Запросить стоимость на услуги по аудиту (оценке соответствия) по ГОСТ Р 57580
Мы предлагаем:
оценку соответствия с учётом требований любого регулятора;
разработку модели угроз;
разработку организационно-нормативных документов, для выполнения организационных мер ГОСТ;
тестирование на проникновение и анализ уязвимостей, оценку соответствия к ОУД (не ниже ОУД4);
рекомендации по повышению уровня соответствия как организационных мер, так и технических;
отчет составленный в строгом соответствии с п. 8.2. ГОСТ 57580.2-2018.
Почему мы:
В штате нашей организации имеются сертифицированные аудиторы по проведению оценок соответствия ГОСТ 57580, которые имеют огромный опыт в проведении оценки соответствия.
Важно:
Оценка соответствия ГОСТ может оформляться одним отчетом, вне зависимости от нормативного документа, который предписывал проводить оценку по ГОСТ.
Оценка соответствия требованиям ГОСТ 57580.1 также возможна в отношении организаций поставщиков IT-услуг, осуществляющих работы по договору с контрагентом из финансового сектора, предъявляющем требования к соответствию настоящему стандарту для компаний разработчиков, тестировщиков и вендоров программного обеспечения.
Задать вопрос эксперту: Гончаров Андрей МихайловичВсе эксперты
Кто имеет право проводить оценку соответствия по ГОСТ 57580?
Правом проведения оценки соответствия обладают организации, соответствующие следующим требованиям:
Проверяющая организация должна быть независимой по отношению к проверяемой организации. Другими словами аудиторская организация не может быть аффилирована с той организаций, которую проверяет.
Проверяющая организация должна обладать необходимым уровнем компетенции. В настоящий момент отсутствуют формальные критерии оценки компетенций, однако одним из подтверждений уровня компетенций может служить прохождение аудиторами обучения по ГОСТ 57580.
Проверяющая организация должна обладать лицензией на ТЗКИ (деятельность по технической защите конфиденциальной информации) как минимум на один из следующих видов работ и услуг:
контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
проектирование в защищенном исполнении средств и систем информатизации
установка, монтаж, испытания, ремонт средств защиты информации
Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка
Одним из важнейших этапов проведения оценки соответствия по ГОСТ Р 57580.2 является определение области оценки и осуществление выборки.
Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1.
Область применения ГОСТ Р 57580.1, определяющая обязанность финансовых организаций применять меры ЗИ, реализующие один из уровней ЗИ для конкретной совокупности объектов информатизации, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на ГОСТ Р 57580.1.
Таким образом, финансовым организациям целесообразно в первую очередь сконцентрироваться на определении состава объектов и ресурсов доступа задействованных при переводе денежных средств.
Финансовая организации может себе облегчить работу при формировании исходных данных, необходимых для оценки соответствия, так как в соответствии с требованиями ГОСТ Р 57580.2 проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ обязана предоставить проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.
В соответствии с требованиями ГОСТ Р 57580.2 в область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.
Объект информатизации финансовой организации представляет собой совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, как показано на рисунке:
Аудит (оценка соответствия) по ГОСТ Р 57580
Таким образом, описание границ области оценки соответствия целесообразно выполнять в виде перечней объектов и ресурсов доступа.
К объектам доступа, согласно ГОСТ 57580.1, относятся:
Автоматизированные рабочие места (АРМ) пользователей
Объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы)
К ресурсам доступа, согласно ГОСТ 57580.1, относятся:
АС
Базы данных
Сетевые файловые ресурсы
Виртуальные машины, предназначенные для размещения серверных компонентов АС
Виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала
Ресурсы доступа, относящиеся к сервисам электронной почты
Ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интернет
На основании предоставленной информации проверяющая организация самостоятельно определяет количество и выборку объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.
Осуществление выборки для оценки соответствия ЗИ включает в себя следующие шаги:
Постановка целей осуществления выборки
Выбор объема ресурсов и объектов доступа из их общей совокупности в границах оценки
Выбор метода проведения выборки
Определение объема производимой выборки
Проведение выборки
Сбор материала, проведение оценки, регистрации и документирования результатов
В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата.
При проведении оценки соответствия ЗИ могут использоваться выборки по усмотрению, т. е. сделанные на основе решения проверяющего или статистические выборки.
Выборки, сделанные по решению, полагаются на знания, навыки и опыт проверяющей группы.
Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?
Ход проведения оценки соответствия по ГОСТ 57580 принципиально не отличается от проведения оценки соответствия по 821-П или СТО БР ИББС. Стандарт содержит прямую ссылку на ГОСТ Р ИСО 19011—2012 Руководящие указания по аудиту систем менеджмента в части рекомендуемых типовых действий при проведении оценки соответствия.
Из значимых особенностей ГОСТ 57580.2, следует отметить выделение стандартом оценки трех направлений оценки:
Оценка по выбору мер защиты информации (ГОСТ Р 57580.1-2017, раздел 7)
Оценка полноты реализации защиты информации (ГОСТ Р 57580.1-2017, раздел 8)
Обеспечение защиты информации на этапах жизненного цикла автоматизированных систем (ГОСТ Р 57580.1-2017, раздел 9)
В качестве основных свидетельств, которые аудиторы могут использовать для оценки, являются документы, результаты интервью, результаты наблюдений и результаты технических тестов. В этой части ГОСТ 57580 не отличается от других критериев (382-П и СТО БР ИББС). При этом необходимо отметить большое количество технических требований, для оценки которых требуется высокий уровень технической подготовки аудиторов.
Особо отметим, что ГОСТ 57580.1 устанавливает ряд требований по обеспечению безопасности жизненного цикла программного обеспечения.
Важно
Данный раздел стандарта касается не только учреждений, использующих программы собственной разработки.
Этапы жизненного цикла включают в себя, в частности: сопровождение, модернизацию, вывод из эксплуатации. Нормативное и техническое обеспечение данных процессов так же возможно заранее привести в соответствие с требованиями ГОСТ 57580.1.
Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?
Требования к оформлению содержатся в разделе 8 ГОСТ 57580.2. Стандарт содержит подробный перечень информации, которая в обязательном порядке должна быть включена в отчет.
Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ (защиты информации) и включать следующие данные:
Сведения о проверяющей организации;
Сведения о руководителе и членах проверяющей группы
Сведения о проверяемой организации
Сведения о заказчике оценки соответствия
Цель оценки соответствия
Сроки проведения оценки соответствия
Область оценки соответствия
Перечень неоцениваемых областей оценки соответствия (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия
Обоснование применения компенсирующих мер при невозможности реализации отдельных выбранных мер
Краткое изложение процесса оценки соответствия, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия
Числовое значение итоговой оценки соответствия, характеризующей соответствие проверяемой организации установленным требованиям на дату завершения оценки соответствия
Подтверждение, что цель оценки соответствия достигнута
Неразрешенные разногласия между проверяющей группой и проверяемой организацией
Перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия
Сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия
Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них
Опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.
Также к отчету необходимо приложить:
Заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы и направлений
Перечень нарушений, выявленных членами проверяющей группы в результате оценки соответствия, которые могли или могут привести к инцидентам, наносящим ущерб финансовой организации или ее клиентам
Рекомендации по совершенствованию ЗИ и устранению выявленных нарушений
Таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений
Копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований
Машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований
Помимо указанных требований к отчету предъявляются технические требования по оформлению (нумерация, скрепление, подпись и прочее). Необходимо дополнительно обратить внимание, что ГОСТ 57580.2 предъявляет требования к электронным документам, которые прилагаются к отчету, в частности, для каждого электронного документа, файла данных должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.
имеет лицензию ФСТЭК (лицензия на техническую защиту конфиденциальной информации, пункты “б”, “д”, “е”).
является независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018).
Оценивать необходимо соответствие 2-му уровню защиты (стандартному). Производить аудит по биометрии рекомендуется в рамках отдельного проекта. Дело в том, что отличительной особенностью аудита по оценке соответствия требований по ЗИ в рамках 453-го приказа является очень узкая область оценки. Таким образом, существенно сокращается количество применимых мер по ГОСТ 57580.1-2017, что снижает сроки и стоимость работ.
Почему RTM Group?
Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
Оценки соответствия проводятся экспертами обладающими большим опытом проведения оценок соответствия по ГОСТ Р 57580, авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580
Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от области оценки)
Мы обладаем лицензиями:
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
Лицензия ФСБ России на работу со средствами криптозащиты
Заказать аудит по ГОСТ Р 57580.2
Для уточнения стоимости и сроков звоните или пишите нам:
Видео по аудиту (оценке соответствия) по ГОСТ Р 57580
Почему RTM Group
RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций
В списке SWIFT Directory of CSP assessment providers
В реестре надежных партнеров торгово-промышленной палаты Российской Федерации
Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)
Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика
Сайт RTM Group входит в тройку лучших юридических сайтов России
В составе ТК №122
Цены на услуги по аудиту (оценке соответствия) по ГОСТ Р 57580
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Коллеги, здравствуйте. У меня вопрос, как Банку реализовать технически меру СМЭ.14? Что необходимо сделать для реализации меры?
Сергей
Доброе утро.
Разграничение доступа на канальном уровне подразумевает использование специального WAN-порта на маршрутизаторе для “раздачи” интернет.
Мера напрямую запрещает подключения провода провайдера в коммутатор или сервер. Всего лишь)
Жилякова Анна Сергеевна
27.10.2020
Коллеги, добрый день. Правильно ли понимаю, нижеописанные требования касаются только инфраструктуры виртуальных рабочих столов (VDI)? И в нашем случае, если мы не применяем инфраструктуру виртуальных рабочих столов (пользователи не имеют доступа к виртуальным машинам и виртуальным рабочим столам) можно считать требования неприменимыми (если это не так, то какие из них все же необходимо выполнять в Банке?
ЗСВ.36 – если считать, что образ виртуальной машины – это файл, который можно скопировать как средствами гипервизора, так и без его участия, каким образом можно регистрировать операции копирования текущих образов виртуальных машин?
Сергей
Доброе утро.
Действительно, часть требований седьмого процесса применимы только для организации виртуальных рабочих мест, одним из вариантов таких технологий является VDI. При этом если в организации применяется только виртуализация серверов, то меры, относящиеся к защите базовых образов будут неприменимы. Вопрос копирования базового образа и регистрации данного действия предполагает именно копирование средствами гипервизора.
Жилякова Анна Сергеевна
27.10.2020
Кого относить к «эксплуатационному персоналу»? Всех сотрудников ИТ или только тех, у кого есть права администраторов в каких-либо ИС или на железках?
Валентина
Эксплуатационный персонал – субъекты доступа, в том числе и представители подрядных организаций, решающие задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием технических мер защиты информации. (ГОСТ 57580.1-2017).
Исходя из официального определения, можно сделать вывод, что к эксплуатационному персоналу относятся только те сотрудники ИТ, которые принимают непосредственное участие в решении задач обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, то есть, это сотрудники как имеющие права по администрированию “железок” из оцениваемой , так и сотрудники не имеющие прав администрирования, но решающие вышеуказанные задачи.
Однако, следует понимать, что оценка по ГОСТ Р 57580.1-2017 проводится не всегда для всей организации, а зачастую для отдельного сегмента (например: ЕБС, участок платежной системы Банка России и т.д.), поэтому если сотрудник ИТ не имеет отношения к задачам по оцениваемому сегменту, его не следует относить к эксплуатационному персоналу в рамках проводимой оценки.
Кобец Дмитрий Андреевич
27.08.2020
Какая требуется минимальная длина пин-кода на токен с учетом того, что длина пароля для «эксплуатационного персонала» >= 16?
Светлана
Согласно требованиям ГОСТ Р 57580.1 длина не менее 16 символов для эксплуатационного персонала необходима, непосредственно, к паролям. Пароль и пин-код технически разные вещи. Для токенов применяются именно пин-коды. Поэтому, можно ограничиться стандартной длиной пин-кода для токена.
Кобец Дмитрий Андреевич
18.06.2020
Какой использовать подход при реализации двухфакторной аутентификации для сетевых и прикладных админов, если железки/ПО не поддерживают двухфакторную аутентификацию?
Сергей
Для реализации двухфакторной аутентификации для сетевых и прикладных администраторов допустимо использовать считыватель и идентификатор СЗИ от НСД (к примеру ПАК “Соболь”) при предоставлении доступа к настройкам сетевых и коммутационных устройств с рабочих мест администраторов, а также необходимо реализовать установление парольной защиты как второй фактор. Либо установление ограничений по допустимым к подключению портам.
Кобец Дмитрий Андреевич
03.03.2020
С каких участков начинать внедрять ГОСТ и как именно?
Михаил
ГОСТ 57580 содержит в себе организационные и технические меры защиты информации, требования которых должны выполняться организацией. Требования организационных и технических мер должны внедряться в информационную инфраструктуру поэтапно, то есть сначала разрабатывается документация, а следом, в соответствии с принятой документацией, применяются технические меры.
Начинать следует с актуализации существующей и разработкой внутренней организационно-распорядительной документации в области информационной безопасности. В ГОСТ 57580.1 содержатся требования, сгруппированные в восемь процессов и четыре направления.
Необходимо обратить внимание на направления защиты информации, а именно: планирование, реализация, контроль, совершенствование. Сначала нужно определить «что защищается» этим обеспечивается планирование, далее «как обеспечивается защита» т.е. реализация, затем «проверяется применение реализации» – осуществление контроля и «рассмотрение вариантов улучшения» – совершенствование.
Каждый из вышеуказанных процессов и направлений защиты информации содержит организационные требования и соответственно Организации необходимо разработать внутреннюю организационно-распорядительную документацию в соответствии с данными требованиями. К тому же в данном ГОСТ содержится отдельная группа требований по жизненному циклу прикладного ПО, которую так же необходимо включить во внутреннюю документацию.
По всем техническими требованиям ГОСТ 57580, средства защиты информации нужно внедрить в соответствии с разработанной нормативной документацией Организации.
Гончаров Андрей Михайлович
20.02.2020
Добрый день!
Что необходимо сделать до проведения аудита?
Как подготовиться к аудиту?
Сергей
Организации необходимо наладить процесс оценки текущего состояния информационной безопасности и её улучшение, а именно: организовать системный процесс разработки, принятия и актуализации внутренней документации по направлению ИБ, постоянно совершенствовать технические средства защиты информации. Если в организации налажен процесс по планированию/реализации/контролю/совершенствованию системы организации защиты информации, то система информационной безопасности в Организации уже находится на довольно высоком уровне.
Для Организаций, которые действительно хотят построения высокоэффективной системы информационной безопасности, а «не для галочки», внешний аудит по ГОСТ 57580 является самым эффективным способом получить реальную оценку нынешнего состояния системы информационной безопасности, сделать выводы и приступить к устранению выявленных недостатков.
Гончаров Андрей Михайлович
14.02.2020
Вопрос по гост 57580. Его требования распространяются на кредитные организации, некредитные финансовые организации и субьекты нпс. Но это на кого «распространяются». Обязанность вводится 672-п, 683-п и 684-п. При этом 672-п говорит про субъектов нпс, но называет только КО, операционные центры и клиринговые центры; 683-п однозначно говорит про КО, 684-п говорит про некредитные финансовые организации, перечисленные в статье 76.1 ФЗ о Центральном Банке.
Нигде не говорится, что у оператора платежной системы возникает обязанность выполнять 57580 и соответствовать его требованиям. Как быть?
Дмитрий
Если ОПС является участником ПС БР, то 672, про него, значит ГОСТ распространяется на участок ПС БР. Если нет, то формально не распространяется, но я такого не видел. ОПС обычно вместо с этой ролью, имеет и другую роль, например, клиринг, значит ГОСТ нужно выполнять уже по 684.
Суть в том, что по 161фз ОПС это ТОЛЬКО лицо определившее правила ПС, поэтому у него может ничего не быть, никаких систем и информации подлежащей защите тоже. Соответственно ГОСТ теоретически не про него. Но в реальности роль ОПС обычно объединяется ещё с какой-то ролью
Царев Евгений Олегович
24.09.2020
Как проводится аудит по ГОСТ 57580? Какова процедура аудита по ГОСТ 57580?
Олег
Процедура аудита начинается с заполнения «опросного листа», в котором представитель проверяемой организации отвечает на общие вопросы о системе защиты информации.
Параллельно эксперт проверяющей организации начинает процесс выбора мер по ГОСТ. Сам же процесс аудита заключается в ответах Организации на запросы эксперта по требованиям мер, которые содержатся в восьми процессах, четырех направлениях и отдельной группе требований по жизненному циклу прикладного ПО. Свидетельства — это внутренняя документация Организации в области информационной безопасности, наблюдения эксперта (если есть необходимость эксперт очно посещает Организацию, чтобы «увидеть всё своими глазами»), интервью с сотрудниками организации и сведения, которые предоставляет Организация в «доказательство» исполнения требований выбранных мер (например, скриншоты и фотографии конфигураций и настроек технических объектов информатизации и средств защиты информации, электронные журналы регистрации).
После оперативных и своевременных ответов Организации на запросы эксперт завершает проведение аудита, составляет отчет, включающий сведения о проверяющей и проверяемой организации, перечни неоцениваемых областей оценки, краткое изложение процесса оценки соответствия защиты информации, числовое значение итоговой оценки, опись копий документов на бумажных носителях, опись машинных носителей информации, содержащих свидетельства, прилагаемых к отчету, а также результатов вычисления по каждому из них контрольных сумм (хэш-функции) и т.д.
После согласования отчета с Организацией, эксперт предоставляет его на бумажном носителе.
Гончаров Андрей Михайлович
27.01.2020
Здравствуйте! Что нужно выполнить для соответствия ГОСТ 57580? Что делать в рамках внутреннего проекта?
Евгений
Добрый день!
Для предварительного приведения системы информационной безопасности в соответствие ГОСТ 57580, Организация может провести самооценку по ГОСТ 57580 (в чем RTM Group также может помочь). Однако внешний аудит позволит объективно проанализировать текущее состояние системы информационной безопасности.
Так же организациям можно посоветовать проведение GAP-анализа – это анализ системы информационной безопасности, который поможет определить состояние информационной безопасности в целом и выработать стратегию совершенствования. Прежде всего, определяется состав требований по ИБ в соответствии с ГОСТ, на соответствие которым будет проводиться GAP-анализ.
Гончаров Андрей Михайлович
04.02.2020
В чем отличие ГОСТ 57580.1 и ГОСТ 57580.2 ?
ГОСТ Р 57580.1 – это стандарт, определяющий уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации.
ГОСТ Р 57580.2 – это методика оценки соответствия.
Таким образом, ГОСТ 57580.1 содержит требования, а ГОСТ 57580.2 описывает, как необходимо проводить аудит (оценку соответствия).
Музалевский Федор Александрович
09.06.2020
Когда использование ГОСТ2017 становится обязательным для банков? С какой даты перестает действовать ГОСТ2012?
Евгения
В соответствии с п.3.1 683-П применение ГОСТ 57580.2017 уже обязательно для банков. Так же, в соответствии с п.9.2, необходимо достичь третьего уровня соответствия к 01.01.2021 г. Согласно комментариям Банка России, достижение соответствия обозначает оценку не ниже 0.7 по каждому из процессов защиты информации, определенным ГОСТ 57580, и по величине итоговой оценки.
Музалевский Федор Александрович
01.10.2020
Есть ли перспективы у ЦБ по проверке банков на соответствие 683-П и ГОСТ Р 57580.1 в этом году?
Александр
Есть не только перспективы, но и прецеденты. У одного из наших клиентов ЦБ уже запросил отчет по ГОСТ в рамках требований 683-П.
Музалевский Федор Александрович
19.02.2021
Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?
Антон
Да, про 683-П, 672-П ЦБ ответил “да”, про 719-П разумно предположить что тоже да, т.к. суть одна и таже.
Музалевский Федор Александрович
19.02.2021
Банком приобретается новое мобильное приложение, когда надо проводить пентест?
Ольга
Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.
Музалевский Федор Александрович
19.02.2021
А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?
Антон
Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.
Музалевский Федор Александрович
19.02.2021
По вашему опыту, существует ли возможность минимизировать отсутствие SIEM в банке (требования ГОСТ), “правильной” политикой ИБ?
Дмитрий
SIEM — это отдельный процесс, его очень сложно, даже с учетом компенсирующих мер, дотянуть до 0.85. А т.к. ЦБ требует за каждый процесс оценку, то соответствие без SIEM маловероятно.
Возможность существует, но это зависит все-таки от сложности процессов в банке. Потому что, если в банке применяется большое количество различных средств защиты и различных технологий, то можно повесить формально на админа ИБ или админа ИТ необходимость анализа их логов, но фактически это выполняться не будет. И аудиторы ЦБ это понимают. Формально закрыть требование не получится. Это возможно в совсем небольших кредитных организациях (20-30 человек), где всего 3-4 информационных системы и админ действительно смотрит логи полдня и получает за это зарплату. Для таких организаций это дешевле, чем внедрение SIEM.
Кобец Дмитрий Андреевич
19.02.2021
Когда банк “соответствует” третьему уровню ГОСТ Р 575980.2, когда общая оценка 0.7, или когда оценка по каждому (!) процессу >= 0.7?
Александр
На этот вопрос есть прямой ответ ЦБ, когда по каждому процессу оценка не менее 0.7 и итоговая оценка 0.7.
По каждому процессу – понятно, а итоговая, потому что она считается с учетом жизненного цикла и нарушений.
Музалевский Федор Александрович
19.02.2021
Для каких работ требуется привлечение внешних организаций с лицензией на ТЗКИ?
Антон
Это требуется для всех работ по ГОСТ, для работ по ОУД4 и для работ по 382-П. Для всех остальных работ (пентест, SWIFT, 716-П) привлечение внешнего лицензиата необязательно.
Музалевский Федор Александрович
19.02.2021
ГОСТ без СОКА, СИЕМ , ДЛП, МДМ реально выполнить на 0.8?
Дмитрий
0.8 — это некий теоретический максимум, где 0.85 — это практически нереально.
Без СОКА, наверное, можно, но без SIEM, DLP дотянуть отдельные процессы практически нереально. Т.е. если 0.7 можно было получить за счёт каких-то компенсирующих, организационных мер, то до 0.85 – очень тяжело.
Музалевский Федор Александрович
19.02.2021
Человек работает удаленно и использует флэшку на ПК, с которого входит в систему. Это допустимо?
Андрей
Давать разрешение сотруднику на подключение флешки к компьютеру, через который он подключается к банковской системе – неприемлемо.
Музалевский Федор Александрович
04.10.2021
В одном из вопросов на вебинаре Вы затронули тему экономического обоснования о неприменении отдельных мер. Приведите примеры? Какие аргументы удовлетворят аудиторов ЦБ?
Александр
К примерам можно отнести малый штат сотрудников. Не более 10 человек. Для такого штата экономически не обоснованно приобретение технических решений, с минимальными количествами IP-адресов от 1000 единиц.
Музалевский Федор Александрович
04.10.2021
Можно ли действовать на основании Ведомости применимости мер, а не модели угроз?
Дмитрий
ГОСТ 57580 не предусматривает такой документ, как ведомость применимости мер, также вероятно, что и ЦБ РФ не примет данный документ.
Музалевский Федор Александрович
04.10.2021
Верно ли я понимаю что удаленным доступ будет считаться вне контролируемой зоны кредитной организации? Если основное оборудование стоит в ЦОД, а офис с рабочими местами сотрудников в другом месте, считается ли это удаленным доступом к инфраструктуре?
Дмитрий
Вероятнее всего, с ЦОДом есть договор о технической безопасности и контроль зоны ваших серверов. Что касается сетевого взаимодействия, скорее всего оно идет по шифрованному каналу. Из этого можно сделать вывод, что ЦОД и ваш офис- это два сетевых сегмента одного контура безопасности. Но если вся ваша инфраструктура развернута в ЦОДе, и вы с офисных компьютеров подключаетесь к веб-интерфейсу вашей системы/терминальным серверам, то это уже будет считаться удаленным доступом.
Музалевский Федор Александрович
04.10.2021
Относятся ли системные аудиты Windows к техническим мерам защиты?
Сергей
Стандартные средства Windows не закрывают меры по разграничению доступа, аутентификации и т.д. Поэтому необходимо наравне с данными средствами по доступу к рабочему средству/серверу рассматривать и средства по разграничению организаций доступа самих информационных систем.
Кобец Дмитрий Андреевич
04.10.2021
Каким образом выполняется Входной контроль устройств и переносных (отчуждаемых) носителей информации перед их использованием в вычислительных сетях финансовой организации, в выделенном сегменте вычислительной сети, с исключением возможности информационного взаимодействия указанного сегмента и иных сегментов вычислительных сетей финансовой организации (кроме управляющего информационного взаимодействия по установленным правилам и протоколам)?
Андрей
Флешки, которые к вам попадают вы обязаны проверить на отдельно стоящем компьютере, который снабжен антивирусом. И также, данный компьютер должен иметь сетевую изоляцию от остальной инфраструктуры банка.
Музалевский Федор Александрович
04.10.2021
Попадает ли система QUIK под требования приказов 683-П и 719-П?
Сергей
Система QUIK попадает под требования 757-П. QUIK – это система передачи поручений по финансовым инструментам и соотвественно не попадает в категорию банковской системы, так как является автоматизированной системой некредитной финансовой организации.
Музалевский Федор Александрович
03.10.2021
Чем (каким(и) НПА) требуется Модель угроз?
Дмитрий
В соответствии с ГОСТ 57580.1-2017 п. 6.4 при невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации (уточнения) базового состава мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации. В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации. Моделирование угроз – это инструмент, позволяющий минимизировать реализуемые меры и как в следствие – затраты на их реализацию.
Музалевский Федор Александрович
03.10.2021
Доступ с удаленного рабочего, осуществляемый с использованием терминального сервера, будет являться удаленным?
Александр
Да, будет. Потому что у вас есть доступ к информации вне контура финансовой организации.
Музалевский Федор Александрович
04.10.2021
Какими техническими мерами можно реализовать регистрацию информации (инциденты, НСД), полученной от работников, клиентов и (или) контрагентов финансовой организации (РИ.2)?
Михаил
Регистрацию информации рекомендуется использовать в системах ITSM.
Музалевский Федор Александрович
04.10.2021
Какое письмо Банка России поясняет финансовые операции для ПФР?
Юлия
Письмо президенту саморегулируемой организации национальной ассоциации негосударственных пенсионных фондов 56.1.11/484 от 15.08.2019.
Музалевский Федор Александрович
04.10.2021
Как рассчитать (зарезервировать) объем памяти для хранения данных регистрации SIEM (МАС.13)?
Михаил
Необходимо определиться с перечнем информации, которую вы хотите зарегистрировать и хранить в SIEM и не забывать о сроках, которые требуются для хранения. Допустимо архивировать и хранить архивы на съемных носителях либо в других системах хранения данных в соответствии с МАС.15 в течении трех лет.
Музалевский Федор Александрович
03.10.2021
В вашей практике были банки с уровнем соответствия 0,85? Такой уровень может вызвать недоверие у регулятора?
Наталья
Ровно 0,85 не было. Была оценка 0,71 – это реальный пример. А ровно 0,7 и 0,85 не было. Вызвать недоверие может, но это недоверие должно быть обоснованным. Т.е. допустим, если модели угроз были необоснованно отметены (или иные меры безопасности и актуальные угрозы), то скорее это вызовет недоверие у регулятора. А просто цифра – вряд ли. Потому что в практике было штук пять отчетов с оценкой 0,7 по 382-П и ничего такого не было.
Музалевский Федор Александрович
04.10.2021
Ноутбук отличается от стационарного компьютера? Если я даю его сотруднику домой – разве не отличается тем, что под MDM ноутбук попадает как устройство удаленного доступа меры ЗУД?
Андрей
Компьютер, переданный сотруднику для удаленной работы попадает под все меры ЗУД. Также на него распространяются все меры ГОСТ. Это указано в письме центрального Банка от 22.05.2020 № 56-1-11/264.
Музалевский Федор Александрович
04.10.2021
8 процесс (удаленный доступ) имеет место быть, если для взаимодействия с АБС или ДБО внутри контролируемой зоны используется ноутбук?
Павел
В соответствии с ГОСТ Р 57580.1-2017 п. 3.45 удаленный доступ работника финансовой организации (удаленный доступ): Логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей
финансовых организаций. Ноутбук (или любое другое устройство) внутри контролируемой зоны не является удаленным доступом.
Музалевский Федор Александрович
04.10.2021
Меры ГОСТ выбираются исходя из результатов моделирования угроз. В пояснении к РЗИ.11-РИЗ.13 указано, что применение сертифицированных СЗИ осуществляется на основании Модели угроз. Насколько реально отразить в МУ требование о необязательности использования сертифицированных СЗИ (иными словами, отказаться от сертифицированных СЗИ)?
Александр
Для начала, важно понимать чем сертифицированные СЗИ отличаются от несертифицированных. В первую очередь они отличаются уровнем поддержки и уровнем надежности. В модели угроз вы можете отразить то, что касается администрирования и поддержания работоспособности данных несертифицированных программных продуктов.
Музалевский Федор Александрович
04.10.2021
В п.1.1. Положения №757-П речь в числе прочего идет о защите информации, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) их клиентами. «В электронном виде» относится к «финансовым операциям» или к «документам». То есть финансовая операция должна быть совершена в электронном виде или документ должен быть составлен в электронном виде?
Артём
В п.1.1. Положения №757-П речь идет о всей электронной информации (платеж в виде xml, скан договора в виде pdf), которая содержит финансовую информацию и именно она подлежит защите (договор о страховании финансовой информацией не является).
Музалевский Федор Александрович
04.10.2021
Если информационная система не используется страховой компанией для выпуска (заключения, изменения, расторжения) договоров страхования (их изменения и т.п.), но содержит информацию о них (информацию о страховых суммах и/или премиях, застрахованных рисках, страхователях (клиентах) и/или произведенных страховых выплатах и т.п.), и она используется, например, лишь для корпоративной отчетности? Нужно ли обеспечивать соответствие такой системы ГОСТ Р 57580.1-2017?
Артём
Удаленные места страховых компаний должны быть защищены с помощью MDM, DLP и т.д., если у них есть доступы к информационной системе в которой обрабатывается защищаемая информация. Сама по себе информационная система защите не подлежит. Требования ГОСТ распространяются на инфраструктуру функционирования системы.
Музалевский Федор Александрович
04.10.2021
Подскажите, пожалуйста, что именно понимается под «финансовой операцией» в Положении 757-П применительно к страховой компании, которая не заключает договоров в электронной форме, но ведет их учет (заключения, изменения, страховых премиях, страховых случаях, страховых выплатах и т.п.) в информационных системах? Финансовой операцией будут страховые выплаты и премии (денежные операции) или любые действия по заключению, исполнению, изменению, расторжению договоров страхования?
Артём
Под “финансовой операцией” применительно к страховым компаниям разъяснений от ЦБ РФ нет. Но “финансовая операция” применительно к пенсионным фондам – это осуществление выплат клиентам, передача средств УК и передача средств в другие фонды. Речь идет не о договорах страхования, а о выплатах страховых премий и страховых компенсаций. Действия по заключению, исполнению и расторжению договоров финансовой операцией не являются. Все будет зависеть от Ваших бизнес-процессов.
Музалевский Федор Александрович
04.10.2021
Закрывает ли требования Dallas Lock как DLP? Мне кажется, что нет, ведь это не dlp в чистом виде.
Антон
Перекрывает частично при одновременном использовании различных модулей. На данный момент Dallas Lock начали занимается продажей различных модулей, которые включают в себя функции DLP. К примеру имеется модуль «Межсетевой экран», в котором появилась возможность управления записью в журнал пакетов МЭ в состоянии out-of-state, самотестирование МЭ, режим «обучения» МЭ, функциональная возможность контент-фильтрации для контроля доступа к веб-сайтам (осуществляется блокировка как по ключевым словам, так и по URL-адресам) Данный модуль частично перекрывает частично перекрывает 5 процесс. Имеется модуль “Средство контроля съемных машинных носителей информации (СКН) Dallas Lock” как для контроля подключения съемных носителей, так для и для уровня отчуждения (переноса) информации.
Кобец Дмитрий Андреевич
04.10.2021
Как определиться с контурами безопасности?
Андрей
С точки зрения ГОСТ 57580.1-2017 п. 3.10 контур безопасности: Совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор
требований к обеспечению защиты информации).
Музалевский Федор Александрович
03.10.2021
Расскажите пожалуйста, где именно в ГОСТ указаны требования применения сертифицированных средств СЗИ?
Василий
В каждом процессе ГОСТ имеются направления, которые разделяются на меры по планированию, реализации и совершенствованию. Соответственно для каждого из процессов применяются данные направления. Метод реализации для ГОСТ – это требования по применению сертифицированных СЗИ. В зависимости от реализуемого уровня защиты информации это меры РЗИ. 11, РЗИ. 12, РЗИ. 13 в каждом процессе.
Кобец Дмитрий Андреевич
03.10.2021
Зачем на ноутбуке DLP, если он работает как терминал и нет перенос файлов с терминальной сессии в локальное устройство отсутствует?
Дмитрий
Если угроза утечки с данного ноутбука по моделированию будет оценена как неактуальная (ноутбук находится в контролируемой зоне, данные шифруются), то можно обойтись без DLP. Если на данном устройстве имеется защищамая информация, то риск утечки может привести к существенным потерям, и в целях исключения негативных последствий, необходимость применения систем DLP определяется по результатам моделирования угроз.
Кобец Дмитрий Андреевич
04.10.2021
Расскажите о ключевых преимуществах DLP и SIEM для однофилиального банка на 50 человек. Как объяснить руководству необходимость и целесообразность найма 2 человек по обслуживанию этих систем?
Сергей
Для небольшого банка есть возможность добиться четвертого уровня защиты благодаря документации, но исключительно при идеальных условиях (нет прямого взаимодействия с внешними системами, наличие мощной физической охраны, на ключевых должностях находятся лица доверенные руководству). Но данный подход может вызвать множество вопросов у проверяющих.
Музалевский Федор Александрович
04.10.2021
Каким образом закрыть процесс на единицу, используя DLP?
Андрей
Когда мы говорим про единицу, это означает, что ее можно достичь, используя сертифицированные технические решения. Но без использования документации, средств удаления информации и контроля за этим процессом со стороны отдела информационной безопасности – это сделать нельзя.
Музалевский Федор Александрович
04.10.2021
Разве Dallas Lock имеет функции DLP и контентного анализа?
Павел
На данный момент Dallas Lock начали заниматься продажей различных модулей, которые включают в себя функции DLP. К примеру имеется модуль «Межсетевой экран», в котором появилась возможность управления записью в журнал пакетов МЭ в состоянии out-of-state, самотестирование МЭ, режим «обучения» МЭ, функциональная возможность контент-фильтрации для контроля доступа к веб-сайтам (осуществляется блокировка как по ключевым словам, так и по URL-адресам). Данный модуль частично перекрывает частично перекрывает 5 процесс. Имеется модуль “Средство контроля съемных машинных носителей информации (СКН) Dallas Lock” как для контроля подключения съемных носителей, так для и для уровня отчуждения (переноса) информации.
Кобец Дмитрий Андреевич
04.10.2021
Ноутбук (мобильное устройство). Нужно ставить DLP? Например, есть контур: рабочее место и сервер, на который подключаются с рабочего места. К рабочему месту подключаются удаленно, используя ноутбук. Куда нужно установить DLP: и на ноутбук как устройство удаленного доступа и на рабочую станцию или только на одно что-то?
Андрей
Настоятельно рекомендуем устанавливать DLP на оба устройства, так как утечка информации возможна за счет буфера обмена, печати с удаленного подключения и т.д.
Музалевский Федор Александрович
04.10.2021
Есть документ в котором ЦБ дал понять, что ноутбук не отличается от обычного стационарного ПК?
Василий
Да, Письмо центрального Банка от 22.05.2020 № 56-1-11/264.
Музалевский Федор Александрович
04.10.2021
Отличается ли с точки зрения ЦБ РФ ноутбук от обычного стационарного ПК, если я даю его сотруднику домой?
Дмитрий
С точки зрения ЦБ отличий нет. Письмо центрального Банка от 22.05.2020 № 56-1-11/264. “По вопросу 6”. “Для целей пункта 7.9. ГОСТ Р 57580.-2017 к категории мобильных (переносных) устройств следует отнести компьютеры и ноутбуки, с которых осуществляется удаленный логический доступ работников финансовой организации. При использовании таких компьютеров и ноутбуков финансовая организация должна обеспечить защиту информации от раскрытия и модификации при осуществлении удаленного доступа; защиту внутренних мобильных (переносных \) устройствах (в том числе в случае использования таких мобильных (переносных) устройств для доступа к корпоративной почте.)
Музалевский Федор Александрович
04.10.2021
Добрый день. Смотрел Ваши вебинары по ГОСТ на youtube. Большое спасибо за подробный и качественный разбор мер. Возник вопрос по процессу 7. Вы сказали, что меры ЗСВ 35,36 имеют отношение только к VDI. Как это можно доказать аудитору? Если сервера также могут разворачиваться с образов (Citrix XenApp) — тогда мера тоже актуальна?
Роман
Базовые и текущие образы как понятия применимы только виртуальной инфраструктуре типа VDI либо контейнерной типа Kubernetes. Доказывать что-то аудитору – не совсем корректная позиция. Вы можете зафиксировать в отчете с ним разногласия и их влияние на итоговую оценку, ГОСТ 57580 это предусматривает.
Citrix XenApp подходит под требования о безопасности базовых и текущих образов, как и иные средства контейнеризации.
Музалевский Федор Александрович
07.11.2021
Смотрю на ютуб канале плейлист с материалами по ГОСТР 57580, а есть какой-то чек лист небольшой по шагам, которые посоветуете делать для приведения в соответствие, которым можете поделиться? И в 1 видео был приведен скрин документа по сетевому взаимодействию, а можете скинуть его оглавление? Интересно какие разделы и пункты нам нужно добавить в свой документ.
Алексей
Шаги вытекают их направлений ГОСТа. Сначала необходимо провести планирование – выбрать решения, бюджет. Затем определить ответственных и сроки. В остальном слишком много нюансов – из-за различных архитектур систем и желаемой степени соответствия. В любом случае начинать лучше с организационных мер – дешевле и понятнее коллегам.
Регламент по сетевому взаимодействию должен содержать, как минимум:
Архитектуру сети;
Перечень ресурсов сети;
Правила сетевого взаимодействия (с конкретными IP и портами);
Ответственных лиц;
Исключения;
Порядок контроля и пересмотра (опционально, может быть в другом документе).
Музалевский Федор Александрович
28.02.2022
321 приказ отменяется теперь 930. Теперь ежегодно аудит ЕБС внешней организацией по ГОСТ 57580?
Неизвестный пользователь
С выходом нового приказа, не меняются условия к проведению внешней оценке по ГОСТ Р 57580. Данное требование было и в 321 приказе Минкомсвязи.
“П. 9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:
..
2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами “”б””, “”д”” или “”е”” пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 “”О лицензировании деятельности по технической защите конфиденциальной информации”” и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).”
Кобец Дмитрий Андреевич
28.02.2022
Какое значение оценки необходимо указать в разделе 3 формы 040971, если процесс неприменим на участке ПС БР в рамках выполнения требований Положения 747-П?
Анатолий
Если процесс не применим, то в данной графе необходимо оставить поле пустым. Если же технически форма не даёт оставить поле пустым, рекомендуем проставить “1”.
Кобец Дмитрий Андреевич
28.10.2022
В программном продукте Дельта, в разделе 3 формы 040971, предусмотрено предоставление оценки Eас для каждого процесса системы ЗИ. При этом, согласно ГОСТ, это значение оценки вычисляется независимо от процессов системы ЗИ. Как правильно указывать данное значение оценки?
Анатолий
Если отчёт оформлен в соответствии с требованиями ГОСТа, то данное значение указывается отдельно в самом отчёте. Еас — это оценка, характеризующая применение организационных и технических мер, на этапах жизненного цикла.
Кобец Дмитрий Андреевич
28.10.2022
Если оценка соответствия проведена в этом году до 01.08.2022, нужно ли отправлять форму 040971 после 01.10.2022?
Александр
Нужно. Также, напоминаем, что через 2 года, в этот же период, необходимо провести оценку соответствия и подготовить новую форму.
Кобец Дмитрий Андреевич
28.10.2022
Каким образом внести данные в форму отчёта 040971 по Положениям 683, 719 и 747?
Галина
Если оценка соответствия оформлена единым отчётом, то для каждого процесса, каждого Положения указывается значение из общего отчёта оценки соответствия. Полученные оценки применимы для каждого из перечисленных Положений. Таким образом, для каждого положения, для каждого из процессов, оценка будет одинаковой.
Кобец Дмитрий Андреевич
28.10.2022
Когда нужно отправлять эту форму 040971 отчётности? Только по запросу ЦБ?
Сергей
Документ вступил в силу 1 октября 2022 года. Форму можно отправлять с даты вступления Положения в силу, не дожидаясь запроса Центрального Банка.
Кобец Дмитрий Андреевич
28.10.2022
Если мы сейчас в стадии аудита по 683-П, получается отчётность нужно подать после окончания?
Наталья
Отчёт нужно предоставить в течении 30 рабочих дней после проведения аудита.
Кобец Дмитрий Андреевич
28.10.2022
Если аудит был проведен в 2021 году, отчёт по форме 040971 мы должны предоставлять в 2023 году после проведения очередного аудита?
Владимир
Предоставление формы отчётности зависит не от даты проведения оценки соответствия, а от даты подачи отчёта. Между подачами не должно пройти более 2 лет.
Кобец Дмитрий Андреевич
28.10.2022
Как быть, если 683-п будем проводить в следующем году, а сейчас будем проводить 719-п?
Александр
В область оценки 719-П входит и область оценки 683-П. Если сейчас проведёте аудит по 719-П, то в следующем году 683-П проходить не нужно.
Кобец Дмитрий Андреевич
28.10.2022
В отчёте формы 040971 Еас1 и Еас2 чем отличаются?
Иван
Только применимостью к процессу. Еас1 — это оценка жизненного цикла за первый процесс. Еас 2 — оценка за второй процесс. Поэтому в этих разделах нужно указывать итоговую оценку за жизненный цикл.
Кобец Дмитрий Андреевич
28.10.2022
Здравствуйте! Очень нравится материал, который вы публикуете. Я учащийся 2 курса магистратуры в университете и часто использую ваши статья в учебной деятельности. Хотел у вас спросить, не могли бы вы подсказать как составить программу внешнего аудита ИБ (может у вас есть какой-нибудь шаблон)? В этом семестре дали такое задание, но очень сложно разобраться. Заранее спасибо
Денис
Денис, здравствуйте.
Спасибо за положительную характеристику нашей работы.
Относительно программы внешнего аудита рекомендую ознакомиться с положениями ГОСТ 57580.2-2018, в котором указаны требования к проведению аудита.
Если более крупными мазками, то программа должна включать:
– цели аудита
– объект оценки (инфраструктура, приложение, персонал)
– область оценки (перечень критериев или мер, по которым проводится оценка)
– состав участников со стороны проверяющей и проверяемой организаций
– календарный план аудита (часто им ограничиваются, что в корне неверно)
– требования к отчету.
Календарный план должен быть разбит по формам взаимодействия (интервью, наблюдение, получение скриншотов по email и т.д.), вовлекаемым сотрудникам, элементам объекта оценки. Разбивать по области оценки (сегодня смотрим АВЗ, завтра документы) считаю непродуктивным.
Музалевский Федор Александрович
15.12.2023
Есть ли требования и указаны ли они в ГОСТ 575802 или в каком-либо другом, об обязательном наличии камеры для фиксации действий клиента при совершении действий в банкомате. Или камеры можно не использовать и не фиксировать операцию?
Наталья
В ГОСТ 57580.1 в п.7.2.3.3 (таблица 9) указаны меры защиты при организации защиты общедоступных объектов (в т.ч. банкоматов). Мера ФД.17 прямо гласит, что требуется видеофиксация доступа к общедоступному объекту, независимо от цели, с который человек использует банкомат для контроля физического доступа.