+7 (495) 309-31-25 пн.-пт.: 10:00 - 17:00

Аудит (оценка соответствия) по ГОСТ Р 57580

Аудит или, в более общем смысле, оценка соответствия по ГОСТ Р 57580, проводятся в соответствии с методикой, которая содержится в документе:

Сами требования к содержанию базового состава организационных и технических мер защиты информации содержатся в документе:

Таким образом, ГОСТ 57580.1 содержит требования, а ГОСТ 57580.2 описывает, как необходимо проводить аудит (оценку соответствия).

Кто имеет право проводить оценку соответствия по ГОСТ 57580?

Правом проведения оценки соответствия обладают организации, соответствующие следующим требованиям:

  • Проверяющая организация должна быть независимой по отношению к проверяемой организации. Другими словами аудиторская организация не может быть аффилирована с той организаций, которую проверяет
  • Проверяющая организация должна обладать необходимым уровнем компетенции. В настоящий момент отсутствуют формальные критерии оценки компетенций, однако одним из подтверждений уровня компетенций может служить прохождение аудиторами обучения по ГОСТ 57580.
  • проверяющая организация должна обладать имеющей лицензией на ТЗКИ (деятельность по технической защите конфиденциальной информации) как минимум на один из следующих видов работ и услуг:
  • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
  • проектирование в защищенном исполнении средств и систем информатизации
  • установка, монтаж, испытания, ремонт средств защиты информации

С полным перечнем видов деятельности, которые подлежат лицензированию можно ознакомиться в Постановлении Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) «О лицензировании деятельности по технической защите конфиденциальной информации».

Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка

Одним из важнейший этапов проведения оценки соответствия по ГОСТ Р 57580.2 является определение области оценки и осуществление выборки.

Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1.

Область применения ГОСТ Р 57580.1, определяющая обязанность финансовых организаций применять меры ЗИ, реализующие один из уровней ЗИ для конкретной совокупности объектов информатизации, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на ГОСТ Р 57580.1.

Следует отметить

В настоящее время нормативные акты Банка России, определяющие область применения ГОСТ Р 57580.1, отсутствуют.

Банк России планирует в первую очередь определить область применения ГОСТ Р 57580.1 в отношении деятельности по защите информации при переводе денежных средств, посредством выпуска новой редакции Положения Банка России № 382-П с приведением в нем ссылок на ГОСТ Р 57580.1.

Таким образом, финансовым организациям целесообразно в первую очередь сконцентрироваться на определении состава объектов и ресурсов доступа задействованных при переводе денежных средств.

Финансовая организации может себе облегчить работу при формировании исходных данных, необходимых для оценки соответствия, так как в соответствии с требованиями ГОСТ Р 57580.2 проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ обязана предоставить проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

В соответствии с требованиями ГОСТ Р 57580.2 в область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.

Запрос коммерческого предложения

Объект информатизации финансовой организации представляет собой совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, как показано на рисунке:

перечень объектов и ресурсов доступа согласно ГОСТ 57580

Таким образом, описание границ области оценки соответствия целесообразно выполнять в виде перечней объектов и ресурсов доступа.

К объектам доступа, согласно ГОСТ 57580.1, относятся:

  • Автоматизированные рабочие места (АРМ) пользователей
  • АРМ эксплуатационного персонала
  • Серверное оборудование
  • Сетевое оборудование
  • Системы хранения данных
  • Аппаратные модули безопасности (HSM)
  • Устройства печати и копирования информации
  • Объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы)

В ресурсам доступа, согласно ГОСТ 57580.1, относятся:

  • АС
  • Базы данных
  • Сетевые файловые ресурсы
  • Виртуальные машины, предназначенные для размещения серверных компонентов АС
  • Виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала
  • Ресурсы доступа, относящиеся к сервисам электронной почты
  • Ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интернет и Интернет

На основании предоставленной информации проверяющая организация самостоятельно определяет количество и выборку объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

Осуществление выборки для оценки соответствия ЗИ включает в себя следующие шаги:

  • Постановка целей осуществления выборки
  • Выбор объема ресурсов и объектов доступа из их общей совокупности в границах оценки
  • Выбор метода проведения выборки
  • Определение объема производимой выборки
  • Проведение выборки
  • Сбор материала, проведение оценки, регистрации и документирования результатов

В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата.

При проведении оценки соответствия ЗИ могут использоваться выборки по усмотрению, т. е. сделанные на основе решения проверяющего или статистические выборки.

Выборки, сделанные по решению, полагаются на знания, навыки и опыт проверяющей группы.

Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?

Ход проведения оценки соответствия по ГОСТ 57580 принципиально не отличается от проведения оценки соответствия по 382-П или СТО БО ИББС. Стандарт содержит прямую ссылку на ГОСТ Р ИСО 19011—2012 Руководящие указания по аудиту систем менеджмента в части рекомендуемых типовых действий при проведении оценки соответствия.

Из значимых особенностей ГОСТ 57580.2, следует отметить выделение стандартом оценки трех направлений оценки:

  • Оценка по выбору мер защиты информации (ГОСТ Р 57580.1-2017, раздел 7)
  • Оценка полноты реализации защиты информации (ГОСТ Р 57580.1-2017, раздел 8)
  • Обеспечение защиты информации  на этапах жизненного цикла автоматизированных систем (ГОСТ Р 57580.1-2017, раздел 9)

В качестве основных свидетельств, которые аудиторы могут использовать для оценки, являются документы, результаты интервью, результаты наблюдений и результаты технических тестов. В этой части ГОСТ 57580 не отличается от других критериев (382-П и СТО БР ИББС). При этом необходимо отметить большое количество технических требований, для оценки которых требуется высокий уровень технической подготовки аудиторов.

Особо отметим, что ГОСТ 57580.1 устанавливает ряд требований по обеспечению безопасности жизненного цикла программного обеспечения.

Важно

Данный раздел стандарта касается не только учреждений, использующих программы собственной разработки.

Этапы жизненного цикла включают в себя, в частности: сопровождение, модернизацию, вывод из эксплуатации. Нормативное и техническое обеспечение данных процессов так же возможно заранее привести в соответствие с требованиями ГОСТ 57580.1.

Запрос коммерческого предложения

Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?

Требования к оформлению содержатся в разделе 8 ГОСТ 57580.2. Стандарт содержит подробный перечень информации, которая в обязательном порядке должна быть включена в отчет.

Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ (защиты информации) и включать следующие данные:

  • Сведения о проверяющей организации;
  • Сведения о руководителе и членах проверяющей группы
  • Сведения о проверяемой организации
  • Сведения о заказчике оценки соответствия
  • Цель оценки соответствия
  • Сроки проведения оценки соответствия
  • Область оценки соответствия
  • Перечень неоцениваемых областей оценки соответствия (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия
  • Обоснование применения компенсирующих мер при невозможности реализации отдельных выбранных мер
  • Краткое изложение процесса оценки соответствия, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия
  • Числовое значение итоговой оценки соответствия, характеризующей соответствие проверяемой организации установленным требованиям на дату завершения оценки соответствия
  • Подтверждение, что цель оценки соответствия достигнута
  • Неразрешенные разногласия между проверяющей группой и проверяемой организацией
  • Перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия
  • Сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия
  • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них
  • Опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

Также к отчету необходимо приложить:

  • Заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы и направлений
  • Перечень нарушений, выявленных членами проверяющей группы в результате оценки соответствия, которые могли или могут привести к инцидентам, наносящим ущерб финансовой организации или ее клиентам
  • Рекомендации по совершенствованию ЗИ и устранению выявленных нарушений
  • Таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений
  • Копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований
  • Машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований

Помимо указанных требований к отчету предъявляются технические требования по оформлению (нумерация, скрепление, подпись и прочее). Необходимо дополнительно обратить внимание, что ГОСТ 57580.2 предъявляет требования к электронным документам, которые прилагаются к отчету, в частности, для каждого электронного документа, файла данных должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.

Оценка по Приказу №321 Минкомсвязи (Биометрия)

Приказ Министерства цифрового развития, связи и массовых коммуникаций №321 обязывает банки проводить ежегодные оценки соответствия по требованиям ГОСТ 57580.1 (пункт 9 порядка). Оценка должна быть внешней. Проводить оценку ЕБС по ГОСТу должна внешняя организация, которая отвечает следующим критериям:

  • имеет лицензию ФСТЭК (лицензия на техническую защиту конфиденциальной информации, пункты «б», «д», «е»).
  • является независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018).

Оценивать необходимо соответствие 2-му уровню защиты (стандартному). Производить аудит по биометрии рекомендуется в рамках отдельного проекта. Дело в том, что отличительной особенностью аудита по оценке соответствия требований по ЗИ в рамках 321-го приказа является очень узкая область оценки. Таким образом, существенно сокращается количество применимых мер по ГОСТ 57580.1-2017, что снижает сроки и стоимость работ.

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия проводятся экспертами обладающих большим опытом проведения оценок соответствия по ГОСТ Р 57580.2, авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580.2
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от области оценки)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Цена оценки соответствия по ГОСТ Р 57580.2

Наименование экспертизы Стоимость
Оценка соответствия по ГОСТ Р 57580.2 от 250 000 рублей

Заказать аудит по ГОСТ Р 57580.2

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.

Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

Что такое ГОСТ 57580?

Что такое ГОСТ 57580?

- Понятие ГОСТ 57580
- Краткий обзор ГОСТ 57580
- Применение ГОСТа
- Заключение

Отзывы

АО «НВКбанк»
Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.