КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Аудит информационной безопасности банков и финансовых организаций

Для выполнения требований по информационной безопасности, установленных Банком России, предлагает вашей организации услуги по проведению независимого аудита информационной безопасности Банка в соответствии с требованиями:

Оценка соответствия требованиям стандарта ГОСТ Р 57580 позволяет понять, насколько ИТ-инфраструктура и процессы защиты информации компании соответствуют обязательному уровню, установленному Банком России.  Согласно вступившим в силу Положениям Банка России № 672-П, № 683-П и № 684-П с 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой. К этому времени все финансовые организации должны обеспечить необходимый уровень информационной безопасности, а перед этим провести необходимые процедуры аудита состояния защиты организации.

 

 

Согласно ГОСТ Р 57580.1-2017 положения настоящего обязаны выполнять:

 

 

 

 

В соответствии с п.п. 6.1 требований ГОСТ Р 57580.2 в область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств.

Основными направлениями оценки, согласно ГОСТ 57580.1, являются:

 

 

 

  • Подготовка к проведению аудита:
    • определение состава объектов и ресурсов доступа;
    • определение количественной выборки объектов информатизации, АС и СВТ, входящих в область оценки;
  • Анализ документов регламентирующих защиту информации;
  • Разработка необходимых недостающих документов для реализации требований ГОСТ;
  • Проведение аудита на месте для определения актуальности имеющейся документации по защите информации и фактического выполнения её положений;
  • Проведение числовой оценки соответствия;
  • Подготовка отчета согласно установленной формы Банка России;
  • Подготовка рекомендаций по совершенствованию системы защиты информации;
  • Дополнительные работы по результатам аудита:
    • Разработка или дополнение модели угроз;
    • Разработка документации: политик, регламентов, инструкций;
    • Внедрение необходимых процессов защиты информации.

 

 

Согласно требований ГОСТ 57580.2 предъявляемых к оформлению отчета по результатам оценки соответствия защиты информации в состав данных включается:

  • Сведения о проверяющей организации;
  • Сведения о руководителе и членах проверяющей группы
  • Сведения о проверяемой организации
  • Сведения о заказчике оценки соответствия
  • Цель оценки соответствия
  • Сроки проведения оценки соответствия
  • Область оценки соответствия
  • Перечень неоцениваемых областей оценки соответствия (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия
  • Обоснование применения компенсирующих мер при невозможности реализации отдельных выбранных мер
  • Краткое изложение процесса оценки соответствия, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия
  • Числовое значение итоговой оценки соответствия, характеризующей соответствие проверяемой организации установленным требованиям на дату завершения оценки соответствия
  • Подтверждение, что цель оценки соответствия достигнута
  • Неразрешенные разногласия между проверяющей группой и проверяемой организацией
  • Перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия
  • Сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия
  • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них
  • Опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

 

Поделиться: