ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1 как на методологию для проведения оценочных мероприятий
ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1
как на методологию для проведения оценочных мероприятий
Эксперты FBK CyberSecurity проводят оценку соответствия организационных
и технологических мер защиты информации кредитных и некредитных финансовых организаций, а также субъектов национальной платежной системы по требованиям, методикам и рекомендациям ГОСТ Р
57580.1-2017 и ГОСТ Р 57580.2-2018.
Что такое ГОСТ Р 57580.1
Для финансовых организаций
ГОСТ Р 5780.1 является национальным стандартом в области ИБ для кредитных и некредитных финансовых организаций
Уровень защиты информации
ГОСТ Р 57580.1 определяет требуемые уровни защиты информации (далее: уровни ЗИ) для различных видов финансовых организаций
Меры защиты информации
ГОСТ Р 57580.1 определяет необходимые организационные и технические меры заищты информации
Требования в части ИБ для некредитных финансовых организаций (НФО).
Исходный документ
Меры защиты информации по ГОСТ Р 57580.1
Стандарт выделяет 8 процессов и 10 подпроцессов для которых разработаны меры защиты информации
Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
Подпроцесс: Защита информации при осуществлении физического доступа.
Подпроцесс: Идентификация и учет ресурсов и объектов доступа.
Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей.
Подпроцесс: Выявление вторжений и сетевых атак.
Подпроцесс: Защита информации, передаваемой по вычислительным сетям.
Подпроцесс: Защита беспроводных сетей.
Не содержит подпроцессов.
Не содержит подпроцессов.
Не содержит подпроцессов.
Подпроцесс: Мониторинг и анализ событий защиты информации.
Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них.
Не содержит подпроцессов.
Не содержит подпроцессов.
Каждая мера применяется к каждому из 8 процессов:
базовый состав мер планирования процесса системы защиты информации.
базовый состав мер по реализации процесса системы защиты информации.
базовый состав мер контроля процесса системы защиты информации.
базовый состав мер по совершенствованию процесса системы защиты информации.
требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
Объем применяемых мер зависит от уровня ЗИ, установленного для вида финансовой организации.
Уровни защиты информации
ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный. Они отличаются друг от друга набором защитных мер, которые финансовая организация должна применять.
Документ / для кого
Минимальный
(3й уровень ЗИ)
Стандартный
(2й уровень ЗИ)
Усиленный
(1й уровень ЗИ)
Периодичность проведения работ
683-П
кредитные организации
не применяется
согласно п.3.1
согласно п.3.1
не реже одного раза в 2 года (cогласно п.9)
с 01.01.2021 уровень соответствия не ниже 3 (Ei > 0,7)
с 01.01.2023 уровень соответствия не ниже 4 (Ei > 0,85)
747-П
участники ССНП
участники СБП
ОПКЦ
ОУИО СБП
не применяется
ССНП согласно п.3 (с 01.06.2021)
СБП согласно п.4 (с 01.06.2021)
ОУИО СБП согласно п.5 (с 01.01.2022)
ОПКЦ согласно п.6 (с 01.06.2021)
согласно п.19 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года
с 01.01.23 уровень соответствия не ниже 4
719-П
ОПДС
БПА
ОПС
ОУИО
Поставщик платежных приложений
Платежный агрегатор (осуществляющие деятельность операционных центров, деятельность платежных клиринговых центров, деятельность расчетных центров)
БПА согласно п.3.5
операторы по переводу денежных средств согласно п.2.3
ОУИО согласно п.4.3
операторы услуг платежной инфраструктуры согласно п.6.5-6
операторы по переводу денежных средств согласно п.2.3
операторы услуг платежной инфраструктуры согласно п.6.5-6.6
не реже одного раза в 2 года (операторы по переводу денежных средств (п.2.3), БПА (п.3.6), ОУИО (п.4.4), операторы услуг платежной инфраструктуры (п.6.7))
с 01.01.22 уровень соответствия не ниже 4
757-П
некредитные финансовые организации (НФО)
с 1.07.2022 согласно п. 1.4.4
согласно п. 1.4.3
согласно п. 1.4.2
согласно п.1.5.3: ежегодно для 1го уровня защиты (минимальный) и 1 раз в 3 года для 2го уровня защиты (стандартный)
с 01.01.2022 до 30.06.2023 уровень соответствия не ниже 3
с 01.07.2023 уровень соответствия не ниже 4
Подробнее об уровнях ЗИ
Уровни ЗИ к одной и той же организации могут устанавливаться сразу несколькими положениями ЦБ РФ.
Реализуют минимальный уровень ЗИ
Банковские платежные агенты (согласно п.3.5 положения №719-П).
Реализуют стандартный уровень ЗИ
Банки, кредитные организации (согласно п.3.1 положения №683-П).
Операторы услуг информационного обмена (согласно 719-П не ниже 4-го уровня соответствия по ГОСТ 57580.2-2018).
Операторы по переводу денежных средств (согласно п.2.3 Положения №719-П)
Операторы услуг платежной инфраструктуры (согласно п.6.5-6.6 Положения №719-П; не ниже 5 уровня по 131 приказу ФСТЭК России и не ниже 4-го уровня соответствия
по ГОСТ 57580.2-
2018)
Участники системы быстрых платежей (СБП), операторы услуг информационного обмена (ОУИО) СБП, участники сервиса срочного и несрочного перевода (ССНП) (согласно
пп. 3, 4 и 5 положения № 747-П).
Реализуют усиленный уровень ЗИ
Банки, кредитные организации (согласно п.3.1 положения №683-П).
Операторы по переводы денежных средств (ОПДС) (согласно п.2.3 Положения №719-П).
Операторы услуг платёжной инфраструктуры значимых платежных систем (системно-значимые банки) (согласно п.6.5-6.6 Положения №719-П; не ниже 4-го уровня доверия
по 131 приказу ФСТЭК России).
Операционный и платёжный клиринговый центр (ОПКЦ) (согласно п. 6 положения №747-П).
Реализуют минимальный уровень ЗИ
Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (не указанные в перечне организаций,
реализующих стандартный уровень ЗИ).
Брокеры, дилеры, управляющие, депозитарии и регистраторы (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
Управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов.
Форекс-дилеры.
Операторы финансовой платформы (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
Операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов (не указанные в перечне организаций, реализующих стандартный уровень
защиты информации).
Операторы обмена цифровых финансовых активов (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
Страховые организации (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
Общества взаимного страхования.
Страховые брокеры.
Реализуют стандартный уровень ЗИ
Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (при условии, что размер активов,
обслуживаемых по договорам на оказание услуг специализированного депозитария, составляет более 1 трлн. руб).
Клиринговые организации.
Организаторы торговли.
Страховые организации (при условии, что стоимость активов в течение последних 6 месяцев подряд, предшествующих дате определения уровня ЗИ, превышала 20 млрд. руб).
Негосударственные пенсионные фонды (при условии осуществления деятельности по обязательному пенсионному страхованию).
Негосударственные пенсионные фонды (при условии осуществления деятельности по негосударственному пенсионному обеспечению, размер средств пенсионных резервов
которых в течение последних 6 месяцев подряд, предшествующих дате определения уровня ЗИ, превышал 10 млрд. руб).
Репозитарии (не являющиеся регистраторами финансовых транзакций).
Операторы инвестиционной платформы (при условии наличия более 100 тыс. клиентов в течение 3-х последних лет).
Брокеры, дилеры, управляющие, депозитарии и регистраторы (при условии определения в качестве годового диапазона квартальный диапазон, указанный в графе 5
приложения к Положению Банка России № 481-П, по состоянию на 31 декабря года, предшествующего дате определения уровня ЗИ).
Брокеры, дилеры, управляющие, депозитарии и регистраторы (указанные в абзаце десятом подпункта 2.1.11 пункта 2.1 Положения Банка России № 481-П);
Операторы инвестиционной платформы (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла оказание
услуг более чем 100 тыс. лиц по договорам об оказании услуг по привлечению инвестиций и (или) договорам об оказании услуг по содействию в инвестировании).
Операторы финансовой платформы (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла оказание
услуг более чем 100 тыс. лиц по договорам об оказании услуг оператора финансовой платформы)
Операторы информационных систем (при условии, что организация осуществляла выпуск цифровых финансовых активов в течение трех последних кварталов, предшествующих
дате определения уровня ЗИ, оказание услуг более чем 25 тыс. лиц, по договорам об оказании услуг оператора информационной системы).
Операторы обмена цифровых финансовых активов (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла
оказание услуг более чем 25 тыс. лиц, по договорам об оказании услуг оператора обмена цифровых финансовых активов).
Реализуют усиленный уровень ЗИ
Центральные контрагенты.
Центральный депозитарий.
Регистраторы финансовых транзакций
Этапы оказания услуг
Анализ внутренних документов организации
Интервьюирование сотрудников и предварительная оценка
Проверка свидетельств для подтверждения выполнения технических мер
Итоговая оценка, подготовка и подписание отчета
В комплекс также могут входить следующие услуги
719-П
Оценка соответствия требованиям
в области обеспечения ЗИ при осуществлении переводов
денежных средств
747-П
Оценка соответствия требованиям Банка России в области обеспечения ЗИ в платежной системе Банка России
683-П
Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
757-П
Оценка соответствия требованиям в области обеспечения ЗИ для некредитных финансовых организаций
435 приказ Минцифры
Оценка соответствия требованиям при интеграции с Единой биометрической системой
152-ФЗ
Оценка соответствия требованиям в области защиты персональных данных
Тестирование на проникновение
Техническая оценка защищенности
в рамках требований положений Центрального Банка России или по инициативе организации
Повышение осведомленности
в области ИБ
Обучение в области информационной безопасности для рядовых сотрудников
Почему FBK CyberSecurity?
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты
в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
Почему FBK CyberSecurity?
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Свяжитесь с нами для уточнения деталей и
стоимости
