FBK Cybersecurity
 
Close
Напишите нам – мы всегда на связи!
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности

Оценка соответствия
ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 вступают в силу с 1 февраля 2023 года для всех финансовых организаций Российской Федерации
Положения стандарта ГОСТ Р 57580.3-2022 предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона
Национальный стандарт в области информационной безопасности финансовых организаций ГОСТ Р 57580 устанавливает защитные меры требования в отношении соблюдения определенного уровня защиты информации
Положения Банка России в области информационной безопасности (719-П (Банки), 802-П (Банки) и 757-П (НФО), 683-П (Банки)) ссылаются на ГОСТ Р 57580 как на методологию для проведения оценочных мероприятий
  • ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 вступают в силу с 1 февраля 2023 года для всех финансовых организаций Российской Федерации
  • Положения стандарта ГОСТ Р 57580.3-2022 предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона
  • Национальный стандарт в области информационной безопасности финансовых организаций ГОСТ Р 57580 устанавливает защитные меры требования в отношении соблюдения определенного уровня защиты информации
  • Положения Банка России в области информационной безопасности (719-П (Банки), 802-П (Банки) и 757-П (НФО), 683-П (Банки)) ссылаются на ГОСТ Р 57580 как на методологию для проведения оценочных мероприятий
Эксперты FBK CyberSecurity проводят оценку соответствия организационных
и технологических мер защиты информации кредитных и некредитных финансовых организаций, а также субъектов национальной платежной системы по требованиям, методикам и рекомендациям ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, вступившим в силу с 1 февраля 2023 года

Что такое ГОСТ Р 57580.3 и ГОСТ Р 57580.4
  • ГОСТ Р 57580.3-2022
    ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" определяет основные положения, которым должны следовать в своей работе финансовая организация
  • ГОСТ Р 57580.4-2022
    ГОСТ Р 57580.4-2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" определяет конкретные меры защиты информации, которые должны выполнять те или иные финансовые организации. Именно по данному документу проводится оценка соответствия.
Источники требований

Требования к организациям соблюдать соответствие уровням ЗИ и порядок их применений, определенные в ГОСТ Р 57580.1, устанавливаются рядом положений Центрального Банка России (ЦБ РФ). Данные положения применяются на основании Федерального закона №184-ФЗ "О техническом регулировании" и Федерального закона №86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
№683-П
Требования к обеспечению ЗИ в целях противодействия осуществлению переводов денежных средств без согласия клиентов.
№719-П
Требования к обеспечению ЗИ при осуществлении переводов денежных средств.
№802-П
Требования по ЗИ к участникам платежной системы Банка России.
№757-П
Требования в части ИБ для некредитных финансовых организаций (НФО).
Меры защиты информации по ГОСТ Р 57580.1

Стандарт выделяет 8 процессов и 10 подпроцессов для которых разработаны меры защиты информации
  • Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
  • Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
  • Подпроцесс: Защита информации при осуществлении физического доступа.
  • Подпроцесс: Идентификация и учет ресурсов и объектов доступа.

Объем применяемых мер зависит от уровня ЗИ, установленного для вида финансовой организации.
Уровни защиты информации

ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный. Они отличаются друг от друга набором защитных мер, которые финансовая организация должна применять.
Документ / для кого
Минимальный
(3й уровень ЗИ)
Стандартный
(2й уровень ЗИ)
Усиленный
(1й уровень ЗИ)
Периодичность проведения работ
683-П
  • кредитные организации
не применяется
согласно п.3.1
согласно п.3.1
не реже одного раза в 2 года (cогласно п.9)

  • с 01.01.2021 уровень соответствия не ниже 3 (Ei > 0,7)
  • с 01.01.2023 уровень соответствия не ниже 4 (Ei > 0,85)

747-П
  • участники ССНП
  • участники СБП
  • ОПКЦ
  • ОУИО СБП
    не применяется
    • ССНП согласно п.3 (с 01.06.2021)
    • СБП согласно п.4 (с 01.06.2021)
    • ОУИО СБП согласно п.5 (с 01.01.2022)
    ОПКЦ согласно п.6 (с 01.06.2021)
    согласно п.19 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года

    • с 01.01.23 уровень соответствия не ниже 4
    719-П
    • ОПДС
    • БПА
    • ОПС
    • ОУИО
    • Поставщик платежных приложений
    • Платежный агрегатор (осуществляющие деятельность операционных центров, деятельность платежных клиринговых центров, деятельность расчетных центров)
      БПА согласно п.3.5
      • операторы по переводу денежных средств согласно п.2.3
      • ОУИО согласно п.4.3
      • операторы услуг платежной инфраструктуры согласно п.6.5-6
      • операторы по переводу денежных средств согласно п.2.3
      • операторы услуг платежной инфраструктуры согласно п.6.5-6.6
      не реже одного раза в 2 года (операторы по переводу денежных средств (п.2.3), БПА (п.3.6), ОУИО (п.4.4), операторы услуг платежной инфраструктуры (п.6.7))

      • с 01.01.22 уровень соответствия не ниже 4
      757-П
      • некредитные финансовые организации (НФО)
      с 1.07.2022 согласно п. 1.4.4
      согласно п. 1.4.3
      согласно п. 1.4.2
      согласно п.1.5.3: ежегодно для 1го уровня защиты (минимальный) и 1 раз в 3 года для 2го уровня защиты (стандартный)

      • с 01.01.2022 до 30.06.2023 уровень соответствия не ниже 3
      • с 01.07.2023 уровень соответствия не ниже 4
      Подробнее об уровнях ЗИ

      Уровни ЗИ к одной и той же организации могут устанавливаться сразу несколькими положениями ЦБ РФ.
      Реализуют минимальный уровень ЗИ

      • Банковские платежные агенты (согласно п.3.5 положения №719-П).

      Реализуют стандартный уровень ЗИ

      • Банки, кредитные организации (согласно п.3.1 положения №683-П).
      • Операторы услуг информационного обмена (согласно 719-П не ниже 4-го уровня соответствия по ГОСТ 57580.2-2018).
      • Операторы по переводу денежных средств (согласно п.2.3 Положения №719-П)
      • Операторы услуг платежной инфраструктуры (согласно п.6.5-6.6 Положения №719-П; не ниже 5 уровня по 131 приказу ФСТЭК России и не ниже 4-го уровня соответствия по ГОСТ 57580.2-2018)
      • Участники системы быстрых платежей (СБП), операторы услуг информационного обмена (ОУИО) СБП, участники сервиса срочного и несрочного перевода (ССНП) (согласно пп. 3, 4 и 5 положения № 747-П).

      Реализуют усиленный уровень ЗИ

      • Банки, кредитные организации (согласно п.3.1 положения №683-П).
      • Операторы по переводы денежных средств (ОПДС) (согласно п.2.3 Положения №719-П).
      • Операторы услуг платёжной инфраструктуры значимых платежных систем (системно-значимые банки) (согласно п.6.5-6.6 Положения №719-П; не ниже 4-го уровня доверия по 131 приказу ФСТЭК России).
      • Операционный и платёжный клиринговый центр (ОПКЦ) (согласно п. 6 положения №747-П).
        Этапы оказания услуг
        Анализ внутренних документов организации
        Интервьюирование сотрудников и предварительная оценка
        Проверка свидетельств для подтверждения выполнения технических мер
        Итоговая оценка, подготовка и подписание отчета
        В комплекс также могут входить следующие услуги
        719-П
        Оценка соответствия требованиям
        в области обеспечения ЗИ при осуществлении переводов
        денежных средств
        747-П
        Оценка соответствия требованиям Банка России в области обеспечения ЗИ в платежной системе Банка России
        683-П
        Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
        757-П
        Оценка соответствия требованиям в области обеспечения ЗИ для некредитных финансовых организаций
        930 приказ Минцифры
        Оценка соответствия требованиям при интеграции с Единой биометрической системой
        152-ФЗ
        Оценка соответствия требованиям в области защиты персональных данных
        Тестирование на проникновение
        Техническая оценка защищенности
        в рамках требований положений Центрального Банка России или по инициативе организации
        Повышение осведомленности
        в области ИБ
        Обучение в области информационной безопасности для рядовых сотрудников
        Почему FBK CyberSecurity?
        Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
        Сертифицированные специалисты и эксперты в области кибербезопасности
        Мы оцениваем не только номинальное соответствие требованиям регулятора,
        но и практическую эффективность принятых мер
        У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
        Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
        Сертифицированные специалисты и эксперты
        в области кибербезопасности
        Мы оцениваем не только номинальное соответствие требованиям регулятора,
        но и практическую эффективность принятых мер
        Почему FBK CyberSecurity?
        У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
        Свяжитесь с нами для уточнения деталей и стоимости
        Нажимая на кнопку "Отправить" вы соглашаетесь
        с Политикой конфиденциальности FBK CyberSecurity
        Свяжитесь с нами для уточнения
        деталей и стоимости
        Нажимая на кнопку "Отправить" вы соглашаетесь
        с Политикой конфиденциальности FBK CyberSecurity