Способом проверки соответствия защиты информации в финансовой организации является оценка соответствия выбора и реализации финансовой организацией организационных и технических мер защиты информации требованиям ГОСТ Р 57580. Согласно этому стандарту, такая оценка должна проводиться независимой организацией, обладающей необходимым уровнем компетенции и имеющей лицензии на деятельность по технической защите конфиденциальной информации.
НТЦ «Вулкан», обладая всеми необходимыми лицензиями и имея в своем составе специалистов требуемой квалификации, выполняет в интересах заказчика работы по аудиту соответствия выбора и реализации организационных и технических мер защиты информации требованиям ГОСТ Р 57580.
Состав работ
- Обследование объектов финансовой организации.
- Оценка выбора финансовой организацией организационных и технических мер защиты информации, направленных на непосредственное обеспечение защиты информации (раздел 7 ГОСТ Р 57580.1-2017).
- Оценка полноты реализации мер, входящих в систему организации и управления защитой информации в финансовой организации (раздел 8 ГОСТ Р 57580.1-2017).
- Оценка обеспечения защиты информации на этапах жизненного цикла автоматизированных систем и приложений финансовой организации (раздел 9 ГОСТ Р 57580.1-2017).
Оценка производится в соответствии с документом Банка России «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» или разработанной НТЦ «Вулкан» Методикой оценки соответствия применения и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций», соответствующей требованиям Банка России.
Оценка выбора финансовой организацией организационных и технических мер защиты информации, направленных на непосредственное обеспечение защиты информации, проводится для следующих процессов защиты информации, определенных ГОСТ Р 57580:
- Процесс «Обеспечение защиты информации при управлении доступом»:
- подпроцесс «управление учетными записями и правами субъектов логического доступа»;
- подпроцесс «идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;
- подпроцесс «защита информации при осуществлении физического доступа»;
- подпроцесс «идентификация, классификация и учет ресурсов и объектов доступа;
- Процесс «Обеспечение защиты вычислительных сетей»:
- подпроцесс «сегментация и межсетевое экранирование вычислительных сетей»;
- подпроцесс «выявление вторжений и сетевых атак»;
- подпроцесс «защита информации, передаваемой по вычислительным сетям»;
- подпроцесс «защита беспроводных сетей».
- Процесс «Контроль целостности и защищенности информационной инфраструктуры».
- Процесс «Защита от вредоносного кода».
- Процесс «Предотвращение утечек информации».
- Процесс «Управление инцидентами защиты информации».
- подпроцесс «мониторинг и анализ событий защиты информации»;
- подпроцесс «обнаружение инцидентов и реагирование на них».
- Процесс «Защита среды виртуализации».
- Процесс «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».
Оценка полноты реализации мер, входящих в систему организации и управления защитой информации финансовой организации, проводится для каждого из процессов по направлениям:
- Планирование процесса системы защиты информации.
- Реализация процесса системы защиты информации.
- Контроль процесса системы защиты информации.
- Совершенствование процесса системы защиты информации.
Оценка соответствия защиты информации основывается на свидетельствах, собранных специалистами НТЦ «Вулкан». В качестве основных источников свидетельств используются:
- Документы и иные материалы финансовой организации в бумажном или электронном виде.
- Результаты интервьюирования сотрудников финансовой организации.
- Результаты наблюдений специалистами НТЦ «Вулкан» за процессами системы защиты информации.
- Параметры конфигураций и настроек автоматизированных систем и средств защиты информации.
- Данные анализа электронных журналов регистрации технических объектов информатизации и средств защиты информации, фактических настроек, уязвимостей.
- Результаты тестирования на проникновение.
Все полученные свидетельства и источники их получения документируются установленным порядком.
Преимущества
Получение независимой оценки соответствия организационных и технических мер защиты информации, принимаемых финансовой организацией, требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации» для представления в Банк России.