8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

ГОСТ Р 57580: Аудит (оценка соответствия)

Аудит или, в более общем смысле, оценка соответствия по ГОСТ Р 57580, проводятся в соответствии с методикой, которая содержится в документе:

Сами требования к содержанию базового состава организационных и технических мер защиты информации содержатся в документе:

Таким образом, ГОСТ 57580.1 содержит требования, а ГОСТ 57580.2 описывает, как необходимо проводить аудит (оценку соответствия).

ГОСТ Р 57580: Аудит (оценка соответствия)
Нужна консультация?

Эксперты по аудиту (оценке соответствия) по ГОСТ Р 57580

Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Алтухов Артём Валерьевич

Алтухов Артём Валерьевич

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2017 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Федюнина Анастасия Валерьевна

Федюнина Анастасия Валерьевна

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Кунавин Валерий Евгеньевич

Кунавин Валерий Евгеньевич

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2020 года

Профиль >>

Все эксперты

Кто имеет право проводить оценку соответствия по ГОСТ 57580?

Правом проведения оценки соответствия обладают организации, соответствующие следующим требованиям:

  • Проверяющая организация должна быть независимой по отношению к проверяемой организации. Другими словами аудиторская организация не может быть аффилирована с той организаций, которую проверяет
  • Проверяющая организация должна обладать необходимым уровнем компетенции. В настоящий момент отсутствуют формальные критерии оценки компетенций, однако одним из подтверждений уровня компетенций может служить прохождение аудиторами обучения по ГОСТ 57580.
  • проверяющая организация должна обладать лицензией на ТЗКИ (деятельность по технической защите конфиденциальной информации) как минимум на один из следующих видов работ и услуг:
    • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
    • проектирование в защищенном исполнении средств и систем информатизации
    • установка, монтаж, испытания, ремонт средств защиты информации

Кто имеет право проводить оценку соответствия по ГОСТ 57580

С полным перечнем видов деятельности, которые подлежат лицензированию можно ознакомиться в Постановлении Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) «О лицензировании деятельности по технической защите конфиденциальной информации».

Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка

Одним из важнейших этапов проведения оценки соответствия по ГОСТ Р 57580.2 является определение области оценки и осуществление выборки.

Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1.

Область применения ГОСТ Р 57580.1, определяющая обязанность финансовых организаций применять меры ЗИ, реализующие один из уровней ЗИ для конкретной совокупности объектов информатизации, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на ГОСТ Р 57580.1.

Следует отметить

В настоящее время нормативные акты Банка России, определяющие область применения ГОСТ Р 57580.1, отсутствуют.

Банк России планирует в первую очередь определить область применения ГОСТ Р 57580.1 в отношении деятельности по защите информации при переводе денежных средств, посредством выпуска новой редакции Положения Банка России № 382-П с приведением в нем ссылок на ГОСТ Р 57580.1.

Таким образом, финансовым организациям целесообразно в первую очередь сконцентрироваться на определении состава объектов и ресурсов доступа задействованных при переводе денежных средств.

Финансовая организации может себе облегчить работу при формировании исходных данных, необходимых для оценки соответствия, так как в соответствии с требованиями ГОСТ Р 57580.2 проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ обязана предоставить проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

В соответствии с требованиями ГОСТ Р 57580.2 в область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.

    Нужна консультация?

    Объект информатизации финансовой организации представляет собой совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, как показано на рисунке:

    Аудит (оценка соответствия) по ГОСТ Р 57580

    перечень объектов и ресурсов доступа согласно ГОСТ 57580

    Таким образом, описание границ области оценки соответствия целесообразно выполнять в виде перечней объектов и ресурсов доступа.

    К объектам доступа, согласно ГОСТ 57580.1, относятся:

    • Автоматизированные рабочие места (АРМ) пользователей
    • АРМ эксплуатационного персонала
    • Серверное оборудование
    • Сетевое оборудование
    • Системы хранения данных
    • Аппаратные модули безопасности (HSM)
    • Устройства печати и копирования информации
    • Объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы)

    К ресурсам доступа, согласно ГОСТ 57580.1, относятся:

    • АС
    • Базы данных
    • Сетевые файловые ресурсы
    • Виртуальные машины, предназначенные для размещения серверных компонентов АС
    • Виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала
    • Ресурсы доступа, относящиеся к сервисам электронной почты
    • Ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интернет и Интернет

    На основании предоставленной информации проверяющая организация самостоятельно определяет количество и выборку объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

    Осуществление выборки для оценки соответствия ЗИ включает в себя следующие шаги:

    • Постановка целей осуществления выборки
    • Выбор объема ресурсов и объектов доступа из их общей совокупности в границах оценки
    • Выбор метода проведения выборки
    • Определение объема производимой выборки
    • Проведение выборки
    • Сбор материала, проведение оценки, регистрации и документирования результатов

    Шаги для осуществления выборки

    В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата.

    При проведении оценки соответствия ЗИ могут использоваться выборки по усмотрению, т. е. сделанные на основе решения проверяющего или статистические выборки.

    Выборки, сделанные по решению, полагаются на знания, навыки и опыт проверяющей группы.

    Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?

    Ход проведения оценки соответствия по ГОСТ 57580 принципиально не отличается от проведения оценки соответствия по 382-П или СТО БО ИББС. Стандарт содержит прямую ссылку на ГОСТ Р ИСО 19011—2012 Руководящие указания по аудиту систем менеджмента в части рекомендуемых типовых действий при проведении оценки соответствия.

    Из значимых особенностей ГОСТ 57580.2, следует отметить выделение стандартом оценки трех направлений оценки:

    • Оценка по выбору мер защиты информации (ГОСТ Р 57580.1-2017, раздел 7)
    • Оценка полноты реализации защиты информации (ГОСТ Р 57580.1-2017, раздел 8)
    • Обеспечение защиты информации  на этапах жизненного цикла автоматизированных систем (ГОСТ Р 57580.1-2017, раздел 9)

    Направления оценки

    В качестве основных свидетельств, которые аудиторы могут использовать для оценки, являются документы, результаты интервью, результаты наблюдений и результаты технических тестов. В этой части ГОСТ 57580 не отличается от других критериев (382-П и СТО БР ИББС). При этом необходимо отметить большое количество технических требований, для оценки которых требуется высокий уровень технической подготовки аудиторов.

    Особо отметим, что ГОСТ 57580.1 устанавливает ряд требований по обеспечению безопасности жизненного цикла программного обеспечения.

    Важно

    Данный раздел стандарта касается не только учреждений, использующих программы собственной разработки.

    Этапы жизненного цикла включают в себя, в частности: сопровождение, модернизацию, вывод из эксплуатации. Нормативное и техническое обеспечение данных процессов так же возможно заранее привести в соответствие с требованиями ГОСТ 57580.1.

      Нужна консультация?

      Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?

      Требования к оформлению содержатся в разделе 8 ГОСТ 57580.2. Стандарт содержит подробный перечень информации, которая в обязательном порядке должна быть включена в отчет.

      Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ (защиты информации) и включать следующие данные:

      • Сведения о проверяющей организации;
      • Сведения о руководителе и членах проверяющей группы
      • Сведения о проверяемой организации
      • Сведения о заказчике оценки соответствия
      • Цель оценки соответствия
      • Сроки проведения оценки соответствия
      • Область оценки соответствия
      • Перечень неоцениваемых областей оценки соответствия (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия
      • Обоснование применения компенсирующих мер при невозможности реализации отдельных выбранных мер
      • Краткое изложение процесса оценки соответствия, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия
      • Числовое значение итоговой оценки соответствия, характеризующей соответствие проверяемой организации установленным требованиям на дату завершения оценки соответствия
      • Подтверждение, что цель оценки соответствия достигнута
      • Неразрешенные разногласия между проверяющей группой и проверяемой организацией
      • Перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия
      • Сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия
      • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них
      • Опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

      Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2

      Также к отчету необходимо приложить:

      • Заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы и направлений
      • Перечень нарушений, выявленных членами проверяющей группы в результате оценки соответствия, которые могли или могут привести к инцидентам, наносящим ущерб финансовой организации или ее клиентам
      • Рекомендации по совершенствованию ЗИ и устранению выявленных нарушений
      • Таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений
      • Копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований
      • Машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований

      Приложение к отчету по ГОСТ 57580.2

      Помимо указанных требований к отчету предъявляются технические требования по оформлению (нумерация, скрепление, подпись и прочее). Необходимо дополнительно обратить внимание, что ГОСТ 57580.2 предъявляет требования к электронным документам, которые прилагаются к отчету, в частности, для каждого электронного документа, файла данных должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.

      Оценка по Приказу №321 Минкомсвязи (Биометрия)

      Приказ Министерства цифрового развития, связи и массовых коммуникаций №321 обязывает банки проводить ежегодные оценки соответствия по требованиям ГОСТ 57580.1 (пункт 9 порядка). Оценка должна быть внешней. Проводить оценку ЕБС по ГОСТу должна внешняя организация, которая отвечает следующим критериям:

      • имеет лицензию ФСТЭК (лицензия на техническую защиту конфиденциальной информации, пункты «б», «д», «е»).
      • является независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018).

      Критерии для проведения оценки ЕБС по ГОСТУ

      Оценивать необходимо соответствие 2-му уровню защиты (стандартному). Производить аудит по биометрии рекомендуется в рамках отдельного проекта. Дело в том, что отличительной особенностью аудита по оценке соответствия требований по ЗИ в рамках 321-го приказа является очень узкая область оценки. Таким образом, существенно сокращается количество применимых мер по ГОСТ 57580.1-2017, что снижает сроки и стоимость работ.

      Почему RTM Group?

      • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
      • Оценки соответствия проводятся экспертами обладающими большим опытом проведения оценок соответствия по ГОСТ Р 57580, авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580
      • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от области оценки)
      • Мы обладаем лицензиями:
        • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
        • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
        • Лицензия ФСБ России на работу со средствами криптозащиты

      Лицензии RTM Group

      Заказать аудит по ГОСТ Р 57580.2

      Для уточнения стоимости и сроков звоните или пишите нам:

      Тел: 8 800 201-20-70 (Звонок по России бесплатный)
      email: info@rtmtech.ru

       

      Похожие услуги

      Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

       






      Видео по аудиту (оценке соответствия) по ГОСТ Р 57580

      Почему RTM Group

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      В составе ТК №122

      Партнер «Академии Информационных Систем»

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Цены на услуги по аудиту (оценке соответствия) по ГОСТ Р 57580

      Наименование услуги Стоимость

      Консультация

      бесплатно

      Оценка соответствия по ГОСТ Р 57580

      от 250 000 руб.

      Помощь в проведении самооценки по ГОСТ 57580

      от 100 000 руб.

      Наши преимущества

      3 лицензии

      ФСТЭК России и ФСБ России

      382-П, 683-П, 684-П, Пентест, ОУД4 и пр.

      Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

      Каждый 5-й российский банк - наш клиент

      Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

      100% удовлетворенность заказчиков

      Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

      FAQ: Часто задаваемые вопросы

      Коллеги, здравствуйте. У меня вопрос, как Банку реализовать технически меру СМЭ.14? Что необходимо сделать для реализации меры?

      Доброе утро.

      Разграничение доступа на канальном уровне подразумевает использование специального WAN-порта на маршрутизаторе для «раздачи» интернет.

      Мера напрямую запрещает подключения провода провайдера в коммутатор или сервер. Всего лишь)

      Коллеги, добрый день. Правильно ли понимаю, нижеописанные требования касаются только инфраструктуры виртуальных рабочих столов (VDI)? И в нашем случае, если мы не применяем инфраструктуру виртуальных рабочих столов (пользователи не имеют доступа к виртуальным машинам и виртуальным рабочим столам) можно считать требования неприменимыми (если это не так, то какие из них все же необходимо выполнять в Банке?

      ЗСВ.36 — если считать, что образ виртуальной машины — это файл, который можно скопировать как средствами гипервизора, так и без его участия, каким образом можно регистрировать операции копирования текущих образов виртуальных машин?

      Доброе утро.

      Действительно, часть требований седьмого процесса применимы только для организации виртуальных рабочих мест, одним из вариантов таких технологий является VDI. При этом если в организации применяется только виртуализация серверов, то меры, относящиеся к защите базовых образов будут неприменимы. Вопрос копирования базового образа и регистрации данного действия предполагает именно копирование средствами гипервизора.

      Кого относить к «эксплуатационному персоналу»? Всех сотрудников ИТ или только тех, у кого есть права администраторов в каких-либо ИС или на железках?

      Эксплуатационный персонал – субъекты доступа, в том числе и представители подрядных организаций, решающие задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием технических мер защиты информации. (ГОСТ 57580.1-2017).

      Исходя из официального определения, можно сделать вывод, что к эксплуатационному персоналу относятся только те сотрудники ИТ, которые принимают непосредственное участие в решении задач обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, то есть, это сотрудники как имеющие права по администрированию «железок» из оцениваемой , так и сотрудники не имеющие прав администрирования, но решающие вышеуказанные задачи.

      Однако, следует понимать, что оценка по ГОСТ Р 57580.1-2017 проводится не всегда для всей организации, а зачастую для отдельного сегмента (например: ЕБС, участок платежной системы Банка России и т.д.), поэтому если сотрудник ИТ не имеет отношения к задачам по оцениваемому сегменту, его не следует относить к эксплуатационному персоналу в рамках проводимой оценки.

      Какая требуется минимальная длина пин-кода на токен с учетом того, что длина пароля для «эксплуатационного персонала» >= 16?

      Согласно требованиям ГОСТ Р 57580.1 длина не менее 16 символов для эксплуатационного персонала необходима, непосредственно, к паролям. Пароль и пин-код технически разные вещи. Для токенов применяются именно пин-коды. Поэтому, можно ограничиться стандартной длиной пин-кода для токена.

      Какой использовать подход при реализации двухфакторной аутентификации для сетевых и прикладных админов, если железки/ПО не поддерживают двухфакторную аутентификацию?

      Для реализации двухфакторной аутентификации для сетевых и прикладных администраторов допустимо использовать считыватель и идентификатор СЗИ от НСД (к примеру ПАК «Соболь») при предоставлении доступа к настройкам сетевых и коммутационных устройств с рабочих мест администраторов, а также необходимо реализовать установление парольной защиты как второй фактор. Либо установление ограничений по допустимым к подключению портам.

      С каких участков начинать внедрять ГОСТ и как именно?

      ГОСТ 57580 содержит в себе организационные и технические меры защиты информации, требования которых должны выполняться организацией. Требования организационных и технических мер должны внедряться в информационную инфраструктуру поэтапно, то есть сначала разрабатывается документация, а следом, в соответствии с принятой документацией, применяются технические меры.

      Начинать следует с актуализации существующей и разработкой внутренней организационно-распорядительной документации в области информационной безопасности. В ГОСТ 57580.1 содержатся требования, сгруппированные в восемь процессов и четыре направления.

      Необходимо обратить внимание на направления защиты информации, а именно: планирование, реализация, контроль, совершенствование. Сначала нужно определить «что защищается» этим обеспечивается планирование, далее «как обеспечивается защита» т.е. реализация, затем «проверяется применение реализации» — осуществление контроля и «рассмотрение вариантов улучшения» — совершенствование.

      Каждый из вышеуказанных процессов и направлений защиты информации содержит организационные требования и соответственно Организации необходимо разработать внутреннюю организационно-распорядительную документацию в соответствии с данными требованиями. К тому же в данном ГОСТ содержится отдельная группа требований по жизненному циклу прикладного ПО, которую так же необходимо включить во внутреннюю документацию.

      По всем техническими требованиям ГОСТ 57580, средства защиты информации нужно внедрить в соответствии с разработанной нормативной документацией Организации.

      Добрый день!
      Что необходимо сделать до проведения аудита?
      Как подготовиться к аудиту?

      Организации необходимо наладить процесс оценки текущего состояния информационной безопасности и её улучшение, а именно: организовать системный процесс разработки, принятия и актуализации внутренней документации по направлению ИБ, постоянно совершенствовать технические средства защиты информации. Если в организации налажен процесс по планированию/реализации/контролю/совершенствованию системы организации защиты информации, то система информационной безопасности в Организации уже находится на довольно высоком уровне.

      Для Организаций, которые действительно хотят построения высокоэффективной системы информационной безопасности, а «не для галочки», внешний аудит по ГОСТ 57580 является самым эффективным способом получить реальную оценку нынешнего состояния системы информационной безопасности, сделать выводы и приступить к устранению выявленных недостатков.

      Вопрос по гост 57580. Его требования распространяются на кредитные организации, некредитные финансовые организации и субьекты нпс. Но это на кого «распространяются». Обязанность вводится 672-п, 683-п и 684-п. При этом 672-п говорит про субъектов нпс, но называет только КО, операционные центры и клиринговые центры; 683-п однозначно говорит про КО, 684-п говорит про некредитные финансовые организации, перечисленные в статье 76.1 ФЗ о Центральном Банке.

      Нигде не говорится, что у оператора платежной системы возникает обязанность выполнять 57580 и соответствовать его требованиям. Как быть?

      Если ОПС является участником ПС БР, то 672, про него, значит ГОСТ распространяется на участок ПС БР. Если нет, то формально не распространяется, но я такого не видел. ОПС обычно вместо с этой ролью, имеет и другую роль, например, клиринг, значит ГОСТ нужно выполнять уже по 684.

      Суть в том, что по 161фз ОПС это ТОЛЬКО лицо определившее правила ПС, поэтому у него может ничего не быть, никаких систем и информации подлежащей защите тоже. Соответственно ГОСТ теоретически не про него. Но в реальности роль ОПС обычно объединяется ещё с какой-то ролью

      Как проводится аудит по ГОСТ 57580? Какова процедура аудита по ГОСТ 57580?

      Процедура аудита начинается с заполнения «опросного листа», в котором представитель проверяемой организации отвечает на общие вопросы о системе защиты информации.

      Параллельно эксперт проверяющей организации начинает процесс выбора мер по ГОСТ. Сам же процесс аудита заключается в ответах Организации на запросы эксперта по требованиям мер, которые содержатся в восьми процессах, четырех направлениях и отдельной группе требований по жизненному циклу прикладного ПО. Свидетельства — это внутренняя документация Организации в области информационной безопасности, наблюдения эксперта (если есть необходимость эксперт очно посещает Организацию, чтобы «увидеть всё своими глазами»), интервью с сотрудниками организации и сведения, которые предоставляет Организация в «доказательство» исполнения требований выбранных мер (например, скриншоты и фотографии конфигураций и настроек технических объектов информатизации и средств защиты информации, электронные журналы регистрации).

      После оперативных и своевременных ответов Организации на запросы эксперт завершает проведение аудита, составляет отчет, включающий сведения о проверяющей и проверяемой организации, перечни неоцениваемых областей оценки, краткое изложение процесса оценки соответствия защиты информации, числовое значение итоговой оценки, опись копий документов на бумажных носителях, опись машинных носителей информации, содержащих свидетельства, прилагаемых к отчету, а также результатов вычисления по каждому из них контрольных сумм (хэш-функции) и т.д.

      После согласования отчета с Организацией, эксперт предоставляет его на бумажном носителе.

      Здравствуйте! Что нужно выполнить для соответствия ГОСТ 57580? Что делать в рамках внутреннего проекта?

      Добрый день!

      Для предварительного приведения системы информационной безопасности в соответствие ГОСТ 57580, Организация может провести самооценку по ГОСТ 57580 (в чем RTM Group также может помочь). Однако внешний аудит позволит объективно проанализировать текущее состояние системы информационной безопасности.

      Так же организациям можно посоветовать проведение GAP-анализа – это анализ системы информационной безопасности, который поможет определить состояние информационной безопасности в целом и выработать стратегию совершенствования. Прежде всего, определяется состав требований по ИБ в соответствии с ГОСТ, на соответствие которым будет проводиться GAP-анализ.

      В чем отличие ГОСТ 57580.1 и ГОСТ 57580.2 ?

      ГОСТ Р 57580.1 – это стандарт, определяющий уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации.

      ГОСТ Р 57580.2 – это методика оценки соответствия.

      Таким образом, ГОСТ 57580.1 содержит требования, а ГОСТ 57580.2 описывает, как необходимо проводить аудит (оценку соответствия).

      Когда использование ГОСТ2017 становится обязательным для банков? С какой даты перестает действовать ГОСТ2012?

      В соответствии с п.3.1 683-П применение ГОСТ 57580.2017 уже обязательно для банков. Так же, в соответствии с п.9.2, необходимо достичь третьего уровня соответствия к 01.01.2021 г. Согласно комментариям Банка России, достижение соответствия обозначает оценку не ниже 0.7 по каждому из процессов защиты информации, определенным ГОСТ 57580, и по величине итоговой оценки.

      Есть ли перспективы у ЦБ по проверке банков на соответствие 683-П и ГОСТ Р 57580.1 в этом году?

      Есть не только перспективы, но и прецеденты. У одного из наших клиентов ЦБ уже запросил отчет по ГОСТ в рамках требований 683-П.

      Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?

      Да, про 683-П, 672-П ЦБ ответил «да», про 719-П разумно предположить что тоже да, т.к. суть одна и таже.

      Банком приобретается новое мобильное приложение, когда надо проводить пентест?

      Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

      А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?

      Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.

      По вашему опыту, существует ли возможность минимизировать отсутствие SIEM в банке (требования ГОСТ), «правильной» политикой ИБ?

      SIEM — это отдельный процесс, его очень сложно, даже с учетом компенсирующих мер, дотянуть до 0.85. А т.к. ЦБ требует за каждый процесс оценку, то соответствие без SIEM маловероятно.
      Возможность существует, но это зависит все-таки от сложности процессов в банке. Потому что, если в банке применяется большое количество различных средств защиты и различных технологий, то можно повесить формально на админа ИБ или админа ИТ необходимость анализа их логов, но фактически это выполняться не будет. И аудиторы ЦБ это понимают. Формально закрыть требование не получится. Это возможно в совсем небольших кредитных организациях (20-30 человек), где всего 3-4 информационных системы и админ действительно смотрит логи полдня и получает за это зарплату. Для таких организаций это дешевле, чем внедрение SIEM.

      Когда банк «соответствует» третьему уровню ГОСТ Р 575980.2, когда общая оценка 0.7, или когда оценка по каждому (!) процессу >= 0.7?

      На этот вопрос есть прямой ответ ЦБ, когда по каждому процессу оценка не менее 0.7 и итоговая оценка 0.7.

      По каждому процессу — понятно, а итоговая, потому что она считается с учетом жизненного цикла и нарушений.

      Для каких работ требуется привлечение внешних организаций с лицензией на ТЗКИ?

      Это требуется для всех работ по ГОСТ, для работ по ОУД4 и для работ по 382-П. Для всех остальных работ (пентест, SWIFT, 716-П) привлечение внешнего лицензиата необязательно.

      ГОСТ без СОКА, СИЕМ , ДЛП, МДМ реально выполнить на 0.8?

      0.8 — это некий теоретический максимум, где 0.85 — это практически нереально.

      Без СОКА, наверное, можно, но без SIEM, DLP дотянуть отдельные процессы практически нереально. Т.е. если 0.7 можно было получить за счёт каких-то компенсирующих, организационных мер, то до 0.85 — очень тяжело.

      Наши отзывы по аудиту (оценке соответствия) по ГОСТ Р 57580

      Благодарность от АО «НВКбанк»

      26.08.2019

      Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
      Благодарность от КБ «ОБР» (ООО)

      26.08.2019

      По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
      Благодарность от АО «Углеметбанк»

      28.06.2021

      Уважаемый Федор Александрович! АО "Углеметбанк" выражает благодарность компании «RTM Group» и, в частности, экспертам Кобецу Д.А. и Воронину В.Л. за высокий уровень профессионализма при выполнении работ, а также качественное проведение оценки соответствия информационной безопасности Банка требованиям ГОСТ Р 57580.1-2017, Положения 683-П и Положения 747-П. В рамках аудита была проведение тщательная проверка информационной инфраструктуры и, по её итогам, предоставлена исчерпывающая информация о защищенности всей информационной инфраструктуры, даны практические рекомендации по выявленным несоответствиям. В процессе проведения аудита эксперты «RTM Group» оказывали дополнительные консультационные услуги в разработке организационно-распределительной документации и оперативного повышения уровня соответствия требованиям информационной безопасности АО «Углеметбанк». С уважением, Председатель Правления Т.В. Бессмертных

      Услуги для вас

      НАМ ДОВЕРЯЮТ