Для выполнения требований по информационной безопасности, установленных Банком России, предлагает вашей организации услуги по проведению независимого аудита информационной безопасности Банка в соответствии с требованиями:

Оценка соответствия требованиям стандарта ГОСТ Р 57580 позволяет понять, насколько ИТ-инфраструктура и процессы защиты информации компании соответствуют обязательному уровню, установленному Банком России.  Согласно вступившим в силу Положениям Банка России № 672-П, № 683-П и № 684-П с 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой. К этому времени все финансовые организации должны обеспечить необходимый уровень информационной безопасности, а перед этим провести необходимые процедуры аудита состояния защиты организации.

Согласно ГОСТ Р 57580.1-2017 положения настоящего обязаны выполнять:

В соответствии с п.п. 6.1 требований ГОСТ Р 57580.2 в область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.

Основными направлениями оценки, согласно ГОСТ 57580.1, являются:

• Подготовка к проведению аудита:
• определение состава объектов и ресурсов доступа;
• определение количественной выборки объектов информатизации, АС и СВТ, входящих в область оценки;
• Анализ документов регламентирующих защиту информации;
• Разработка необходимых недостающих документов для реализации требований ГОСТ;
• Проведение аудита на месте для определения актуальности имеющейся документации по защите информации и фактического выполнения её положений;
• Проведение числовой оценки соответствия;
• Подготовка отчета согласно установленной формы Банка России;
• Подготовка рекомендаций по совершенствованию системы защиты информации;
• Дополнительные работы по результатам аудита:
• Разработка или дополнение модели угроз;
• Разработка документации: политик, регламентов, инструкций;
• Внедрение необходимых процессов защиты информации.

Согласно требований ГОСТ 57580.2 предъявляемых к оформлению отчета по результатам оценки соответствия защиты информации в состав данных включается:

• Сведения о проверяющей организации;
• Сведения о руководителе и членах проверяющей группы
• Сведения о проверяемой организации
• Сведения о заказчике оценки соответствия
• Цель оценки соответствия
• Сроки проведения оценки соответствия
• Область оценки соответствия
• Перечень неоцениваемых областей оценки соответствия (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия
• Обоснование применения компенсирующих мер при невозможности реализации отдельных выбранных мер
• Краткое изложение процесса оценки соответствия, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия
• Числовое значение итоговой оценки соответствия, характеризующей соответствие проверяемой организации установленным требованиям на дату завершения оценки соответствия
• Подтверждение, что цель оценки соответствия достигнута
• Неразрешенные разногласия между проверяющей группой и проверяемой организацией
• Перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия
• Сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия
• Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них
• Опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.