Оценка соответствия ГОСТ Р 57580
С помощью оценки уровня соответствия ГОСТ Р 57580 можно узнать, соответствует ли система информационной безопасности компании тому уровню, который установил Банк РФ.
С 1 января 2021 года выполнение вышеописанной оценки будет обязательным мероприятием, согласно новому законодательству. Поэтому все финансовые компании должны к этому времени обеспечить необходимый уровень защиты информации.
Большинство предприятий даже близко не соответствуют прописанным нормам, и чем раньше будет проведена оценка, тем больше времени будет у руководства компании в запасе для "закручивания гаек" в своей системе.
ГОСТ Р 57580 не отменяет все остальные действующие нормы и правила, прописанные в документах Центробанка России. Для них набор требования и процессы аудита остаются также крайне важными.
Провести оценку на соответствие нового ГОСТу довольно просто, например, как и проведение аудита оборудования СОРМ. Но только в том случае, если за дело берется грамотная и профессиональная команда-аудитор.
Немного о стандартах ГОСТ 57580
Во всех ГОСТах 57580.x указаны четкие требования к системе информационной безопасности, а также прописаны 3 уровня защиты данных:
- Усиленный.
- Стандартный.
- Минимальный.
90% компаний необходимо обеспечить и поддерживать стандартный уровень защиты информации. Усиленный справедлив для операционных компаний (клиринговых центров) и государственных финансовых учреждений.
В ГОСТе 57580 прописан четкий порядок проведения аудита. Там же указана градация оценок, формы для предоставления заключений и формулы для определения итоговых показателей.
Проведение аудита и типы объектов исследования
Какие конкретно компании должны выполнять вышеописанную оценку:
● кредитные сообщества;
● участники платежных систем;
● некредитные финансовые учреждения;
● операторы платежных систем;
● клиринговые и операционные центры.
В процессе оценки необходимо исследовать 2 типа информационных объектов: ресурсы доступа и объекты доступа.
К ресурсам доступа относятся:
● Web-сервисы;
● системы управления базами данных;
● файловые сетевые ресурсы;
● виртуальные машины;
● email-сервисы;
● автоматизированные системы.
К объектам доступа относятся:
● терминалы оплаты;
● банкоматы;
● средства печати;
● серверы;
● сетевое оборудование;
● рабочие пользовательские места;
● рабочие места сотрудников предприятия.
Отбор каких-либо конкретных объектов для проведения аудита проводится еще на этапе исследования компании и ее деятельности.
Порядок проведения аудита
Согласно установленным требованиям процедура проводится в следующем порядке:
- Изучаются внутренние процессы, моделируются потенциальные угрозы, просматривается внутренняя документация.
- Выполняется анализ самодостаточности и корректности работы системы информационной безопасности.
- Проводятся беседы с сотрудниками компании, выявляются используемые в компании средства защиты данных.
- Исследуются характеристики и настройки оборудования в IT-инфраструктуре, а также проверяется аппаратные средства защиты данных.
- Определяется уровень соответствия средств защиты данных требованиям установленного стандарта.
- С помощью формул вычисляются конечные показатели соответствия.
- Оформляется отчет о проделанной работе согласно форме, представленной регулятором.
После всего этого компания-заказчик получает итоговые данные по оценке соответствия ГОСТу 57580, а также отчет в установленной форме. Дополнительно аудитором предоставляются рекомендации по улучшению текущего состояния системы защиты данных.
*На правах рекламы.