//

Аудит на соответствие требованиям ГОСТ Р 57580

Способом проверки соответствия защиты информации в финансовой организации является оценка соответствия выбора и реализации финансовой организацией организационных и технических мер защиты информации требованиям ГОСТ Р 57580. Согласно этому стандарту, такая оценка должна проводиться независимой организацией, обладающей необходимым уровнем компетенции и имеющей лицензии на деятельность по технической защите конфиденциальной информации.

НТЦ «Вулкан», обладая всеми необходимыми лицензиями и имея в своем составе специалистов требуемой квалификации, выполняет в интересах заказчика работы по аудиту соответствия выбора и реализации организационных и технических мер защиты информации требованиям ГОСТ Р 57580.

Состав работ

  • Обследование объектов финансовой организации.
  • Оценка выбора финансовой организацией организационных и технических мер защиты информации, направленных на непосредственное обеспечение защиты информации (раздел 7 ГОСТ Р 57580.1-2017).
  • Оценка полноты реализации мер, входящих в систему организации и управления защитой информации в финансовой организации (раздел 8 ГОСТ Р 57580.1-2017).
  • Оценка обеспечения защиты информации на этапах жизненного цикла автоматизированных систем и приложений финансовой организации (раздел 9 ГОСТ Р 57580.1-2017).

Оценка производится в соответствии с документом Банка России «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» или разработанной НТЦ «Вулкан» Методикой оценки соответствия применения и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций», соответствующей требованиям Банка России.

Оценка выбора финансовой организацией организационных и технических мер защиты информации, направленных на непосредственное обеспечение защиты информации, проводится для следующих процессов защиты информации, определенных ГОСТ Р 57580:

  • Процесс «Обеспечение защиты информации при управлении доступом»:
    • подпроцесс «управление учетными записями и правами субъектов логического доступа»;
    • подпроцесс «идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;
    • подпроцесс «защита информации при осуществлении физического доступа»;
    • подпроцесс «идентификация, классификация и учет ресурсов и объектов доступа;
  • Процесс «Обеспечение защиты вычислительных сетей»:
    • подпроцесс «сегментация и межсетевое экранирование вычислительных сетей»;
    • подпроцесс «выявление вторжений и сетевых атак»;
    • подпроцесс «защита информации, передаваемой по вычислительным сетям»;
    • подпроцесс «защита беспроводных сетей».
  • Процесс «Контроль целостности и защищенности информационной инфраструктуры».
  • Процесс «Защита от вредоносного кода».
  • Процесс «Предотвращение утечек информации».
  • Процесс «Управление инцидентами защиты информации».
    • подпроцесс «мониторинг и анализ событий защиты информации»;
    • подпроцесс «обнаружение инцидентов и реагирование на них».
  • Процесс «Защита среды виртуализации».
  • Процесс «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».

Оценка полноты реализации мер, входящих в систему организации и управления защитой информации финансовой организации, проводится для каждого из процессов по направлениям:

  • Планирование процесса системы защиты информации.
  • Реализация процесса системы защиты информации.
  • Контроль процесса системы защиты информации.
  • Совершенствование процесса системы защиты информации.

Оценка соответствия защиты информации основывается на свидетельствах, собранных специалистами НТЦ «Вулкан». В качестве основных источников свидетельств используются:

  • Документы и иные материалы финансовой организации в бумажном или электронном виде.
  • Результаты интервьюирования сотрудников финансовой организации.
  • Результаты наблюдений специалистами НТЦ «Вулкан» за процессами системы защиты информации.
  • Параметры конфигураций и настроек автоматизированных систем и средств защиты информации.
  • Данные анализа электронных журналов регистрации технических объектов информатизации и средств защиты информации, фактических настроек, уязвимостей.
  • Результаты тестирования на проникновение.

Все полученные свидетельства и источники их получения документируются установленным порядком.

Преимущества

Получение независимой оценки соответствия организационных и технических мер защиты информации, принимаемых финансовой организацией, требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации» для представления в Банк России.