Аудит информационной безопасности банков и финансовых организаций
Для выполнения требований по информационной безопасности, установленных Банком России, предлагает вашей организации услуги по проведению независимого аудита информационной безопасности Банка в соответствии с требованиями:
Оценка соответствия требованиям стандарта ГОСТ Р 57580 позволяет понять, насколько ИТ-инфраструктура и процессы защиты информации компании соответствуют обязательному уровню, установленному Банком России. Согласно вступившим в силу Положениям Банка России № 672-П, № 683-П и № 684-П с 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой. К этому времени все финансовые организации должны обеспечить необходимый уровень информационной безопасности, а перед этим провести необходимые процедуры аудита состояния защиты организации.
Согласно ГОСТ Р 57580.1-2017 положения настоящего обязаны выполнять:
В соответствии с п.п. 6.1 требований ГОСТ Р 57580.2 в область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.
Основными направлениями оценки, согласно ГОСТ 57580.1, являются:
- Подготовка к проведению аудита:
- определение состава объектов и ресурсов доступа;
- определение количественной выборки объектов информатизации, АС и СВТ, входящих в область оценки;
- Анализ документов регламентирующих защиту информации;
- Разработка необходимых недостающих документов для реализации требований ГОСТ;
- Проведение аудита на месте для определения актуальности имеющейся документации по защите информации и фактического выполнения её положений;
- Проведение числовой оценки соответствия;
- Подготовка отчета согласно установленной формы Банка России;
- Подготовка рекомендаций по совершенствованию системы защиты информации;
- Дополнительные работы по результатам аудита:
- Разработка или дополнение модели угроз;
- Разработка документации: политик, регламентов, инструкций;
- Внедрение необходимых процессов защиты информации.
Согласно требований ГОСТ 57580.2 предъявляемых к оформлению отчета по результатам оценки соответствия защиты информации в состав данных включается:
- Сведения о проверяющей организации;
- Сведения о руководителе и членах проверяющей группы
- Сведения о проверяемой организации
- Сведения о заказчике оценки соответствия
- Цель оценки соответствия
- Сроки проведения оценки соответствия
- Область оценки соответствия
- Перечень неоцениваемых областей оценки соответствия (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия
- Обоснование применения компенсирующих мер при невозможности реализации отдельных выбранных мер
- Краткое изложение процесса оценки соответствия, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия
- Числовое значение итоговой оценки соответствия, характеризующей соответствие проверяемой организации установленным требованиям на дату завершения оценки соответствия
- Подтверждение, что цель оценки соответствия достигнута
- Неразрешенные разногласия между проверяющей группой и проверяемой организацией
- Перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия
- Сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия
- Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них
- Опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.