Прощание с аудитором. Про онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580

8 сентября, 2021

Прощание с аудитором. Про онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580

С 1 января 2018 года введён в действие национальный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1). Стандарт разработан по планам ЦБ РФ и станет краеугольным камнем в обеспечении информационной безопасности в финансовых организациях на ближайшие годы.

В настоящее время обязанность оценки соответствия обеспечения защиты информации (ЗИ) финансовых организаций требованиям ГОСТ Р 57580.1 регламентируется следующими нормативными документами:

  • положением Банка России № 683-П;
  • положением Банка России № 719-П;
  • положением Банка России № 747-П;
  • положением Банка России № 757-П;
  • приказом Минцифры России№ 321 (ЕБС) от 25.06.2018 г.

Национальный Стандарт Российской Федерации ГОСТ Р 57580.1-2017 определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, которые применяются различными организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

Наши коллеги в ходе проведения вебинаров «Безопасность финансовых организаций» провели подробный обзор требований ГОСТ Р 57580.1 поделились советами по выполнению первоочередных мероприятий и привели дорожную карту по реализации требований стандарта.

Мы затронем тему подготовки к аудиту и его проведению. На первый взгляд все просто: ГОСТ Р 57580.2-2018 содержит требования к методике и оформлению результатов оценки соответствия, но сложность кроется в деталях. В ходе проведения самооценки становится понятно, что ГОСТ 57580.1 содержит более 400 организационных и технических мер защиты информации. В ходе проведения самооценки организации часто сталкиваются со сложностью реализации той или иной меры, достаточностью свидетельств ее выполнения, а также с большими трудозатратами работников, привлеченных к проведению оценки и оформлению ее результатов. Кроме того, работники должны быть достаточно компетентными в сфере ИТ и ИБ.

Чаще всего финансовые организации обращаются за помощью к компании, имеющей необходимые лицензии и обещающей сделать «всё под ключ», но не всегда такие компании обладают необходимым опытом, компетенциями и ресурсами. При погружении станет понятно, что такие компаний делают «всё» на уровне фикции. По сути, они лишь предоставляют шаблонные формы с печатью и подписью лицензиата, и Заказчик платит не за работу, а за лицензию и печать на бланке отчета. Проверка Банка России, в любом случае, выявит несоответствие результатов оценки с реальным положением дел. Чем грозит такой подход, наверное, объяснять не стоит. В арсенале Банка России достаточно мер и санкций, которые могут быть применены к нарушителю – от крупных штрафов до отзыва лицензии.

Безусловно, можно пойти другим путём и выбрать исполнителя на основе успешного опыта, количества проектов, численности специалистов и уровня их образования, но чудес не бывает и стоимость услуг такой организации вырастет в геометрической прогрессии.

Оценка соответствия требованиям ГОСТ Р 57580.1 носит периодический характер, что означает необходимость повторных затрат, в том числе, на сбор свидетельств, оформление опросных листов и т. д. Что же делать, если не хочется переплачивать за проведение внешнего аудита, но хочется сохранить высокое качество услуг и держать все под контролем?

Специально для таких случаев команда разработчиков компании КИТ совместно с одним из крупнейших системных интеграторов в сфере ИБ– компанией УЦСБ, разработала онлайн-сервис дистанционной оценки соответствия требованиям ГОСТ Р 57580.

Онлайн-сервис дистанционной оценки соответствия требованиям ГОСТ Р 57580 обладает понятным пользовательским интерфейсом. Разработчики совместно со специалистами аналитического центра компании «УЦСБ» проанализировали завершенные проекты, в числе которых и крупные федеральные банки, и некредитные финансовые организации: страховые компании, депозитарии, кредитные бюро, провели тщательный разбор всех организационных и технических мер ГОСТ Р 57580.1,после чего сгруппировали их по областям действия. Это позволило уже на первом этапе проведения оценки соответствия исключить из рассмотрения меры, отсутствующие в защищаемом контуре Заказчика.

В онлайн-сервисе содержится подробное описание необходимых свидетельств реализации каждой меры, а также значение текущей предварительной оценки соответствия, которое вычисляется в режиме онлайн по мере заполнения электронных форм. Дополнительно ко всему онлайн-сервис в автоматическом режиме формирует отчет по результатам проведения оценки соответствия ЗИ требованиям ГОСТ Р 57580.1, содержащий полный перечень необходимой информации, а также листы свидетельств, заполняемые Заказчиком в ходе работы в сервисе. В случае необходимости проведения повторной самооценки, результаты проведения прошлой оценки не удаляются, и Заказчик может в любой момент приступить к повторной оценке с того места, на котором остановился.

Кроме проведения самостоятельной оценки соответствия онлайн-сервис предусматривает привлечение помощи команды аудиторов крупнейшего системного интегратора в сфере ИБ – компании УЦСБ, вплоть до проведения аудита в дистанционном формате.

Онлайн-сервис позволяет оптимально с точки зрения стоимости и сроков выполнить требования ГОСТ Р 57580 и пройти внешнюю оценку соответствия.

             

Использование Онлайн-сервиса дистанционной оценки соответствия ГОСТ Р 57580 обеспечит:

  • оптимизацию бюджета (позволяет самостоятельно провести предварительную оценку перед аудитом и запланировать ресурсы на устранение недостатков до проведения аудита);
  • единую базу данных (сформированное централизованное место хранения данных по результатам оценки соответствия);
  • быстрый доступ к документам и свидетельствам выполнения мер защиты;
  • оперативный расчет оценки соответствия (возможность постоянно отслеживать уровень соответствия в текущий момент и оперативно устранять несоответствия до проведения итогового аудита);
  • автоматически сформированный отчет по результатам оценки (возможность в любой момент зафиксировать текущее состояние оценки соответствия полноценным отчетом);
  • оперативную помощь команды аудиторов (возможность обратиться к профессионалам за помощью в любых вопросах по работе с сервисом);
  • готовность к повторной оценке (документы уже находятся в вашей базе данных и готовы к повторному аудиту).

Смотрите также