Оценка соответствия ГОСТ Р 57580.1‑2017
На этой странице вы найдете информацию:
1. Общая информация о стандартах ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018: о чем стандарты и на кого распространяются
2. Источники требований: какие нормативно-правовые акты (далее – НПА) в своих требованиях ссылаются на ГОСТ Р 57580.1-2017
3. Уровни защиты информации по ГОСТ Р 57580.1-2017
4. Как часто нужно проходить независимую оценку соответствия ГОСТ Р 57580.1-2017
5. Меры защиты информации по ГОСТ Р 57580.1-2017
6. Этапы работ по оценке соответствия ГОСТ Р 57580.1-2017 и результаты работ
1. Общая информация о стандарте ГОСТ Р 57580.1-2017 и ГОСТ Р 5780.2-2017: о чем стандарт и на кого распространяется
ГОСТ Р 5780.1-2017:
-
Национальный стандарт в области информационной безопасности (далее – ИБ) для кредитных и некредитных финансовых организаций, выпущенным Банком России.
-
Устанавливает уровни защиты информации (далее: уровни ЗИ) для различных видов финансовых организаций.
-
Определяет набор организационных и технических мер защиты информации, которые эти организации должны применять в организации, в зависимости от установленного для нее уровня защиты информации.
ГОСТ Р 5780.2-2018:
- Методика оценки соответствия ГОСТ Р 5780.1-2017, в которой в том числе определены порядок и форма отчетности для предоставления данных об оценке соответствия в Банк России.
Ссылка на исходный текст документа
2. Источники требований: какие НПА в своих требованиях ссылаются на ГОСТ Р 57580.1-2017
Требования к организациям соблюдать соответствие уровням ЗИ и порядок их применений, определенные в ГОСТ Р 57580.1, устанавливаются рядом положений Центрального Банка России (ЦБ РФ):-
Положение Банка России от 30 января 2025 г. № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
-
Положение Банка России от 17 августа 2023 г. № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
-
Положение Банка России от 25 июля 2022 г. N 802-П «О требованиях к защите информации в платежной системе Банка России».
-
Положение Банка России от 20 апреля 2021 г. N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
3. Уровни защиты информации по ГОСТ Р 57580.1-2017
ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный.
3. Уровни защиты информации по ГОСТ Р 57580.1-2017
-
Они отличаются набором защитных мер, которые финансовая организация должна применять.
-
Уровень защиты информации финансовая организация определяет для себя самостоятельно. Сведения об этом передаются в Банк России.
-
Уровень защиты информации может меняться со временем в зависимости от изменений в организации. Об этом можно узнать в процессе регулярной оценки соответствия.
-
В зависимости от уровня защиты организации предписывается определенная периодичность прохождения независимой оценки соответствия с привлечением лицензиата ФСТЭК.
4. Как часто нужно проходить независимую оценку соответствия ГОСТ Р 57580.1-2017
- Требования к частоте прохождения независимой оценки соответствия определяются в Положениях Банка России, которые применяют ГОСТ Р 57580.1-2017 как базовый документ, ключевой стандарт в области ИБ и напрямую связаны с требуемым уровнем защиты информации.
- Как правило для усиленного уровня защиты информации – 1 раз в год, для стандартного уровня защиты информации – 1 раз в 2 года, для минимального уровня защиты информации доступна самооценка.
- Помимо оценки по ГОСТ Р 57580.1-2017 должны проходить тестирование на проникновение и/или оценку ОУД 4/5 (уровень доверия зависит от уровня защиты информации, а выбор между пентестом и оценкой уровня доверия ПО лежит на проверяемой организации).
5. Меры защиты информации по ГОСТ Р 57580.1-2017
Стандарт выделяет 8 процессов и 10 подпроцессов. Конкретный набор мер защиты информации для этих процессов и подпроцессов определяется уровнем защиты информации.Процесс 1: Обеспечение защиты информации при управлении доступом
- Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
-
Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
-
Подпроцесс: Защита информации при осуществлении физического доступа.
-
Подпроцесс: Идентификация и учет ресурсов и объектов доступа.
Процесс 2: Обеспечение защиты вычислительных сетей
-
Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей.
-
Подпроцесс: Выявление вторжений и сетевых атак.
-
Подпроцесс: Защита информации, передаваемой по вычислительным сетям.
-
Подпроцесс: Защита беспроводных сетей.
Процесс 3: Контроль целостности и защищенности информационной инфраструктуры
Процесс 4: Защита от вредоносного кода
Процесс 5: Предотвращение утечек информации
Процесс 6: Управление инцидентами защиты информации
- Подпроцесс: Мониторинг и анализ событий защиты информации.
- Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них.
Процесс 7: Защита среды виртуализации
Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
- базовый состав мер планирования процесса системы защиты информации.
- базовый состав мер по реализации процесса системы защиты информации.
- базовый состав мер контроля процесса системы защиты информации.
- базовый состав мер по совершенствованию процесса системы защиты информации.
- требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
6. Этапы работ по оценке соответствия ГОСТ Р 57580.1-2017 и результаты работ
Работы проводятся в соответствии с методологией, определенной ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций, защита информации финансовых организаций. Методика оценки соответствия», в рамках следующих этапов:
-
Сбор сведений об информационной инфраструктуре Банка.
-
Сбор сведений о существующей документации в области обеспечения защиты информации.
-
Анализ документов и получение свидетельств аудита.
-
Интервьюирование ответственного персонала.
-
Обследование объектов информационной инфраструктуры в области аудита.
-
Анализ собранной информации и проведение оценки соответствия.
-
Предварительная оценка соответствия – подсчет баллов по факту.
-
Разработка рекомендаций по доработке системы обеспечения информационной безопасности – либо не достигнута целевая оценка, либо предоставляется для оценки (промежуточный итог – результат предварительной оценки соответствия).
-
Внесение изменений в соответствии с рекомендациями (выполняется заказчиком или с привлечением исполнителя).
-
Итоговая оценка соответствия – расчет итоговой оценки по результатам всех доработок.
-
Подготовка отчетных документов по результатам выполнения оценки соответствия требованиям ГОСТ Р 57580.1-2017 в соответствии с ГОСТ Р 57580.2-2018.
Оценка соответствия осуществляется по следующим направлениям:
-
корректность выбора уровня защиты информации;
-
корректность выбора организационных и технических мер защиты информации;
-
полнота реализации организационных и технических мер ЗИ;
-
обеспечение ЗИ на этапах жизненного цикла АС финансовой организации.
При проведении работ эксперты FBKCS руководствуются принципами, изложенными в Стандарте Банка России СТО БР ИББС-1.1-2007.
Результат работ
По результатам выполнения работ будет подготовлен Отчет о проведенной оценке соответствия в соответствии с ГОСТ Р 57580.2-2018, содержащий выводы о степени соответствия ГОСТ Р 57580.1-2017 и иные существенные выводы специалиста:- Отчет, содержащий оценку соответствия законодательным требованиям;
-
Формализованный отчет по ГОСТ Р 57580.2-2018.
