Оценка соответствия ГОСТ Р 57580

С помощью оценки уровня соответствия ГОСТ Р 57580 можно узнать, соответствует ли система информационной безопасности компании тому уровню, который установил Банк РФ.

С 1 января 2021 года выполнение вышеописанной оценки будет обязательным мероприятием, согласно новому законодательству. Поэтому все финансовые компании должны к этому времени обеспечить необходимый уровень защиты информации.

Большинство предприятий даже близко не соответствуют прописанным нормам, и чем раньше будет проведена оценка, тем больше времени будет у руководства компании в запасе для "закручивания гаек" в своей системе.

ГОСТ Р 57580 не отменяет все остальные действующие нормы и правила, прописанные в документах Центробанка России. Для них набор требования и процессы аудита остаются также крайне важными.

Провести оценку на соответствие нового ГОСТу довольно просто, например, как и проведение аудита оборудования СОРМ. Но только в том случае, если за дело берется грамотная и профессиональная команда-аудитор.

Немного о стандартах ГОСТ 57580

Во всех ГОСТах 57580.x указаны четкие требования к системе информационной безопасности, а также прописаны 3 уровня защиты данных:

1. Усиленный.
2. Стандартный.
3. Минимальный.

90% компаний необходимо обеспечить и поддерживать стандартный уровень защиты информации. Усиленный справедлив для операционных компаний (клиринговых центров) и государственных финансовых учреждений.

В ГОСТе 57580 прописан четкий порядок проведения аудита. Там же указана градация оценок, формы для предоставления заключений и формулы для определения итоговых показателей.

Проведение аудита и типы объектов исследования

Какие конкретно компании должны выполнять вышеописанную оценку:

● кредитные сообщества;

● участники платежных систем;

● некредитные финансовые учреждения;

● операторы платежных систем;

● клиринговые и операционные центры.

В процессе оценки необходимо исследовать 2 типа информационных объектов: ресурсы доступа и объекты доступа.

К ресурсам доступа относятся:

● Web-сервисы;

● системы управления базами данных;

● файловые сетевые ресурсы;

● виртуальные машины;

● email-сервисы;

● автоматизированные системы.

К объектам доступа относятся:

● терминалы оплаты;

● банкоматы;

● средства печати;

● серверы;

● сетевое оборудование;

● рабочие пользовательские места;

● рабочие места сотрудников предприятия.

Отбор каких-либо конкретных объектов для проведения аудита проводится еще на этапе исследования компании и ее деятельности.

Порядок проведения аудита

Согласно установленным требованиям процедура проводится в следующем порядке:

1. Изучаются внутренние процессы, моделируются потенциальные угрозы, просматривается внутренняя документация.
2. Выполняется анализ самодостаточности и корректности работы системы информационной безопасности.
3. Проводятся беседы с сотрудниками компании, выявляются используемые в компании средства защиты данных.
4. Исследуются характеристики и настройки оборудования в IT-инфраструктуре, а также проверяется аппаратные средства защиты данных.
5. Определяется уровень соответствия средств защиты данных требованиям установленного стандарта.
6. С помощью формул вычисляются конечные показатели соответствия.
7. Оформляется отчет о проделанной работе согласно форме, представленной регулятором.

После всего этого компания-заказчик получает итоговые данные по оценке соответствия ГОСТу 57580, а также отчет в установленной форме. Дополнительно аудитором предоставляются рекомендации по улучшению текущего состояния системы защиты данных.

*На правах рекламы.