logo
 

Оценка соответствия ГОСТ Р 57580.1


ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1 как на методологию для проведения оценочных мероприятий
  • ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
  • ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
  • ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
  • Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1
    как на методологию для проведения оценочных мероприятий
Эксперты FBK CyberSecurity проводят оценку соответствия организационных
и технологических мер защиты информации кредитных и некредитных финансовых организаций, а также субъектов национальной платежной системы по требованиям, методикам и рекомендациям ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.

Что такое ГОСТ Р 57580.1
  • Для финансовых организаций
    ГОСТ Р 5780.1 является национальным стандартом в области ИБ для кредитных и некредитных финансовых организаций
  • Уровень защиты информации
    ГОСТ Р 57580.1 определяет требуемые уровни защиты информации (далее: уровни ЗИ) для различных видов финансовых организаций
  • Меры защиты информации
    ГОСТ Р 57580.1 определяет необходимые организационные и технические меры заищты информации
Источники требований

Требования к организациям соблюдать соответствие уровням ЗИ и порядок их применений, определенные в ГОСТ Р 57580.1, устанавливаются рядом положений Центрального Банка России (ЦБ РФ). Данные положения применяются на основании Федерального закона №184-ФЗ "О техническом регулировании" и Федерального закона №86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
Требования к обеспечению ЗИ в целях противодействия осуществлению переводов денежных средств без согласия клиентов.
Требования к обеспечению ЗИ при осуществлении переводов денежных средств.
Требования по ЗИ к участникам платежной системы Банка России.
Требования в части ИБ для некредитных финансовых организаций (НФО).
Меры защиты информации по ГОСТ Р 57580.1

Стандарт выделяет 8 процессов и 10 подпроцессов для которых разработаны меры защиты информации
  • Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
  • Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
  • Подпроцесс: Защита информации при осуществлении физического доступа.
  • Подпроцесс: Идентификация и учет ресурсов и объектов доступа.

Объем применяемых мер зависит от уровня ЗИ, установленного для вида финансовой организации.
Уровни защиты информации

ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный. Они отличаются друг от друга набором защитных мер, которые финансовая организация должна применять.
Документ / для кого
Минимальный
(3й уровень ЗИ)
Стандартный
(2й уровень ЗИ)
Усиленный
(1й уровень ЗИ)
Периодичность проведения работ
683-П
  • кредитные организации
не применяется
согласно п.3.1
согласно п.3.1
не реже одного раза в 2 года (cогласно п.9)

  • с 01.01.2021 уровень соответствия не ниже 3 (Ei > 0,7)
  • с 01.01.2023 уровень соответствия не ниже 4 (Ei > 0,85)

747-П
  • участники ССНП
  • участники СБП
  • ОПКЦ
  • ОУИО СБП
    не применяется
    • ССНП согласно п.3 (с 01.06.2021)
    • СБП согласно п.4 (с 01.06.2021)
    • ОУИО СБП согласно п.5 (с 01.01.2022)
    ОПКЦ согласно п.6 (с 01.06.2021)
    согласно п.19 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года

    • с 01.01.23 уровень соответствия не ниже 4
    719-П
    • ОПДС
    • БПА
    • ОПС
    • ОУИО
    • Поставщик платежных приложений
    • Платежный агрегатор (осуществляющие деятельность операционных центров, деятельность платежных клиринговых центров, деятельность расчетных центров)
      БПА согласно п.3.5
      • операторы по переводу денежных средств согласно п.2.3
      • ОУИО согласно п.4.3
      • операторы услуг платежной инфраструктуры согласно п.6.5-6
      • операторы по переводу денежных средств согласно п.2.3
      • операторы услуг платежной инфраструктуры согласно п.6.5-6.6
      не реже одного раза в 2 года (операторы по переводу денежных средств (п.2.3), БПА (п.3.6), ОУИО (п.4.4), операторы услуг платежной инфраструктуры (п.6.7))

      • с 01.01.22 уровень соответствия не ниже 4
      757-П
      • некредитные финансовые организации (НФО)
      с 1.07.2022 согласно п. 1.4.4
      согласно п. 1.4.3
      согласно п. 1.4.2
      согласно п.1.5.3: ежегодно для 1го уровня защиты (минимальный) и 1 раз в 3 года для 2го уровня защиты (стандартный)

      • с 01.01.2022 до 30.06.2023 уровень соответствия не ниже 3
      • с 01.07.2023 уровень соответствия не ниже 4
      Подробнее об уровнях ЗИ

      Уровни ЗИ к одной и той же организации могут устанавливаться сразу несколькими положениями ЦБ РФ.
      Реализуют минимальный уровень ЗИ

      • Банковские платежные агенты (согласно п.3.5 положения №719-П).

      Реализуют стандартный уровень ЗИ

      • Банки, кредитные организации (согласно п.3.1 положения №683-П).
      • Операторы услуг информационного обмена (согласно 719-П не ниже 4-го уровня соответствия по ГОСТ 57580.2-2018).
      • Операторы по переводу денежных средств (согласно п.2.3 Положения №719-П)
      • Операторы услуг платежной инфраструктуры (согласно п.6.5-6.6 Положения №719-П; не ниже 5 уровня по 131 приказу ФСТЭК России и не ниже 4-го уровня соответствия по ГОСТ 57580.2- 2018)
      • Участники системы быстрых платежей (СБП), операторы услуг информационного обмена (ОУИО) СБП, участники сервиса срочного и несрочного перевода (ССНП) (согласно пп. 3, 4 и 5 положения № 747-П).

      Реализуют усиленный уровень ЗИ

      • Банки, кредитные организации (согласно п.3.1 положения №683-П).
      • Операторы по переводы денежных средств (ОПДС) (согласно п.2.3 Положения №719-П).
      • Операторы услуг платёжной инфраструктуры значимых платежных систем (системно-значимые банки) (согласно п.6.5-6.6 Положения №719-П; не ниже 4-го уровня доверия по 131 приказу ФСТЭК России).
      • Операционный и платёжный клиринговый центр (ОПКЦ) (согласно п. 6 положения №747-П).
        Этапы оказания услуг
        Анализ внутренних документов организации
        Интервьюирование сотрудников и предварительная оценка
        Проверка свидетельств для подтверждения выполнения технических мер
        Итоговая оценка, подготовка и подписание отчета
        В комплекс также могут входить следующие услуги
        719-П
        Оценка соответствия требованиям
        в области обеспечения ЗИ при осуществлении переводов
        денежных средств
        747-П
        Оценка соответствия требованиям Банка России в области обеспечения ЗИ в платежной системе Банка России
        683-П
        Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
        757-П
        Оценка соответствия требованиям в области обеспечения ЗИ для некредитных финансовых организаций
        435 приказ Минцифры
        Оценка соответствия требованиям при интеграции с Единой биометрической системой
        152-ФЗ
        Оценка соответствия требованиям в области защиты персональных данных
        Тестирование на проникновение
        Техническая оценка защищенности
        в рамках требований положений Центрального Банка России или по инициативе организации
        Повышение осведомленности
        в области ИБ
        Обучение в области информационной безопасности для рядовых сотрудников
        Почему FBK CyberSecurity?
        Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
        Сертифицированные специалисты и эксперты в области кибербезопасности
        Мы оцениваем не только номинальное соответствие требованиям регулятора,
        но и практическую эффективность принятых мер
        У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
        Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
        Сертифицированные специалисты и эксперты
        в области кибербезопасности
        Мы оцениваем не только номинальное соответствие требованиям регулятора,
        но и практическую эффективность принятых мер
        Почему FBK CyberSecurity?
        У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
        Свяжитесь с нами для уточнения деталей и стоимости
        Нажимая на кнопку "Отправить" вы соглашаетесь
        с Политикой конфиденциальности FBK CyberSecurity