Приведение в соответствие требованиям

ГОСТ Р 57580.1-2017

Центральный Банк России устанавливает требования к защите информации в организациях финансовой отрасли, они описаны в стандарте ГОСТ Р 57580.1-2017.

Требования по применению семейства ГОСТ Р 57580 описываются в наборе постановлений Центрального Банка Российской Федерации, и зависят от типа организации и защищаемых процессов:

  • 683-П для банковских организаций и РНКО;
  • 747-П для банковских организаций и участников платежной системы Банка России;
  • 719-П для организаций, в том числе некредитных, осуществляющих денежные переводы, а также для крупных операторов переводов денежных средств (например – интернет-магазинов);
  • 757-П для некредитных финансовых организаций  (занимающихся видами деятельности, перечисленными в 86-ФЗ, ст. 76.1);
  • 742-П для операторов финансовых платформ.

КАК СТРОИТСЯ ПРОЕКТ

Для выполнения требований по защите финансовых систем нужно выполнить процедуру приведения в соответствие требованиям ГОСТ Р 57580.1-2017, а также дополнительных требований конкретного положения, т.е.:

1

Определить, какие системы попадают в область действия требований. Это должны быть системы, непосредственно влияющие на возможность осуществления финансовых операций без ведома клиента.

2

Определить уровень защиты информации – т.е. применимый набор требований ГОСТ Р 57580. Необходимый уровень защиты информации указан в положении: усиленный, стандартный или минимальный. Если разные положения требуют разного уровня – необходимо применять более строгие требования.

3

Разработать и описать процессы защиты данных и систем – то, что делаем мы.

4

Внедрить в работу процессы защиты данных и систем, а также обязательные средства и меры защиты.

Важно знать

ГОСТ Р 57580.1 – достаточно сложный стандарт, и конкретная техническая реализация может отличаться от случая к случаю. В большинстве случаев требуются следующие средства защиты:
Firewall; IPS; антивирусы от трех разных производителей; средство контроля целостности (например OSSEC); средство сбора логов (например SIEM, ELK или syslog) или SOC\SIEM; периодическое внутреннее сканирование на уязвимости; периодическое внешнее сканирование на уязвимости; периодическое проведение pentest; двухфакторная аутентификация для администраторов систем.

Центральный Банк России требует проведения независимой оценки соответствия. Такая оценка проводится в соответствии со стандартом ГОСТ Р 57580.2-2017, в результате оценки выставляется уровень соответствия.

Требования к периодичности оценки и к целевому уровню соответствия указаны в положениях, но в большинстве случаев, переоценка требуется не реже 1 раза в 2 года. С 2023-го года, в большинстве случаев, необходим четвертый уровень соответствия из пяти возможных.

Анкета для бюджетной оценки

вы можете существенно упростить запрос КП, если заполните анкету

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    20-30 раб. дней

    Предварительный аудит

    • Оценка области применения стандарта.
    • Оценка степени соответствия и выявление несоответствующих процессов обработки и недостающих процессов защиты.
  • Этап 2

    25-35 раб. дней

    Адаптация мер защиты

    • Разработка обязательных нормативных документов.
    • Адаптация действующих процессов обработки данных под требования стандарта.
    • Консультации по разработке и применению процессов управления защищенностью.
  • Этап 3

    25-35 раб. дней

    Финальная оценка соответствия

    • Проведение финального аудита.
    • При необходимости – разработка отчета по ГОСТ Р 57580.2.