутационных устройств с рабочих мест администраторов, а также необходимо реализовать установление парольной защиты как второй фактор. Либо установление ограничений по допустимым к подключению портам.

С каких участков начинать внедрять ГОСТ и как именно?

С каких участков начинать внедрять ГОСТ и как именно?

ГОСТ 57580 содержит в себе организационные и технические меры защиты информации, требования которых должны выполняться организацией. Требования организационных и технических мер должны внедряться в информационную инфраструктуру поэтапно, то есть сначала разрабатывается документация, а следом, в соответствии с принятой документацией, применяются технические меры.

Начинать следует с актуализации существующей и разработкой внутренней организационно-распорядительной документации в области информационной безопасности. В ГОСТ 57580.1 содержатся требования, сгруппированные в восемь процессов и четыре направления.

Необходимо обратить внимание на направления защиты информации, а именно: планирование, реализация, контроль, совершенствование. Сначала нужно определить «что защищается» этим обеспечивается планирование, далее «как обеспечивается защита» т.е. реализация, затем «проверяется применение реализации» — осуществление контроля и «рассмотрение вариантов улучшения» — совершенствование.

Каждый из вышеуказанных процессов и направлений защиты информации содержит организационные требования и соответственно Организации необходимо разработать внутреннюю организационно-распорядительную документацию в соответствии с данными требованиями. К тому же в данном ГОСТ содержится отдельная группа требований по жизненному циклу прикладного ПО, которую так же необходимо включить во внутреннюю документацию.

По всем техническими требованиям ГОСТ 57580, средства защиты информации нужно внедрить в соответствии с разработанной нормативной документацией Организации.

Что требуется сделать до проведения аудита по ГОСТ Р 57580?

Добрый день!
Что необходимо сделать до проведения аудита?
Как подготовиться к аудиту?

Организации необходимо наладить процесс оценки текущего состояния информационной безопасности и её улучшение, а именно: организовать системный процесс разработки, принятия и актуализации внутренней документации по направлению ИБ, постоянно совершенствовать технические средства защиты информации. Если в организации налажен процесс по планированию/реализации/контролю/совершенствованию системы организации защиты информации, то система информационной безопасности в Организации уже находится на довольно высоком уровне.

Для Организаций, которые действительно хотят построения высокоэффективной системы информационной безопасности, а «не для галочки», внешний аудит по ГОСТ 57580 является самым эффективным способом получить реальную оценку нынешнего состояния системы информационной безопасности, сделать выводы и приступить к устранению выявленных недостатков.

Как проводится аудит по ГОСТ 57580? Какова процедура?

Процедура аудита начинается с заполнения «опросного листа», в котором представитель проверяемой организации отвечает на общие вопросы о системе защиты информации.

Параллельно эксперт проверяющей организации начинает процесс выбора мер по ГОСТ. Сам же процесс аудита заключается в ответах Организации на запросы эксперта по требованиям мер, которые содержатся в восьми процессах, четырех направлениях и отдельной группе требований по жизненному циклу прикладного ПО. Свидетельства — это внутренняя документация Организации в области информационной безопасности, наблюдения эксперта (если есть необходимость эксперт очно посещает Организацию, чтобы «увидеть всё своими глазами»), интервью с сотрудниками организации и сведения, которые предоставляет Организация в «доказательство» исполнения требований выбранных мер (например, скриншоты и фотографии конфигураций и настроек технических объектов информатизации и средств защиты информации, электронные журналы регистрации).

После оперативных и своевременных ответов Организации на запросы эксперт завершает проведение аудита, составляет отчет, включающий сведения о проверяющей и проверяемой организации, перечни неоцениваемых областей оценки, краткое изложение процесса оценки соответствия защиты информации, числовое значение итоговой оценки, опись копий документов на бумажных носителях, опись машинных носителей информации, содержащих свидетельства, прилагаемых к отчету, а также результатов вычисления по каждому из них контрольных сумм (хэш-функции) и т.д.

После согласования отчета с Организацией, эксперт предоставляет его на бумажном носителе.

Что нужно выполнить для соответствия ГОСТ 57580?

Здравствуйте! Что нужно выполнить для соответствия ГОСТ 57580? Что делать в рамках внутреннего проекта?

Добрый день!

Для предварительного приведения системы информационной безопасности в соответствие ГОСТ 57580, Организация может провести самооценку по ГОСТ 57580 (в чем RTM Group также может помочь). Однако внешний аудит позволит объективно проанализировать текущее состояние системы информационной безопасности.

Так же организациям можно посоветовать проведение GAP-анализа – это анализ системы информационной безопасности, который поможет определить состояние информационной безопасности в целом и выработать стратегию совершенствования. Прежде всего, определяется состав требований по ИБ в соответствии с ГОСТ, на соответствие которым будет проводиться GAP-анализ.

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

Наши отзывы по аудиту (оценке соответствия) по ГОСТ Р 57580

Отзыв о RTM Group от АО «НВКбанк»
Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
Отзыв о RTM Group от КБ «ОБР» (ООО)
По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.

Другие услуги

НАМ ДОВЕРЯЮТ