Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Оценка соответствия
ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022
ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022
ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 вступают в силу с 1 февраля 2023 года для всех финансовых организаций Российской Федерации
Положения стандарта ГОСТ Р 57580.3-2022 предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона
Национальный стандарт в области информационной безопасности финансовых организаций ГОСТ Р 57580 устанавливает защитные меры требования в отношении соблюдения определенного уровня защиты информации
Положения Банка России в области информационной безопасности (719-П (Банки), 802-П (Банки) и 757-П (НФО), 683-П (Банки)) ссылаются на ГОСТ Р 57580 как на методологию для проведения оценочных мероприятий
ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 вступают в силу с 1 февраля 2023 года для всех финансовых организаций Российской Федерации
Положения стандарта ГОСТ Р 57580.3-2022 предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона
Национальный стандарт в области информационной безопасности финансовых организаций ГОСТ Р 57580 устанавливает защитные меры требования в отношении соблюдения определенного уровня защиты информации
Положения Банка России в области информационной безопасности (719-П (Банки), 802-П (Банки) и 757-П (НФО), 683-П (Банки)) ссылаются на ГОСТ Р 57580 как на методологию для проведения оценочных мероприятий
Эксперты FBK CyberSecurity проводят оценку соответствия организационных
и технологических мер защиты информации кредитных и некредитных финансовых организаций, а также субъектов национальной платежной системы по требованиям, методикам и рекомендациям ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, вступившим в силу с 1 февраля 2023 года
и технологических мер защиты информации кредитных и некредитных финансовых организаций, а также субъектов национальной платежной системы по требованиям, методикам и рекомендациям ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, вступившим в силу с 1 февраля 2023 года
Что такое ГОСТ Р 57580.3 и ГОСТ Р 57580.4
- ГОСТ Р 57580.3-2022ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" определяет основные положения, которым должны следовать в своей работе финансовая организация
- ГОСТ Р 57580.4-2022ГОСТ Р 57580.4-2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" определяет конкретные меры защиты информации, которые должны выполнять те или иные финансовые организации. Именно по данному документу проводится оценка соответствия.
Источники требований
Требования к организациям соблюдать соответствие уровням ЗИ и порядок их применений, определенные в ГОСТ Р 57580.1, устанавливаются рядом положений Центрального Банка России (ЦБ РФ). Данные положения применяются на основании Федерального закона №184-ФЗ "О техническом регулировании" и Федерального закона №86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
Требования к организациям соблюдать соответствие уровням ЗИ и порядок их применений, определенные в ГОСТ Р 57580.1, устанавливаются рядом положений Центрального Банка России (ЦБ РФ). Данные положения применяются на основании Федерального закона №184-ФЗ "О техническом регулировании" и Федерального закона №86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
Требования к обеспечению ЗИ в целях противодействия осуществлению переводов денежных средств без согласия клиентов.
Требования к обеспечению ЗИ при осуществлении переводов денежных средств.
Требования по ЗИ к участникам платежной системы Банка России.
Требования в части ИБ для некредитных финансовых организаций (НФО).
Меры защиты информации по ГОСТ Р 57580.1
Стандарт выделяет 8 процессов и 10 подпроцессов для которых разработаны меры защиты информации
Стандарт выделяет 8 процессов и 10 подпроцессов для которых разработаны меры защиты информации
- Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
- Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
- Подпроцесс: Защита информации при осуществлении физического доступа.
- Подпроцесс: Идентификация и учет ресурсов и объектов доступа.
- Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей.
- Подпроцесс: Выявление вторжений и сетевых атак.
- Подпроцесс: Защита информации, передаваемой по вычислительным сетям.
- Подпроцесс: Защита беспроводных сетей.
Не содержит подпроцессов.
Не содержит подпроцессов.
Не содержит подпроцессов.
- Подпроцесс: Мониторинг и анализ событий защиты информации.
- Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них.
Не содержит подпроцессов.
Не содержит подпроцессов.
Каждая мера применяется к каждому из 8 процессов:
- базовый состав мер планирования процесса системы защиты информации.
- базовый состав мер по реализации процесса системы защиты информации.
- базовый состав мер контроля процесса системы защиты информации.
- базовый состав мер по совершенствованию процесса системы защиты информации.
- требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
Объем применяемых мер зависит от уровня ЗИ, установленного для вида финансовой организации.
Уровни защиты информации
ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный. Они отличаются друг от друга набором защитных мер, которые финансовая организация должна применять.
ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный. Они отличаются друг от друга набором защитных мер, которые финансовая организация должна применять.
Документ / для кого
Минимальный
(3й уровень ЗИ)
(3й уровень ЗИ)
Стандартный
(2й уровень ЗИ)
(2й уровень ЗИ)
Усиленный
(1й уровень ЗИ)
(1й уровень ЗИ)
Периодичность проведения работ
683-П
- кредитные организации
не применяется
согласно п.3.1
согласно п.3.1
не реже одного раза в 2 года (cогласно п.9)
- с 01.01.2021 уровень соответствия не ниже 3 (Ei > 0,7)
- с 01.01.2023 уровень соответствия не ниже 4 (Ei > 0,85)
747-П
- участники ССНП
- участники СБП
- ОПКЦ
- ОУИО СБП
не применяется
- ССНП согласно п.3 (с 01.06.2021)
- СБП согласно п.4 (с 01.06.2021)
- ОУИО СБП согласно п.5 (с 01.01.2022)
ОПКЦ согласно п.6 (с 01.06.2021)
согласно п.19 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года
- с 01.01.23 уровень соответствия не ниже 4
719-П
- ОПДС
- БПА
- ОПС
- ОУИО
- Поставщик платежных приложений
- Платежный агрегатор (осуществляющие деятельность операционных центров, деятельность платежных клиринговых центров, деятельность расчетных центров)
БПА согласно п.3.5
- операторы по переводу денежных средств согласно п.2.3
- ОУИО согласно п.4.3
- операторы услуг платежной инфраструктуры согласно п.6.5-6
- операторы по переводу денежных средств согласно п.2.3
- операторы услуг платежной инфраструктуры согласно п.6.5-6.6
не реже одного раза в 2 года (операторы по переводу денежных средств (п.2.3), БПА (п.3.6), ОУИО (п.4.4), операторы услуг платежной инфраструктуры (п.6.7))
- с 01.01.22 уровень соответствия не ниже 4
757-П
- некредитные финансовые организации (НФО)
с 1.07.2022 согласно п. 1.4.4
согласно п. 1.4.3
согласно п. 1.4.2
согласно п.1.5.3: ежегодно для 1го уровня защиты (минимальный) и 1 раз в 3 года для 2го уровня защиты (стандартный)
- с 01.01.2022 до 30.06.2023 уровень соответствия не ниже 3
- с 01.07.2023 уровень соответствия не ниже 4
Подробнее об уровнях ЗИ
Уровни ЗИ к одной и той же организации могут устанавливаться сразу несколькими положениями ЦБ РФ.
Уровни ЗИ к одной и той же организации могут устанавливаться сразу несколькими положениями ЦБ РФ.
Реализуют минимальный уровень ЗИ
Реализуют стандартный уровень ЗИ
Реализуют усиленный уровень ЗИ
- Банковские платежные агенты (согласно п.3.5 положения №719-П).
Реализуют стандартный уровень ЗИ
- Банки, кредитные организации (согласно п.3.1 положения №683-П).
- Операторы услуг информационного обмена (согласно 719-П не ниже 4-го уровня соответствия по ГОСТ 57580.2-2018).
- Операторы по переводу денежных средств (согласно п.2.3 Положения №719-П)
- Операторы услуг платежной инфраструктуры (согласно п.6.5-6.6 Положения №719-П; не ниже 5 уровня по 131 приказу ФСТЭК России и не ниже 4-го уровня соответствия по ГОСТ 57580.2-2018)
- Участники системы быстрых платежей (СБП), операторы услуг информационного обмена (ОУИО) СБП, участники сервиса срочного и несрочного перевода (ССНП) (согласно пп. 3, 4 и 5 положения № 747-П).
Реализуют усиленный уровень ЗИ
- Банки, кредитные организации (согласно п.3.1 положения №683-П).
- Операторы по переводы денежных средств (ОПДС) (согласно п.2.3 Положения №719-П).
- Операторы услуг платёжной инфраструктуры значимых платежных систем (системно-значимые банки) (согласно п.6.5-6.6 Положения №719-П; не ниже 4-го уровня доверия по 131 приказу ФСТЭК России).
- Операционный и платёжный клиринговый центр (ОПКЦ) (согласно п. 6 положения №747-П).
Реализуют минимальный уровень ЗИ
Реализуют стандартный уровень ЗИ
Реализуют усиленный уровень ЗИ
- Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
- Брокеры, дилеры, управляющие, депозитарии и регистраторы (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
- Управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов.
- Форекс-дилеры.
- Операторы финансовой платформы (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
- Операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов (не указанные в перечне организаций, реализующих стандартный уровень защиты информации).
- Операторы обмена цифровых финансовых активов (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
- Страховые организации (не указанные в перечне организаций, реализующих стандартный уровень ЗИ).
- Общества взаимного страхования.
- Страховые брокеры.
Реализуют стандартный уровень ЗИ
- Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (при условии, что размер активов, обслуживаемых по договорам на оказание услуг специализированного депозитария, составляет более 1 трлн. руб).
- Клиринговые организации.
- Организаторы торговли.
- Страховые организации (при условии, что стоимость активов в течение последних 6 месяцев подряд, предшествующих дате определения уровня ЗИ, превышала 20 млрд. руб).
- Негосударственные пенсионные фонды (при условии осуществления деятельности по обязательному пенсионному страхованию).
- Негосударственные пенсионные фонды (при условии осуществления деятельности по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних 6 месяцев подряд, предшествующих дате определения уровня ЗИ, превышал 10 млрд. руб).
- Репозитарии (не являющиеся регистраторами финансовых транзакций).
- Операторы инвестиционной платформы (при условии наличия более 100 тыс. клиентов в течение 3-х последних лет).
- Брокеры, дилеры, управляющие, депозитарии и регистраторы (при условии определения в качестве годового диапазона квартальный диапазон, указанный в графе 5 приложения к Положению Банка России № 481-П, по состоянию на 31 декабря года, предшествующего дате определения уровня ЗИ).
- Брокеры, дилеры, управляющие, депозитарии и регистраторы (указанные в абзаце десятом подпункта 2.1.11 пункта 2.1 Положения Банка России № 481-П);
- Операторы инвестиционной платформы (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла оказание услуг более чем 100 тыс. лиц по договорам об оказании услуг по привлечению инвестиций и (или) договорам об оказании услуг по содействию в инвестировании).
- Операторы финансовой платформы (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла оказание услуг более чем 100 тыс. лиц по договорам об оказании услуг оператора финансовой платформы)
- Операторы информационных систем (при условии, что организация осуществляла выпуск цифровых финансовых активов в течение трех последних кварталов, предшествующих дате определения уровня ЗИ, оказание услуг более чем 25 тыс. лиц, по договорам об оказании услуг оператора информационной системы).
- Операторы обмена цифровых финансовых активов (при условии, что организация в течение 3 последних кварталов, предшествующих дате определения уровня ЗИ, осуществляла оказание услуг более чем 25 тыс. лиц, по договорам об оказании услуг оператора обмена цифровых финансовых активов).
Реализуют усиленный уровень ЗИ
- Центральные контрагенты.
- Центральный депозитарий.
- Регистраторы финансовых транзакций
Этапы оказания услуг
Анализ внутренних документов организации
Интервьюирование сотрудников и предварительная оценка
Проверка свидетельств для подтверждения выполнения технических мер
Итоговая оценка, подготовка и подписание отчета
В комплекс также могут входить следующие услуги
719-П
Оценка соответствия требованиям
в области обеспечения ЗИ при осуществлении переводов
денежных средств
в области обеспечения ЗИ при осуществлении переводов
денежных средств
747-П
Оценка соответствия требованиям Банка России в области обеспечения ЗИ в платежной системе Банка России
683-П
Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
757-П
Оценка соответствия требованиям в области обеспечения ЗИ для некредитных финансовых организаций
930 приказ Минцифры
Оценка соответствия требованиям при интеграции с Единой биометрической системой
152-ФЗ
Оценка соответствия требованиям в области защиты персональных данных
Тестирование на проникновение
Техническая оценка защищенности
в рамках требований положений Центрального Банка России или по инициативе организации
в рамках требований положений Центрального Банка России или по инициативе организации
Повышение осведомленности
в области ИБ
в области ИБ
Обучение в области информационной безопасности для рядовых сотрудников
Почему FBK CyberSecurity?
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
но и практическую эффективность принятых мер
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты
в области кибербезопасности
в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
но и практическую эффективность принятых мер
Почему FBK CyberSecurity?
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Свяжитесь с нами для уточнения деталей и стоимости
Нажимая на кнопку "Отправить" вы соглашаетесь
с Политикой конфиденциальности FBK CyberSecurity
с Политикой конфиденциальности FBK CyberSecurity
Оставьте заявку
Мы свяжемся с Вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой в отношении обработки персональных данных