С 1 января 2018 года введён в действие национальный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1). Стандарт разработан по планам ЦБ РФ и станет краеугольным камнем в обеспечении информационной безопасности в финансовых организациях на ближайшие годы.
В настоящее время обязанность оценки соответствия обеспечения защиты информации (ЗИ) финансовых организаций требованиям ГОСТ Р 57580.1 регламентируется следующими нормативными документами:
Национальный Стандарт Российской Федерации ГОСТ Р 57580.1-2017 определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, которые применяются различными организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.
Наши коллеги в ходе проведения вебинаров «Безопасность финансовых организаций» провели подробный обзор требований ГОСТ Р 57580.1 поделились советами по выполнению первоочередных мероприятий и привели дорожную карту по реализации требований стандарта.
Мы затронем тему подготовки к аудиту и его проведению. На первый взгляд все просто: ГОСТ Р 57580.2-2018 содержит требования к методике и оформлению результатов оценки соответствия, но сложность кроется в деталях. В ходе проведения самооценки становится понятно, что ГОСТ 57580.1 содержит более 400 организационных и технических мер защиты информации. В ходе проведения самооценки организации часто сталкиваются со сложностью реализации той или иной меры, достаточностью свидетельств ее выполнения, а также с большими трудозатратами работников, привлеченных к проведению оценки и оформлению ее результатов. Кроме того, работники должны быть достаточно компетентными в сфере ИТ и ИБ.
Чаще всего финансовые организации обращаются за помощью к компании, имеющей необходимые лицензии и обещающей сделать «всё под ключ», но не всегда такие компании обладают необходимым опытом, компетенциями и ресурсами. При погружении станет понятно, что такие компаний делают «всё» на уровне фикции. По сути, они лишь предоставляют шаблонные формы с печатью и подписью лицензиата, и Заказчик платит не за работу, а за лицензию и печать на бланке отчета. Проверка Банка России, в любом случае, выявит несоответствие результатов оценки с реальным положением дел. Чем грозит такой подход, наверное, объяснять не стоит. В арсенале Банка России достаточно мер и санкций, которые могут быть применены к нарушителю – от крупных штрафов до отзыва лицензии.
Безусловно, можно пойти другим путём и выбрать исполнителя на основе успешного опыта, количества проектов, численности специалистов и уровня их образования, но чудес не бывает и стоимость услуг такой организации вырастет в геометрической прогрессии.
Оценка соответствия требованиям ГОСТ Р 57580.1 носит периодический характер, что означает необходимость повторных затрат, в том числе, на сбор свидетельств, оформление опросных листов и т. д. Что же делать, если не хочется переплачивать за проведение внешнего аудита, но хочется сохранить высокое качество услуг и держать все под контролем?
Специально для таких случаев команда разработчиков компании КИТ совместно с одним из крупнейших системных интеграторов в сфере ИБ– компанией УЦСБ, разработала онлайн-сервис дистанционной оценки соответствия требованиям ГОСТ Р 57580.
Онлайн-сервис дистанционной оценки соответствия требованиям ГОСТ Р 57580 обладает понятным пользовательским интерфейсом. Разработчики совместно со специалистами аналитического центра компании «УЦСБ» проанализировали завершенные проекты, в числе которых и крупные федеральные банки, и некредитные финансовые организации: страховые компании, депозитарии, кредитные бюро, провели тщательный разбор всех организационных и технических мер ГОСТ Р 57580.1,после чего сгруппировали их по областям действия. Это позволило уже на первом этапе проведения оценки соответствия исключить из рассмотрения меры, отсутствующие в защищаемом контуре Заказчика.
В онлайн-сервисе содержится подробное описание необходимых свидетельств реализации каждой меры, а также значение текущей предварительной оценки соответствия, которое вычисляется в режиме онлайн по мере заполнения электронных форм. Дополнительно ко всему онлайн-сервис в автоматическом режиме формирует отчет по результатам проведения оценки соответствия ЗИ требованиям ГОСТ Р 57580.1, содержащий полный перечень необходимой информации, а также листы свидетельств, заполняемые Заказчиком в ходе работы в сервисе. В случае необходимости проведения повторной самооценки, результаты проведения прошлой оценки не удаляются, и Заказчик может в любой момент приступить к повторной оценке с того места, на котором остановился.
Кроме проведения самостоятельной оценки соответствия онлайн-сервис предусматривает привлечение помощи команды аудиторов крупнейшего системного интегратора в сфере ИБ – компании УЦСБ, вплоть до проведения аудита в дистанционном формате.
Онлайн-сервис позволяет оптимально с точки зрения стоимости и сроков выполнить требования ГОСТ Р 57580 и пройти внешнюю оценку соответствия.
Использование Онлайн-сервиса дистанционной оценки соответствия ГОСТ Р 57580 обеспечит:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных