FBK Cybersecurity
 
Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Close
Напишите нам – мы всегда на связи!
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности

Оценка соответствия
ГОСТ Р 57580.1

ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1 как на методологию для проведения оценочных мероприятий
ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1
как на методологию для проведения оценочных мероприятий
Эксперты FBK CyberSecurity проводят оценку соответствия организационных
и технологических мер защиты информации кредитных и некредитных финансовых организаций, а также субъектов национальной платежной системы по требованиям, методикам и рекомендациям ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.

Что такое ГОСТ Р 57580.1
Для финансовых организаций
ГОСТ Р 5780.1 является национальным стандартом в области ИБ для кредитных и некредитных финансовых организаций
Уровень защиты информации
ГОСТ Р 57580.1 определяет требуемые уровни защиты информации (далее: уровни ЗИ) для различных видов финансовых организаций
Меры защиты информации
ГОСТ Р 57580.1 определяет необходимые организационные и технические меры заищты информации
Источники требований

Требования к организациям соблюдать соответствие уровням ЗИ и порядок их применений, определенные в ГОСТ Р 57580.1, устанавливаются рядом положений Центрального Банка России (ЦБ РФ). Данные положения применяются на основании Федерального закона №184-ФЗ "О техническом регулировании" и Федерального закона №86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
Меры защиты информации по ГОСТ Р 57580.1

Стандарт выделяет 8 процессов и 10 подпроцессов для которых разработаны меры защиты информации
Процесс 1: Обеспечение защиты информации при управлении доступом
  • Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
  • Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
  • Подпроцесс: Защита информации при осуществлении физического доступа.
  • Подпроцесс: Идентификация и учет ресурсов и объектов доступа.
Процесс 2: Обеспечение защиты вычислительных сетей
  • Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей.
  • Подпроцесс: Выявление вторжений и сетевых атак.
  • Подпроцесс: Защита информации, передаваемой по вычислительным сетям.
  • Подпроцесс: Защита беспроводных сетей.
Процесс 3: Контроль целостности и защищенности информационной инфраструктуры
Не содержит подпроцессов.

Процесс 4: Защита от вредоносного кода
Не содержит подпроцессов.

Процесс 5: Предотвращение утечек информации
Не содержит подпроцессов.

Процесс 6: Управление инцидентами защиты информации
  • Подпроцесс: Мониторинг и анализ событий защиты информации.
  • Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них.
Процесс 7: Защита среды виртуализации
Не содержит подпроцессов.

Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
Не содержит подпроцессов.

Раздел 8. Требования к организации и управлению защитой информации
Каждая мера применяется к каждому из 8 процессов:
  • базовый состав мер планирования процесса системы защиты информации.
  • базовый состав мер по реализации процесса системы защиты информации.
  • базовый состав мер контроля процесса системы защиты информации.
  • базовый состав мер по совершенствованию процесса системы защиты информации.
  • требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.

Объем применяемых мер зависит от уровня ЗИ, установленного для вида финансовой организации.
Уровни защиты информации

ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный. Они отличаются друг от друга набором защитных мер, которые финансовая организация должна применять.
Документ / для кого
Минимальный
(3й уровень ЗИ)
Стандартный
(2й уровень ЗИ)
Усиленный
(1й уровень ЗИ)
Периодичность проведения работ
683-П
  • кредитные организации
не применяется
согласно п.3.1
согласно п.3.1
не реже одного раза в 2 года (cогласно п.9)

  • с 01.01.2021 уровень соответствия не ниже 3 (Ei > 0,7)
  • с 01.01.2023 уровень соответствия не ниже 4 (Ei > 0,85)

747-П
  • участники ССНП
  • участники СБП
  • ОПКЦ
  • ОУИО СБП
    не применяется
    • ССНП согласно п.3 (с 01.06.2021)
    • СБП согласно п.4 (с 01.06.2021)
    • ОУИО СБП согласно п.5 (с 01.01.2022)
    ОПКЦ согласно п.6 (с 01.06.2021)
    согласно п.19 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года

    • с 01.01.23 уровень соответствия не ниже 4
    719-П
    • ОПДС
    • БПА
    • ОПС
    • ОУИО
    • Поставщик платежных приложений
    • Платежный агрегатор (осуществляющие деятельность операционных центров, деятельность платежных клиринговых центров, деятельность расчетных центров)
      БПА согласно п.3.5
      • операторы по переводу денежных средств согласно п.2.3
      • ОУИО согласно п.4.3
      • операторы услуг платежной инфраструктуры согласно п.6.5-6
      • операторы по переводу денежных средств согласно п.2.3
      • операторы услуг платежной инфраструктуры согласно п.6.5-6.6
      не реже одного раза в 2 года (операторы по переводу денежных средств (п.2.3), БПА (п.3.6), ОУИО (п.4.4), операторы услуг платежной инфраструктуры (п.6.7))

      • с 01.01.22 уровень соответствия не ниже 4
      757-П
      • некредитные финансовые организации (НФО)
      с 1.07.2022 согласно п. 1.4.4
      согласно п. 1.4.3
      согласно п. 1.4.2
      согласно п.1.5.3: ежегодно для 1го уровня защиты (минимальный) и 1 раз в 3 года для 2го уровня защиты (стандартный)

      • с 01.01.2022 до 30.06.2023 уровень соответствия не ниже 3
      • с 01.07.2023 уровень соответствия не ниже 4
      Подробнее об уровнях ЗИ

      Уровни ЗИ к одной и той же организации могут устанавливаться сразу несколькими положениями ЦБ РФ.
      Кредитные финансовые организации, банки
      Некредитные финансовые организаций (НФО)
      Реализуют минимальный уровень ЗИ

      • Банковские платежные агенты (согласно п.3.5 положения №719-П).

      Реализуют стандартный уровень ЗИ

      • Банки, кредитные организации (согласно п.3.1 положения №683-П).
      • Операторы услуг информационного обмена (согласно 719-П не ниже 4-го уровня соответствия по ГОСТ 57580.2-2018).
      • Операторы по переводу денежных средств (согласно п.2.3 Положения №719-П)
      • Операторы услуг платежной инфраструктуры (согласно п.6.5-6.6 Положения №719-П; не ниже 5 уровня по 131 приказу ФСТЭК России и не ниже 4-го уровня соответствия по ГОСТ 57580.2-2018)
      • Участники системы быстрых платежей (СБП), операторы услуг информационного обмена (ОУИО) СБП, участники сервиса срочного и несрочного перевода (ССНП) (согласно пп. 3, 4 и 5 положения № 747-П).

      Реализуют усиленный уровень ЗИ

      • Банки, кредитные организации (согласно п.3.1 положения №683-П).
      • Операторы по переводы денежных средств (ОПДС) (согласно п.2.3 Положения №719-П).
      • Операторы услуг платёжной инфраструктуры значимых платежных систем (системно-значимые банки) (согласно п.6.5-6.6 Положения №719-П; не ниже 4-го уровня доверия по 131 приказу ФСТЭК России).
      • Операционный и платёжный клиринговый центр (ОПКЦ) (согласно п. 6 положения №747-П).
        Реализуют минимальный уровень ЗИ

        • Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
        • Брокеры, дилеры, управляющие, депозитарии и регистраторы (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
        • Управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов.
        • Форекс-дилеры.
        • Операторы финансовой платформы (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
        • Операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов (не указанные в перечне организаций, реализующих стандартный уровень защиты информации).
        • Операторы обмена цифровых финансовых активов (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
        • Страховые организации (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
        • Общества взаимного страхования.
        • Страховые брокеры.

        Реализуют стандартный уровень ЗИ

        • Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (при условии, что размер активов, обслуживаемых по договорам на оказание услуг специализированного депозитария, составляет более 1 трлн. руб).
        • Клиринговые организации.
        • Организаторы торговли.
        • Страховые организации (при условии, что стоимость активов в течение последних 6 месяцев подряд, предшествующих дате определения уровня ЗИ, превышала 20 млрд. руб).
        • Негосударственные пенсионные фонды (при условии осуществления деятельности по обязательному пенсионному страхованию).
        • Негосударственные пенсионные фонды (при условии осуществления деятельности по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних 6 месяцев подряд, предшествующих дате определения уровня ЗИ, превышал 10 млрд. руб).
        • Репозитарии (не являющиеся регистраторами финансовых транзакций).
        • Операторы инвестиционной платформы (при условии наличия более 100 тыс. клиентов в течение 3-х последних лет).
        • Брокеры, дилеры, управляющие, депозитарии и регистраторы (при условии определения в качестве годового диапазона квартальный диапазон, указанный в графе 5 приложения к Положению Банка России № 481-П, по состоянию на 31 декабря года, предшествующего дате определения уровня ЗИ).
        • Брокеры, дилеры, управляющие, депозитарии и регистраторы (указанные в абзаце десятом подпункта 2.1.11 пункта 2.1 Положения Банка России № 481-П);
        • Операторы инвестиционной платформы (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла оказание услуг более чем 100 тыс. лиц по договорам об оказании услуг по привлечению инвестиций и (или) договорам об оказании услуг по содействию в инвестировании).
        • Операторы финансовой платформы (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла оказание услуг более чем 100 тыс. лиц по договорам об оказании услуг оператора финансовой платформы)
        • Операторы информационных систем (при условии, что организация осуществляла выпуск цифровых финансовых активов в течение трех последних кварталов, предшествующих дате определения уровня ЗИ, оказание услуг более чем 25 тыс. лиц, по договорам об оказании услуг оператора информационной системы).
        • Операторы обмена цифровых финансовых активов (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла оказание услуг более чем 25 тыс. лиц, по договорам об оказании услуг оператора обмена цифровых финансовых активов).

        Реализуют усиленный уровень ЗИ

        • Центральные контрагенты.
        • Центральный депозитарий.
        • Регистраторы финансовых транзакций
            Этапы оказания услуг
            Анализ внутренних документов организации
            Интервьюирование сотрудников и предварительная оценка
            Проверка свидетельств для подтверждения выполнения технических мер
            Итоговая оценка, подготовка и подписание отчета
            В комплекс также могут входить следующие услуги
            719-П
            Оценка соответствия требованиям
            в области обеспечения ЗИ при осуществлении переводов
            денежных средств
            747-П
            Оценка соответствия требованиям Банка России в области обеспечения ЗИ в платежной системе Банка России
            683-П
            Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
            757-П
            Оценка соответствия требованиям в области обеспечения ЗИ для некредитных финансовых организаций
            930 приказ Минцифры
            Оценка соответствия требованиям при интеграции с Единой биометрической системой
            152-ФЗ
            Оценка соответствия требованиям в области защиты персональных данных
            Тестирование на проникновение
            Техническая оценка защищенности
            в рамках требований положений Центрального Банка России или по инициативе организации
            Повышение осведомленности
            в области ИБ
            Обучение в области информационной безопасности для рядовых сотрудников
            Почему FBK CyberSecurity?
            Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
            Сертифицированные специалисты и эксперты в области кибербезопасности
            Мы оцениваем не только номинальное соответствие требованиям регулятора,
            но и практическую эффективность принятых мер
            У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
            Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
            Сертифицированные специалисты и эксперты
            в области кибербезопасности
            Мы оцениваем не только номинальное соответствие требованиям регулятора,
            но и практическую эффективность принятых мер
            Почему FBK CyberSecurity?
            У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
            Свяжитесь с нами для уточнения деталей и стоимости
            Нажимая на кнопку "Отправить" вы соглашаетесь
            с Политикой конфиденциальности FBK CyberSecurity
            Свяжитесь с нами для уточнения
            деталей и стоимости
            Нажимая на кнопку "Отправить" вы соглашаетесь
            с Политикой конфиденциальности FBK CyberSecurity
            Оставьте заявку
            Мы свяжемся с Вами в ближайшее время
            Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой в отношении обработки персональных данных