ГОСТ Р 57580: Аудит (оценка соответствия)

Мы предлагаем:

  • оценку соответствия с учётом требований любого регулятора;
  • разработку модели угроз;
  • разработку организационно-нормативных документов, для выполнения организациионных мер ГОСТ;
  • тестирование на проникновение и анализ уязвимостей, оценку соответствия к ОУД (не ниже ОУД4);
  • рекомендации по повышению уровня соответствия как организационных мер, так и технических;
  • отчет составленный в строгом соответствии с п. 8.2. ГОСТ 57580.2-2018.

Почему мы:

В штате нашей организации имеются сертифицированные аудиторы по проведению оценок соответствия ГОСТ 57580, которые имеют огромный опыт в проведении оценки соответствия.

Важно:

Оценка соответствия ГОСТ может оформляться одним отчетом, вне зависимости от нормативного документа, который предписывал проводить оценку по ГОСТ.

ГОСТ Р 57580: Аудит (оценка соответствия) - услуги RTM Group
ГОСТ Р 57580: Аудит (оценка соответствия) - от RTM Group
Узнать стоимость?

Эксперты по аудиту (оценке соответствия) по ГОСТ Р 57580

Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по аудиту (оценке соответствия) по ГОСТ Р 57580 Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Кто имеет право проводить оценку соответствия по ГОСТ 57580?

Правом проведения оценки соответствия обладают организации, соответствующие следующим требованиям:

  • Проверяющая организация должна быть независимой по отношению к проверяемой организации. Другими словами аудиторская организация не может быть аффилирована с той организаций, которую проверяет
  • Проверяющая организация должна обладать необходимым уровнем компетенции. В настоящий момент отсутствуют формальные критерии оценки компетенций, однако одним из подтверждений уровня компетенций может служить прохождение аудиторами обучения по ГОСТ 57580.
  • проверяющая организация должна обладать лицензией на ТЗКИ (деятельность по технической защите конфиденциальной информации) как минимум на один из следующих видов работ и услуг:
    • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
    • проектирование в защищенном исполнении средств и систем информатизации
    • установка, монтаж, испытания, ремонт средств защиты информации

Кто имеет право проводить оценку соответствия по ГОСТ 57580

С полным перечнем видов деятельности, которые подлежат лицензированию можно ознакомиться в Постановлении Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) “О лицензировании деятельности по технической защите конфиденциальной информации”.

Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка

Одним из важнейших этапов проведения оценки соответствия по ГОСТ Р 57580.2 является определение области оценки и осуществление выборки.

Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1.

Область применения ГОСТ Р 57580.1, определяющая обязанность финансовых организаций применять меры ЗИ, реализующие один из уровней ЗИ для конкретной совокупности объектов информатизации, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на ГОСТ Р 57580.1.

Таким образом, финансовым организациям целесообразно в первую очередь сконцентрироваться на определении состава объектов и ресурсов доступа задействованных при переводе денежных средств.

Финансовая организации может себе облегчить работу при формировании исходных данных, необходимых для оценки соответствия, так как в соответствии с требованиями ГОСТ Р 57580.2 проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ обязана предоставить проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

В соответствии с требованиями ГОСТ Р 57580.2 в область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.

    Нужна консультация?

    Объект информатизации финансовой организации представляет собой совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, как показано на рисунке:

    Аудит (оценка соответствия) по ГОСТ Р 57580

    перечень объектов и ресурсов доступа согласно ГОСТ 57580

    Таким образом, описание границ области оценки соответствия целесообразно выполнять в виде перечней объектов и ресурсов доступа.

    К объектам доступа, согласно ГОСТ 57580.1, относятся:

    • Автоматизированные рабочие места (АРМ) пользователей
    • АРМ эксплуатационного персонала
    • Серверное оборудование
    • Сетевое оборудование
    • Системы хранения данных
    • Аппаратные модули безопасности (HSM)
    • Устройства печати и копирования информации
    • Объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы)

    К ресурсам доступа, согласно ГОСТ 57580.1, относятся:

    • АС
    • Базы данных
    • Сетевые файловые ресурсы
    • Виртуальные машины, предназначенные для размещения серверных компонентов АС
    • Виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала
    • Ресурсы доступа, относящиеся к сервисам электронной почты
    • Ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интернет и Интернет

    На основании предоставленной информации проверяющая организация самостоятельно определяет количество и выборку объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

    Осуществление выборки для оценки соответствия ЗИ включает в себя следующие шаги:

    • Постановка целей осуществления выборки
    • Выбор объема ресурсов и объектов доступа из их общей совокупности в границах оценки
    • Выбор метода проведения выборки
    • Определение объема производимой выборки
    • Проведение выборки
    • Сбор материала, проведение оценки, регистрации и документирования результатов

    Шаги для осуществления выборки

    В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата.

    При проведении оценки соответствия ЗИ могут использоваться выборки по усмотрению, т. е. сделанные на основе решения проверяющего или статистические выборки.

    Выборки, сделанные по решению, полагаются на знания, навыки и опыт проверяющей группы.

    Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?

    Ход проведения оценки соответствия по ГОСТ 57580 принципиально не отличается от проведения оценки соответствия по 821-П или СТО БР ИББС. Стандарт содержит прямую ссылку на ГОСТ Р ИСО 19011—2012 Руководящие указания по аудиту систем менеджмента в части рекомендуемых типовых действий при проведении оценки соответствия.

    Из значимых особенностей ГОСТ 57580.2, следует отметить выделение стандартом оценки трех направлений оценки:

    • Оценка по выбору мер защиты информации (ГОСТ Р 57580.1-2017, раздел 7)
    • Оценка полноты реализации защиты информации (ГОСТ Р 57580.1-2017, раздел 8)
    • Обеспечение защиты информации  на этапах жизненного цикла автоматизированных систем (ГОСТ Р 57580.1-2017, раздел 9)

    Направления оценки

    В качестве основных свидетельств, которые аудиторы могут использовать для оценки, являются документы, результаты интервью, результаты наблюдений и результаты технических тестов. В этой части ГОСТ 57580 не отличается от других критериев (382-П и СТО БР ИББС). При этом необходимо отметить большое количество технических требований, для оценки которых требуется высокий уровень технической подготовки аудиторов.

    Особо отметим, что ГОСТ 57580.1 устанавливает ряд требований по обеспечению безопасности жизненного цикла программного обеспечения.

    Важно

    Данный раздел стандарта касается не только учреждений, использующих программы собственной разработки.

    Этапы жизненного цикла включают в себя, в частности: сопровождение, модернизацию, вывод из эксплуатации. Нормативное и техническое обеспечение данных процессов так же возможно заранее привести в соответствие с требованиями ГОСТ 57580.1.

      Нужна консультация?

      Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?

      Требования к оформлению содержатся в разделе 8 ГОСТ 57580.2. Стандарт содержит подробный перечень информации, которая в обязательном порядке должна быть включена в отчет.

      Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ (защиты информации) и включать следующие данные:

      • Сведения о проверяющей организации;
      • Сведения о руководителе и членах проверяющей группы
      • Сведения о проверяемой организации
      • Сведения о заказчике оценки соответствия
      • Цель оценки соответствия
      • Сроки проведения оценки соответствия
      • Область оценки соответствия
      • Перечень неоцениваемых областей оценки соответствия (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия
      • Обоснование применения компенсирующих мер при невозможности реализации отдельных выбранных мер
      • Краткое изложение процесса оценки соответствия, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия
      • Числовое значение итоговой оценки соответствия, характеризующей соответствие проверяемой организации установленным требованиям на дату завершения оценки соответствия
      • Подтверждение, что цель оценки соответствия достигнута
      • Неразрешенные разногласия между проверяющей группой и проверяемой организацией
      • Перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия
      • Сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия
      • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них
      • Опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

      Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2

      Также к отчету необходимо приложить:

      • Заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы и направлений
      • Перечень нарушений, выявленных членами проверяющей группы в результате оценки соответствия, которые могли или могут привести к инцидентам, наносящим ущерб финансовой организации или ее клиентам
      • Рекомендации по совершенствованию ЗИ и устранению выявленных нарушений
      • Таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений
      • Копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований
      • Машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований

      Приложение к отчету по ГОСТ 57580.2

      Помимо указанных требований к отчету предъявляются технические требования по оформлению (нумерация, скрепление, подпись и прочее). Необходимо дополнительно обратить внимание, что ГОСТ 57580.2 предъявляет требования к электронным документам, которые прилагаются к отчету, в частности, для каждого электронного документа, файла данных должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.

      Оценка по Приказу №453 Минкомсвязи

      Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 12.05.2023 №453 обязывает банки проводить оценку соответствия по требованиям ГОСТ 57580.1 один раз в два года. Оценка должна быть внешней. Проводить оценку ЕБС по ГОСТу должна внешняя организация, которая отвечает следующим критериям:

      • имеет лицензию ФСТЭК (лицензия на техническую защиту конфиденциальной информации, пункты “б”, “д”, “е”).
      • является независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018).

      Критерии для проведения оценки ЕБС по ГОСТУ

      Оценивать необходимо соответствие 2-му уровню защиты (стандартному). Производить аудит по биометрии рекомендуется в рамках отдельного проекта. Дело в том, что отличительной особенностью аудита по оценке соответствия требований по ЗИ в рамках 453-го приказа является очень узкая область оценки. Таким образом, существенно сокращается количество применимых мер по ГОСТ 57580.1-2017, что снижает сроки и стоимость работ.

      Почему RTM Group?

      • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
      • Оценки соответствия проводятся экспертами обладающими большим опытом проведения оценок соответствия по ГОСТ Р 57580, авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580
      • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от области оценки)
      • Мы обладаем лицензиями:
        • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
        • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
        • Лицензия ФСБ России на работу со средствами криптозащиты

      Лицензии RTM Group

      Заказать аудит по ГОСТ Р 57580.2

      Для уточнения стоимости и сроков звоните или пишите нам:

      Тел: 8 800 201-20-70 (Звонок по России бесплатный)
      email: info@rtmtech.ru

       

      Похожие услуги

      Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

       






      Видео по аудиту (оценке соответствия) по ГОСТ Р 57580

      Почему RTM Group

      RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

      В списке SWIFT Directory of CSP assessment providers

      В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      Сайт RTM Group входит в тройку лучших юридических сайтов России

      В составе ТК №122

      Цены на услуги по аудиту (оценке соответствия) по ГОСТ Р 57580

      Обратите внимание!
      Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наименование услуги Стоимость

      Консультация

      Бесплатно

      Оценка соответствия по ГОСТ Р 57580

      Срок — от 8 недель

      Подробное описание
       

      от 250 000 руб.

      Помощь в проведении самооценки по ГОСТ 57580

      от 100 000 руб.

      Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наши преимущества

      3 лицензии

      ФСТЭК России и ФСБ России

      821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

      Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

      Каждый 5-й российский банк - наш клиент

      Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

      100% удовлетворенность заказчиков

      Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

      Наши отзывы по аудиту (оценке соответствия) по ГОСТ Р 57580

      Благодарность от АО «НВКбанк»
      26.08.2019
      Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
      Благодарность от КБ «ОБР» (ООО)
      26.08.2019
      По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
      Благодарность от АО «Углеметбанк»
      28.06.2021
      Уважаемый Федор Александрович! АО "Углеметбанк" выражает благодарность компании «RTM Group» и, в частности, экспертам Кобецу Д.А. и Воронину В.Л. за высокий уровень профессионализма при выполнении работ, а также качественное проведение оценки соответствия информационной безопасности Банка требованиям ГОСТ Р 57580.1-2017, Положения 683-П и Положения 747-П. В рамках аудита была проведение тщательная проверка информационной инфраструктуры и, по её итогам, предоставлена исчерпывающая информация о защищенности всей информационной инфраструктуры, даны практические рекомендации по выявленным несоответствиям. В процессе проведения аудита эксперты «RTM Group» оказывали дополнительные консультационные услуги в разработке организационно-распределительной документации и оперативного повышения уровня соответствия требованиям информационной безопасности АО «Углеметбанк». С уважением, Председатель Правления Т.В. Бессмертных
      Благодарственное письмо от ЗАО "Биллинговый центр"
      16.10.2023
      ЗАО "Биллинговый центр" благодарит компанию RTM Group за профессионализм и внимание в проведении оценки соответствия требования ГОСТ 57580.1-2017 и Положения Центрального Банка №719-П. В рамках аудита было проведено обследование системы защиты платёжной информации, а также внутренней документации в сфере ИБ, по результатам проверки со стороны экспертов была предоставлена полная информация о состоянии защитных мер, а также разработаны рекомендации по устранению обнаруженных несоответствий. Отдельно выражаем благодарность за оперативную и продуктивную работу консультантам Гончарову Андрею Михайловичу, Чмилю Константину Михайловичу и Православскому Артему Вадимовичу. Надеемся на дальнейшее сотрудничество и рекомендуем RTM Group как компетентного и ответственного поставщика услуг в области информационной безопасности. Директор ЗАО "Биллинговый центр" А. В. Баяндина

      Услуги для вас

      Продукты и решения для вас

      Нам доверяют

      Полезные статьи

      FAQ: Часто задаваемые вопросы

      Коллеги, здравствуйте. У меня вопрос, как Банку реализовать технически меру СМЭ.14? Что необходимо сделать для реализации меры?

      Доброе утро.

      Разграничение доступа на канальном уровне подразумевает использование специального WAN-порта на маршрутизаторе для “раздачи” интернет.

      Мера напрямую запрещает подключения провода провайдера в коммутатор или сервер. Всего лишь)

      Коллеги, добрый день. Правильно ли понимаю, нижеописанные требования касаются только инфраструктуры виртуальных рабочих столов (VDI)? И в нашем случае, если мы не применяем инфраструктуру виртуальных рабочих столов (пользователи не имеют доступа к виртуальным машинам и виртуальным рабочим столам) можно считать требования неприменимыми (если это не так, то какие из них все же необходимо выполнять в Банке?

      ЗСВ.36 – если считать, что образ виртуальной машины – это файл, который можно скопировать как средствами гипервизора, так и без его участия, каким образом можно регистрировать операции копирования текущих образов виртуальных машин?

      Доброе утро.

      Действительно, часть требований седьмого процесса применимы только для организации виртуальных рабочих мест, одним из вариантов таких технологий является VDI. При этом если в организации применяется только виртуализация серверов, то меры, относящиеся к защите базовых образов будут неприменимы. Вопрос копирования базового образа и регистрации данного действия предполагает именно копирование средствами гипервизора.

      Кого относить к «эксплуатационному персоналу»? Всех сотрудников ИТ или только тех, у кого есть права администраторов в каких-либо ИС или на железках?

      Эксплуатационный персонал – субъекты доступа, в том числе и представители подрядных организаций, решающие задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием технических мер защиты информации. (ГОСТ 57580.1-2017).

      Исходя из официального определения, можно сделать вывод, что к эксплуатационному персоналу относятся только те сотрудники ИТ, которые принимают непосредственное участие в решении задач обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, то есть, это сотрудники как имеющие права по администрированию “железок” из оцениваемой , так и сотрудники не имеющие прав администрирования, но решающие вышеуказанные задачи.

      Однако, следует понимать, что оценка по ГОСТ Р 57580.1-2017 проводится не всегда для всей организации, а зачастую для отдельного сегмента (например: ЕБС, участок платежной системы Банка России и т.д.), поэтому если сотрудник ИТ не имеет отношения к задачам по оцениваемому сегменту, его не следует относить к эксплуатационному персоналу в рамках проводимой оценки.

      Какая требуется минимальная длина пин-кода на токен с учетом того, что длина пароля для «эксплуатационного персонала» >= 16?

      Согласно требованиям ГОСТ Р 57580.1 длина не менее 16 символов для эксплуатационного персонала необходима, непосредственно, к паролям. Пароль и пин-код технически разные вещи. Для токенов применяются именно пин-коды. Поэтому, можно ограничиться стандартной длиной пин-кода для токена.

      Какой использовать подход при реализации двухфакторной аутентификации для сетевых и прикладных админов, если железки/ПО не поддерживают двухфакторную аутентификацию?

      Для реализации двухфакторной аутентификации для сетевых и прикладных администраторов допустимо использовать считыватель и идентификатор СЗИ от НСД (к примеру ПАК “Соболь”) при предоставлении доступа к настройкам сетевых и коммутационных устройств с рабочих мест администраторов, а также необходимо реализовать установление парольной защиты как второй фактор. Либо установление ограничений по допустимым к подключению портам.

      С каких участков начинать внедрять ГОСТ и как именно?

      ГОСТ 57580 содержит в себе организационные и технические меры защиты информации, требования которых должны выполняться организацией. Требования организационных и технических мер должны внедряться в информационную инфраструктуру поэтапно, то есть сначала разрабатывается документация, а следом, в соответствии с принятой документацией, применяются технические меры.

      Начинать следует с актуализации существующей и разработкой внутренней организационно-распорядительной документации в области информационной безопасности. В ГОСТ 57580.1 содержатся требования, сгруппированные в восемь процессов и четыре направления.

      Необходимо обратить внимание на направления защиты информации, а именно: планирование, реализация, контроль, совершенствование. Сначала нужно определить «что защищается» этим обеспечивается планирование, далее «как обеспечивается защита» т.е. реализация, затем «проверяется применение реализации» – осуществление контроля и «рассмотрение вариантов улучшения» – совершенствование.

      Каждый из вышеуказанных процессов и направлений защиты информации содержит организационные требования и соответственно Организации необходимо разработать внутреннюю организационно-распорядительную документацию в соответствии с данными требованиями. К тому же в данном ГОСТ содержится отдельная группа требований по жизненному циклу прикладного ПО, которую так же необходимо включить во внутреннюю документацию.

      По всем техническими требованиям ГОСТ 57580, средства защиты информации нужно внедрить в соответствии с разработанной нормативной документацией Организации.

      Добрый день!
      Что необходимо сделать до проведения аудита?
      Как подготовиться к аудиту?

      Организации необходимо наладить процесс оценки текущего состояния информационной безопасности и её улучшение, а именно: организовать системный процесс разработки, принятия и актуализации внутренней документации по направлению ИБ, постоянно совершенствовать технические средства защиты информации. Если в организации налажен процесс по планированию/реализации/контролю/совершенствованию системы организации защиты информации, то система информационной безопасности в Организации уже находится на довольно высоком уровне.

      Для Организаций, которые действительно хотят построения высокоэффективной системы информационной безопасности, а «не для галочки», внешний аудит по ГОСТ 57580 является самым эффективным способом получить реальную оценку нынешнего состояния системы информационной безопасности, сделать выводы и приступить к устранению выявленных недостатков.

      Вопрос по гост 57580. Его требования распространяются на кредитные организации, некредитные финансовые организации и субьекты нпс. Но это на кого «распространяются». Обязанность вводится 672-п, 683-п и 684-п. При этом 672-п говорит про субъектов нпс, но называет только КО, операционные центры и клиринговые центры; 683-п однозначно говорит про КО, 684-п говорит про некредитные финансовые организации, перечисленные в статье 76.1 ФЗ о Центральном Банке.

      Нигде не говорится, что у оператора платежной системы возникает обязанность выполнять 57580 и соответствовать его требованиям. Как быть?

      Если ОПС является участником ПС БР, то 672, про него, значит ГОСТ распространяется на участок ПС БР. Если нет, то формально не распространяется, но я такого не видел. ОПС обычно вместо с этой ролью, имеет и другую роль, например, клиринг, значит ГОСТ нужно выполнять уже по 684.

      Суть в том, что по 161фз ОПС это ТОЛЬКО лицо определившее правила ПС, поэтому у него может ничего не быть, никаких систем и информации подлежащей защите тоже. Соответственно ГОСТ теоретически не про него. Но в реальности роль ОПС обычно объединяется ещё с какой-то ролью

      Как проводится аудит по ГОСТ 57580? Какова процедура аудита по ГОСТ 57580?

      Процедура аудита начинается с заполнения «опросного листа», в котором представитель проверяемой организации отвечает на общие вопросы о системе защиты информации.

      Параллельно эксперт проверяющей организации начинает процесс выбора мер по ГОСТ. Сам же процесс аудита заключается в ответах Организации на запросы эксперта по требованиям мер, которые содержатся в восьми процессах, четырех направлениях и отдельной группе требований по жизненному циклу прикладного ПО. Свидетельства — это внутренняя документация Организации в области информационной безопасности, наблюдения эксперта (если есть необходимость эксперт очно посещает Организацию, чтобы «увидеть всё своими глазами»), интервью с сотрудниками организации и сведения, которые предоставляет Организация в «доказательство» исполнения требований выбранных мер (например, скриншоты и фотографии конфигураций и настроек технических объектов информатизации и средств защиты информации, электронные журналы регистрации).

      После оперативных и своевременных ответов Организации на запросы эксперт завершает проведение аудита, составляет отчет, включающий сведения о проверяющей и проверяемой организации, перечни неоцениваемых областей оценки, краткое изложение процесса оценки соответствия защиты информации, числовое значение итоговой оценки, опись копий документов на бумажных носителях, опись машинных носителей информации, содержащих свидетельства, прилагаемых к отчету, а также результатов вычисления по каждому из них контрольных сумм (хэш-функции) и т.д.

      После согласования отчета с Организацией, эксперт предоставляет его на бумажном носителе.

      Здравствуйте! Что нужно выполнить для соответствия ГОСТ 57580? Что делать в рамках внутреннего проекта?

      Добрый день!

      Для предварительного приведения системы информационной безопасности в соответствие ГОСТ 57580, Организация может провести самооценку по ГОСТ 57580 (в чем RTM Group также может помочь). Однако внешний аудит позволит объективно проанализировать текущее состояние системы информационной безопасности.

      Так же организациям можно посоветовать проведение GAP-анализа – это анализ системы информационной безопасности, который поможет определить состояние информационной безопасности в целом и выработать стратегию совершенствования. Прежде всего, определяется состав требований по ИБ в соответствии с ГОСТ, на соответствие которым будет проводиться GAP-анализ.

      В чем отличие ГОСТ 57580.1 и ГОСТ 57580.2 ?

      ГОСТ Р 57580.1 – это стандарт, определяющий уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации.

      ГОСТ Р 57580.2 – это методика оценки соответствия.

      Таким образом, ГОСТ 57580.1 содержит требования, а ГОСТ 57580.2 описывает, как необходимо проводить аудит (оценку соответствия).

      Когда использование ГОСТ2017 становится обязательным для банков? С какой даты перестает действовать ГОСТ2012?

      В соответствии с п.3.1 683-П применение ГОСТ 57580.2017 уже обязательно для банков. Так же, в соответствии с п.9.2, необходимо достичь третьего уровня соответствия к 01.01.2021 г. Согласно комментариям Банка России, достижение соответствия обозначает оценку не ниже 0.7 по каждому из процессов защиты информации, определенным ГОСТ 57580, и по величине итоговой оценки.

      Есть ли перспективы у ЦБ по проверке банков на соответствие 683-П и ГОСТ Р 57580.1 в этом году?

      Есть не только перспективы, но и прецеденты. У одного из наших клиентов ЦБ уже запросил отчет по ГОСТ в рамках требований 683-П.

      Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?

      Да, про 683-П, 672-П ЦБ ответил “да”, про 719-П разумно предположить что тоже да, т.к. суть одна и таже.

      Банком приобретается новое мобильное приложение, когда надо проводить пентест?

      Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

      А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?

      Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.

      По вашему опыту, существует ли возможность минимизировать отсутствие SIEM в банке (требования ГОСТ), “правильной” политикой ИБ?

      SIEM — это отдельный процесс, его очень сложно, даже с учетом компенсирующих мер, дотянуть до 0.85. А т.к. ЦБ требует за каждый процесс оценку, то соответствие без SIEM маловероятно.
      Возможность существует, но это зависит все-таки от сложности процессов в банке. Потому что, если в банке применяется большое количество различных средств защиты и различных технологий, то можно повесить формально на админа ИБ или админа ИТ необходимость анализа их логов, но фактически это выполняться не будет. И аудиторы ЦБ это понимают. Формально закрыть требование не получится. Это возможно в совсем небольших кредитных организациях (20-30 человек), где всего 3-4 информационных системы и админ действительно смотрит логи полдня и получает за это зарплату. Для таких организаций это дешевле, чем внедрение SIEM.

      Когда банк “соответствует” третьему уровню ГОСТ Р 575980.2, когда общая оценка 0.7, или когда оценка по каждому (!) процессу >= 0.7?

      На этот вопрос есть прямой ответ ЦБ, когда по каждому процессу оценка не менее 0.7 и итоговая оценка 0.7.

      По каждому процессу – понятно, а итоговая, потому что она считается с учетом жизненного цикла и нарушений.

      Для каких работ требуется привлечение внешних организаций с лицензией на ТЗКИ?

      Это требуется для всех работ по ГОСТ, для работ по ОУД4 и для работ по 382-П. Для всех остальных работ (пентест, SWIFT, 716-П) привлечение внешнего лицензиата необязательно.

      ГОСТ без СОКА, СИЕМ , ДЛП, МДМ реально выполнить на 0.8?

      0.8 — это некий теоретический максимум, где 0.85 — это практически нереально.

      Без СОКА, наверное, можно, но без SIEM, DLP дотянуть отдельные процессы практически нереально. Т.е. если 0.7 можно было получить за счёт каких-то компенсирующих, организационных мер, то до 0.85 – очень тяжело.

      Человек работает удаленно и использует флэшку на ПК, с которого входит в систему. Это допустимо?

      Давать разрешение сотруднику на подключение флешки к компьютеру, через который он подключается к банковской системе – неприемлемо.

      В одном из вопросов на вебинаре Вы затронули тему экономического обоснования о неприменении отдельных мер. Приведите примеры? Какие аргументы удовлетворят аудиторов ЦБ?

      К примерам можно отнести малый штат сотрудников. Не более 10 человек. Для такого штата экономически не обоснованно приобретение технических решений, с минимальными количествами IP-адресов от 1000 единиц.

      Можно ли действовать на основании Ведомости применимости мер, а не модели угроз?

      ГОСТ 57580 не предусматривает такой документ, как ведомость применимости мер, также вероятно, что и ЦБ РФ не примет данный документ.

      Верно ли я понимаю что удаленным доступ будет считаться вне контролируемой зоны кредитной организации? Если основное оборудование стоит в ЦОД, а офис с рабочими местами сотрудников в другом месте, считается ли это удаленным доступом к инфраструктуре?

      Вероятнее всего, с ЦОДом есть договор о технической безопасности и контроль зоны ваших серверов. Что касается сетевого взаимодействия, скорее всего оно идет по шифрованному каналу. Из этого можно сделать вывод, что ЦОД и ваш офис- это два сетевых сегмента одного контура безопасности. Но если вся ваша инфраструктура развернута в ЦОДе, и вы с офисных компьютеров подключаетесь к веб-интерфейсу вашей системы/терминальным серверам, то это уже будет считаться удаленным доступом.

      Относятся ли системные аудиты Windows к техническим мерам защиты?

      Стандартные средства Windows не закрывают меры по разграничению доступа, аутентификации и т.д. Поэтому необходимо наравне с данными средствами по доступу к рабочему средству/серверу рассматривать и средства по разграничению организаций доступа самих информационных систем.

      Каким образом выполняется Входной контроль устройств и переносных (отчуждаемых) носителей информации перед их использованием в вычислительных сетях финансовой организации, в выделенном сегменте вычислительной сети, с исключением возможности информационного взаимодействия указанного сегмента и иных сегментов вычислительных сетей финансовой организации (кроме управляющего информационного взаимодействия по установленным правилам и протоколам)?

      Флешки, которые к вам попадают вы обязаны проверить на отдельно стоящем компьютере, который снабжен антивирусом. И также, данный компьютер должен иметь сетевую изоляцию от остальной инфраструктуры банка.

      Попадает ли система QUIK под требования приказов 683-П и 719-П?

      Система QUIK попадает под требования 757-П. QUIK – это система передачи поручений по финансовым инструментам и соотвественно не попадает в категорию банковской системы, так как является автоматизированной системой некредитной финансовой организации.

      Чем (каким(и) НПА) требуется Модель угроз?

      В соответствии с ГОСТ 57580.1-2017 п. 6.4 при невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации (уточнения) базового состава мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации. В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации. Моделирование угроз – это инструмент, позволяющий минимизировать реализуемые меры и как в следствие – затраты на их реализацию.

      Доступ с удаленного рабочего, осуществляемый с использованием терминального сервера, будет являться удаленным?

      Да, будет. Потому что у вас есть доступ к информации вне контура финансовой организации.

      Какими техническими мерами можно реализовать регистрацию информации (инциденты, НСД), полученной от работников, клиентов и (или) контрагентов финансовой организации (РИ.2)?

      Регистрацию информации рекомендуется использовать в системах ITSM.

      Какое письмо Банка России поясняет финансовые операции для ПФР?

      Письмо президенту саморегулируемой организации национальной ассоциации негосударственных пенсионных фондов 56.1.11/484 от 15.08.2019.

      Как рассчитать (зарезервировать) объем памяти для хранения данных регистрации SIEM (МАС.13)?

      Необходимо определиться с перечнем информации, которую вы хотите зарегистрировать и хранить в SIEM и не забывать о сроках, которые требуются для хранения. Допустимо архивировать и хранить архивы на съемных носителях либо в других системах хранения данных в соответствии с МАС.15 в течении трех лет.

      В вашей практике были банки с уровнем соответствия 0,85? Такой уровень может вызвать недоверие у регулятора?

      Ровно 0,85 не было. Была оценка 0,71 – это реальный пример. А ровно 0,7 и 0,85 не было. Вызвать недоверие может, но это недоверие должно быть обоснованным. Т.е. допустим, если модели угроз были необоснованно отметены (или иные меры безопасности и актуальные угрозы), то скорее это вызовет недоверие у регулятора. А просто цифра – вряд ли. Потому что в практике было штук пять отчетов с оценкой 0,7 по 382-П и ничего такого не было.

      Ноутбук отличается от стационарного компьютера? Если я даю его сотруднику домой – разве не отличается тем, что под MDM ноутбук попадает как устройство удаленного доступа меры ЗУД?

      Компьютер, переданный сотруднику для удаленной работы попадает под все меры ЗУД. Также на него распространяются все меры ГОСТ. Это указано в письме центрального Банка от 22.05.2020 № 56-1-11/264.

      8 процесс (удаленный доступ) имеет место быть, если для взаимодействия с АБС или ДБО внутри контролируемой зоны используется ноутбук?

      В соответствии с ГОСТ Р 57580.1-2017 п. 3.45 удаленный доступ работника финансовой организации (удаленный доступ): Логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей
      финансовых организаций. Ноутбук (или любое другое устройство) внутри контролируемой зоны не является удаленным доступом.

      Меры ГОСТ выбираются исходя из результатов моделирования угроз. В пояснении к РЗИ.11-РИЗ.13 указано, что применение сертифицированных СЗИ осуществляется на основании Модели угроз. Насколько реально отразить в МУ требование о необязательности использования сертифицированных СЗИ (иными словами, отказаться от сертифицированных СЗИ)?

      Для начала, важно понимать чем сертифицированные СЗИ отличаются от несертифицированных. В первую очередь они отличаются уровнем поддержки и уровнем надежности. В модели угроз вы можете отразить то, что касается администрирования и поддержания работоспособности данных несертифицированных программных продуктов.

      В п.1.1. Положения №757-П речь в числе прочего идет о защите информации, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) их клиентами. «В электронном виде» относится к «финансовым операциям» или к «документам». То есть финансовая операция должна быть совершена в электронном виде или документ должен быть составлен в электронном виде?

      В п.1.1. Положения №757-П речь идет о всей электронной информации (платеж в виде xml, скан договора в виде pdf), которая содержит финансовую информацию и именно она подлежит защите (договор о страховании финансовой информацией не является).

      Если информационная система не используется страховой компанией для выпуска (заключения, изменения, расторжения) договоров страхования (их изменения и т.п.), но содержит информацию о них (информацию о страховых суммах и/или премиях, застрахованных рисках, страхователях (клиентах) и/или произведенных страховых выплатах и т.п.), и она используется, например, лишь для корпоративной отчетности? Нужно ли обеспечивать соответствие такой системы ГОСТ Р 57580.1-2017?

      Удаленные места страховых компаний должны быть защищены с помощью MDM, DLP и т.д., если у них есть доступы к информационной системе в которой обрабатывается защищаемая информация. Сама по себе информационная система защите не подлежит. Требования ГОСТ распространяются на инфраструктуру функционирования системы.

      Подскажите, пожалуйста, что именно понимается под «финансовой операцией» в Положении 757-П применительно к страховой компании, которая не заключает договоров в электронной форме, но ведет их учет (заключения, изменения, страховых премиях, страховых случаях, страховых выплатах и т.п.) в информационных системах? Финансовой операцией будут страховые выплаты и премии (денежные операции) или любые действия по заключению, исполнению, изменению, расторжению договоров страхования?

      Под “финансовой операцией” применительно к страховым компаниям разъяснений от ЦБ РФ нет. Но “финансовая операция” применительно к пенсионным фондам – это осуществление выплат клиентам, передача средств УК и передача средств в другие фонды. Речь идет не о договорах страхования, а о выплатах страховых премий и страховых компенсаций. Действия по заключению, исполнению и расторжению договоров финансовой операцией не являются. Все будет зависеть от Ваших бизнес-процессов.

      Закрывает ли требования Dallas Lock как DLP? Мне кажется, что нет, ведь это не dlp в чистом виде.

      Перекрывает частично при одновременном использовании различных модулей. На данный момент Dallas Lock начали занимается продажей различных модулей, которые включают в себя функции DLP. К примеру имеется модуль «Межсетевой экран», в котором появилась возможность управления записью в журнал пакетов МЭ в состоянии out-of-state, самотестирование МЭ, режим «обучения» МЭ, функциональная возможность контент-фильтрации для контроля доступа к веб-сайтам (осуществляется блокировка как по ключевым словам, так и по URL-адресам) Данный модуль частично перекрывает частично перекрывает 5 процесс. Имеется модуль “Средство контроля съемных машинных носителей информации (СКН) Dallas Lock” как для контроля подключения съемных носителей, так для и для уровня отчуждения (переноса) информации.

      Как определиться с контурами безопасности?

      С точки зрения ГОСТ 57580.1-2017 п. 3.10 контур безопасности: Совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор
      требований к обеспечению защиты информации).

      Расскажите пожалуйста, где именно в ГОСТ указаны требования применения сертифицированных средств СЗИ?

      В каждом процессе ГОСТ имеются направления, которые разделяются на меры по планированию, реализации и совершенствованию. Соответственно для каждого из процессов применяются данные направления. Метод реализации для ГОСТ – это требования по применению сертифицированных СЗИ. В зависимости от реализуемого уровня защиты информации это меры РЗИ. 11, РЗИ. 12, РЗИ. 13 в каждом процессе.

      Зачем на ноутбуке DLP, если он работает как терминал и нет перенос файлов с терминальной сессии в локальное устройство отсутствует?

      Если угроза утечки с данного ноутбука по моделированию будет оценена как неактуальная (ноутбук находится в контролируемой зоне, данные шифруются), то можно обойтись без DLP. Если на данном устройстве имеется защищамая информация, то риск утечки может привести к существенным потерям, и в целях исключения негативных последствий, необходимость применения систем DLP определяется по результатам моделирования угроз.

      Расскажите о ключевых преимуществах DLP и SIEM для однофилиального банка на 50 человек. Как объяснить руководству необходимость и целесообразность найма 2 человек по обслуживанию этих систем?

      Для небольшого банка есть возможность добиться четвертого уровня защиты благодаря документации, но исключительно при идеальных условиях (нет прямого взаимодействия с внешними системами, наличие мощной физической охраны, на ключевых должностях находятся лица доверенные руководству). Но данный подход может вызвать множество вопросов у проверяющих.

      Каким образом закрыть процесс на единицу, используя DLP?

      Когда мы говорим про единицу, это означает, что ее можно достичь, используя сертифицированные технические решения. Но без использования документации, средств удаления информации и контроля за этим процессом со стороны отдела информационной безопасности – это сделать нельзя.

      Разве Dallas Lock имеет функции DLP и контентного анализа?

      На данный момент Dallas Lock начали заниматься продажей различных модулей, которые включают в себя функции DLP. К примеру имеется модуль «Межсетевой экран», в котором появилась возможность управления записью в журнал пакетов МЭ в состоянии out-of-state, самотестирование МЭ, режим «обучения» МЭ, функциональная возможность контент-фильтрации для контроля доступа к веб-сайтам (осуществляется блокировка как по ключевым словам, так и по URL-адресам). Данный модуль частично перекрывает частично перекрывает 5 процесс. Имеется модуль “Средство контроля съемных машинных носителей информации (СКН) Dallas Lock” как для контроля подключения съемных носителей, так для и для уровня отчуждения (переноса) информации.

      Ноутбук (мобильное устройство). Нужно ставить DLP? Например, есть контур: рабочее место и сервер, на который подключаются с рабочего места. К рабочему месту подключаются удаленно, используя ноутбук. Куда нужно установить DLP: и на ноутбук как устройство удаленного доступа и на рабочую станцию или только на одно что-то?

      Настоятельно рекомендуем устанавливать DLP на оба устройства, так как утечка информации возможна за счет буфера обмена, печати с удаленного подключения и т.д.

      Есть документ в котором ЦБ дал понять, что ноутбук не отличается от обычного стационарного ПК?

      Да, Письмо центрального Банка от 22.05.2020 № 56-1-11/264.

      Отличается ли с точки зрения ЦБ РФ ноутбук от обычного стационарного ПК, если я даю его сотруднику домой?

      С точки зрения ЦБ отличий нет. Письмо центрального Банка от 22.05.2020 № 56-1-11/264. “По вопросу 6”. “Для целей пункта 7.9. ГОСТ Р 57580.-2017 к категории мобильных (переносных) устройств следует отнести компьютеры и ноутбуки, с которых осуществляется удаленный логический доступ работников финансовой организации. При использовании таких компьютеров и ноутбуков финансовая организация должна обеспечить защиту информации от раскрытия и модификации при осуществлении удаленного доступа; защиту внутренних мобильных (переносных \) устройствах (в том числе в случае использования таких мобильных (переносных) устройств для доступа к корпоративной почте.)

      Добрый день. Смотрел Ваши вебинары по ГОСТ на youtube. Большое спасибо за подробный и качественный разбор мер. Возник вопрос по процессу 7. Вы сказали, что меры ЗСВ 35,36 имеют отношение только к VDI. Как это можно доказать аудитору? Если сервера также могут разворачиваться с образов (Citrix XenApp) — тогда мера тоже актуальна?

      Базовые и текущие образы как понятия применимы только виртуальной инфраструктуре типа VDI либо контейнерной типа Kubernetes. Доказывать что-то аудитору – не совсем корректная позиция. Вы можете зафиксировать в отчете с ним разногласия и их влияние на итоговую оценку, ГОСТ 57580 это предусматривает.

      Citrix XenApp подходит под требования о безопасности базовых и текущих образов, как и иные средства контейнеризации.

      Смотрю на ютуб канале плейлист с материалами по ГОСТР 57580, а есть какой-то чек лист небольшой по шагам, которые посоветуете делать для приведения в соответствие, которым можете поделиться? И в 1 видео был приведен скрин документа по сетевому взаимодействию, а можете скинуть его оглавление? Интересно какие разделы и пункты нам нужно добавить в свой документ.

      Шаги вытекают их направлений ГОСТа. Сначала необходимо провести планирование – выбрать решения, бюджет. Затем определить ответственных и сроки. В остальном слишком много нюансов – из-за различных архитектур систем и желаемой степени соответствия. В любом случае начинать лучше с организационных мер – дешевле и понятнее коллегам.

      Регламент по сетевому взаимодействию должен содержать, как минимум:

      • Архитектуру сети;
      • Перечень ресурсов сети;
      • Правила сетевого взаимодействия (с конкретными IP и портами);
      • Ответственных лиц;
      • Исключения;
      • Порядок контроля и пересмотра (опционально, может быть в другом документе).

      321 приказ отменяется теперь 930. Теперь ежегодно аудит ЕБС внешней организацией по ГОСТ 57580?

      С выходом нового приказа, не меняются условия к проведению внешней оценке по ГОСТ Р 57580. Данное требование было и в 321 приказе Минкомсвязи.

      “П. 9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:
      ..
      2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами “”б””, “”д”” или “”е”” пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 “”О лицензировании деятельности по технической защите конфиденциальной информации”” и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).”

      Какое значение оценки необходимо указать в разделе 3 формы 040971, если процесс неприменим на участке ПС БР в рамках выполнения требований Положения 747-П?

      Если процесс не применим, то в данной графе необходимо оставить поле пустым. Если же технически форма не даёт оставить поле пустым, рекомендуем проставить “1”.

      В программном продукте Дельта, в разделе 3 формы 040971, предусмотрено предоставление оценки Eас для каждого процесса системы ЗИ. При этом, согласно ГОСТ, это значение оценки вычисляется независимо от процессов системы ЗИ. Как правильно указывать данное значение оценки?

      Если отчёт оформлен в соответствии с требованиями ГОСТа, то данное значение указывается отдельно в самом отчёте. Еас — это оценка, характеризующая применение организационных и технических мер, на этапах жизненного цикла.

      Если оценка соответствия проведена в этом году до 01.08.2022, нужно ли отправлять форму 040971 после 01.10.2022?

      Нужно. Также, напоминаем, что через 2 года, в этот же период, необходимо провести оценку соответствия и подготовить новую форму.

      Каким образом внести данные в форму отчёта 040971 по Положениям 683, 719 и 747?

      Если оценка соответствия оформлена единым отчётом, то для каждого процесса, каждого Положения указывается значение из общего отчёта оценки соответствия. Полученные оценки применимы для каждого из перечисленных Положений. Таким образом, для каждого положения, для каждого из процессов, оценка будет одинаковой.

      Когда нужно отправлять эту форму 040971 отчётности? Только по запросу ЦБ?

      Документ вступил в силу 1 октября 2022 года. Форму можно отправлять с даты вступления Положения в силу, не дожидаясь запроса Центрального Банка.

      Если мы сейчас в стадии аудита по 683-П, получается отчётность нужно подать после окончания?

      Отчёт нужно предоставить в течении 30 рабочих дней после проведения аудита.

      Если аудит был проведен в 2021 году, отчёт по форме 040971 мы должны предоставлять в 2023 году после проведения очередного аудита?

      Предоставление формы отчётности зависит не от даты проведения оценки соответствия, а от даты подачи отчёта. Между подачами не должно пройти более 2 лет.

      Как быть, если 683-п будем проводить в следующем году, а сейчас будем проводить 719-п?

      В область оценки 719-П входит и область оценки 683-П. Если сейчас проведёте аудит по 719-П, то в следующем году 683-П проходить не нужно.

      В отчёте формы 040971 Еас1 и Еас2 чем отличаются?

      Только применимостью к процессу. Еас1 — это оценка жизненного цикла за первый процесс. Еас 2 — оценка за второй процесс. Поэтому в этих разделах нужно указывать итоговую оценку за жизненный цикл.

      Здравствуйте! Очень нравится материал, который вы публикуете. Я учащийся 2 курса магистратуры в университете и часто использую ваши статья в учебной деятельности. Хотел у вас спросить, не могли бы вы подсказать как составить программу внешнего аудита ИБ (может у вас есть какой-нибудь шаблон)? В этом семестре дали такое задание, но очень сложно разобраться. Заранее спасибо

      Денис, здравствуйте.

      Спасибо за положительную характеристику нашей работы.

      Относительно программы внешнего аудита рекомендую ознакомиться с положениями ГОСТ 57580.2-2018, в котором указаны требования к проведению аудита.

      Если более крупными мазками, то программа должна включать:

      – цели аудита
      – объект оценки (инфраструктура, приложение, персонал)
      – область оценки (перечень критериев или мер, по которым проводится оценка)
      – состав участников со стороны проверяющей и проверяемой организаций
      – календарный план аудита (часто им ограничиваются, что в корне неверно)
      – требования к отчету.

      Календарный план должен быть разбит по формам взаимодействия (интервью, наблюдение, получение скриншотов по email и т.д.), вовлекаемым сотрудникам, элементам объекта оценки. Разбивать по области оценки (сегодня смотрим АВЗ, завтра документы) считаю непродуктивным.