Прощание с аудитором. Про онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580

8 сентября, 2021

Прощание с аудитором. Про онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580

С 1 января 2018 года введён в действие национальный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1). Стандарт разработан по планам ЦБ РФ и станет краеугольным камнем в обеспечении информационной безопасности в финансовых организациях на ближайшие годы.

В настоящее время обязанность оценки соответствия обеспечения защиты информации (ЗИ) финансовых организаций требованиям ГОСТ Р 57580.1 регламентируется следующими нормативными документами:

  • положением Банка России № 683-П;
  • положением Банка России № 719-П;
  • положением Банка России № 747-П;
  • положением Банка России № 757-П;
  • приказом Минцифры России№ 321 (ЕБС) от 25.06.2018 г.

Национальный Стандарт Российской Федерации ГОСТ Р 57580.1-2017 определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, которые применяются различными организациями для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

Наши коллеги в ходе проведения вебинаров «Безопасность финансовых организаций» провели подробный обзор требований ГОСТ Р 57580.1 поделились советами по выполнению первоочередных мероприятий и привели дорожную карту по реализации требований стандарта.

Мы затронем тему подготовки к аудиту и его проведению. На первый взгляд все просто: ГОСТ Р 57580.2-2018 содержит требования к методике и оформлению результатов оценки соответствия, но сложность кроется в деталях. В ходе проведения самооценки становится понятно, что ГОСТ 57580.1 содержит более 400 организационных и технических мер защиты информации. В ходе проведения самооценки организации часто сталкиваются со сложностью реализации той или иной меры, достаточностью свидетельств ее выполнения, а также с большими трудозатратами работников, привлеченных к проведению оценки и оформлению ее результатов. Кроме того, работники должны быть достаточно компетентными в сфере ИТ и ИБ.

Чаще всего финансовые организации обращаются за помощью к компании, имеющей необходимые лицензии и обещающей сделать «всё под ключ», но не всегда такие компании обладают необходимым опытом, компетенциями и ресурсами. При погружении станет понятно, что такие компаний делают «всё» на уровне фикции. По сути, они лишь предоставляют шаблонные формы с печатью и подписью лицензиата, и Заказчик платит не за работу, а за лицензию и печать на бланке отчета. Проверка Банка России, в любом случае, выявит несоответствие результатов оценки с реальным положением дел. Чем грозит такой подход, наверное, объяснять не стоит. В арсенале Банка России достаточно мер и санкций, которые могут быть применены к нарушителю – от крупных штрафов до отзыва лицензии.

Безусловно, можно пойти другим путём и выбрать исполнителя на основе успешного опыта, количества проектов, численности специалистов и уровня их образования, но чудес не бывает и стоимость услуг такой организации вырастет в геометрической прогрессии.

Оценка соответствия требованиям ГОСТ Р 57580.1 носит периодический характер, что означает необходимость повторных затрат, в том числе, на сбор свидетельств, оформление опросных листов и т. д. Что же делать, если не хочется переплачивать за проведение внешнего аудита, но хочется сохранить высокое качество услуг и держать все под контролем?

Специально для таких случаев команда разработчиков компании КИТ совместно с одним из крупнейших системных интеграторов в сфере ИБ– компанией УЦСБ, разработала онлайн-сервис дистанционной оценки соответствия требованиям ГОСТ Р 57580.

Онлайн-сервис дистанционной оценки соответствия требованиям ГОСТ Р 57580 обладает понятным пользовательским интерфейсом. Разработчики совместно со специалистами аналитического центра компании «УЦСБ» проанализировали завершенные проекты, в числе которых и крупные федеральные банки, и некредитные финансовые организации: страховые компании, депозитарии, кредитные бюро, провели тщательный разбор всех организационных и технических мер ГОСТ Р 57580.1,после чего сгруппировали их по областям действия. Это позволило уже на первом этапе проведения оценки соответствия исключить из рассмотрения меры, отсутствующие в защищаемом контуре Заказчика.

В онлайн-сервисе содержится подробное описание необходимых свидетельств реализации каждой меры, а также значение текущей предварительной оценки соответствия, которое вычисляется в режиме онлайн по мере заполнения электронных форм. Дополнительно ко всему онлайн-сервис в автоматическом режиме формирует отчет по результатам проведения оценки соответствия ЗИ требованиям ГОСТ Р 57580.1, содержащий полный перечень необходимой информации, а также листы свидетельств, заполняемые Заказчиком в ходе работы в сервисе. В случае необходимости проведения повторной самооценки, результаты проведения прошлой оценки не удаляются, и Заказчик может в любой момент приступить к повторной оценке с того места, на котором остановился.

Кроме проведения самостоятельной оценки соответствия онлайн-сервис предусматривает привлечение помощи команды аудиторов крупнейшего системного интегратора в сфере ИБ – компании УЦСБ, вплоть до проведения аудита в дистанционном формате.

Онлайн-сервис позволяет оптимально с точки зрения стоимости и сроков выполнить требования ГОСТ Р 57580 и пройти внешнюю оценку соответствия.

             

Использование Онлайн-сервиса дистанционной оценки соответствия ГОСТ Р 57580 обеспечит:

  • оптимизацию бюджета (позволяет самостоятельно провести предварительную оценку перед аудитом и запланировать ресурсы на устранение недостатков до проведения аудита);
  • единую базу данных (сформированное централизованное место хранения данных по результатам оценки соответствия);
  • быстрый доступ к документам и свидетельствам выполнения мер защиты;
  • оперативный расчет оценки соответствия (возможность постоянно отслеживать уровень соответствия в текущий момент и оперативно устранять несоответствия до проведения итогового аудита);
  • автоматически сформированный отчет по результатам оценки (возможность в любой момент зафиксировать текущее состояние оценки соответствия полноценным отчетом);
  • оперативную помощь команды аудиторов (возможность обратиться к профессионалам за помощью в любых вопросах по работе с сервисом);
  • готовность к повторной оценке (документы уже находятся в вашей базе данных и готовы к повторному аудиту).
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

24.04.2024
У «Сбера» (и рынка?) будет свой SAP за «миллиарды рублей»
24.04.2024
В I квартале хакеры совершили более 19 млн атак на смартфоны россиян
24.04.2024
Минпромторг раздаёт деньги на отечественные решения
24.04.2024
Правительство одобрило ужесточение наказания за утечку ПДн
24.04.2024
«Мы разработали законодательную инициативу по дропам»
24.04.2024
«Мы обеспечили определённый уровень заказа». ГРЧЦ продолжает импортозамещать чипы
23.04.2024
В АП не поддержали поправки о штрафах за утечки ПДн
23.04.2024
Хакеры всё активнее DDoS-ят российскую отрасль энергетики
23.04.2024
Минпромторг начнёт выдавать баллы блокам питания?
23.04.2024
Microsoft — угроза для нацбезопасности? Бывает и такое

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных