3.2 проверяющая организация: Организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ).Таким образом, аудитор, проводящий оценку не должен в момент проведения оценки оказывать услуги по защите информации, внедрять или сопровождать какие-либо системы по защите информации в проверяемой организации.
Ключевые положения ГОСТ 57580
Любая финансовая организация имеет определенные риски во время проведения денежных операций. Злоумышленники способны завладеть конфиденциальными данными, что может привести не только к подрыву репутации организации, но и нарушить стабильное функционирование банка. Основные задачи проведения оценки по ГОСТ 57580 заключаются в том, чтобы минимизировать финансовые риски. В соответствии с настоящим стандартом определяется 3 уровня защищенности:- минимальный;
- стандартный;
- усиленный.
Для большинства банков и некредитных финансовых организаций определен - стандартный уровень защищенности.Цена оценки приведения в соответствие ГОСТ 57580 также напрямую связана с указанными параметрами.
Как осуществляется процесс проведения оценки соответствия?
Процесс оценки достаточно объемный и трудоемкий. Ключевые особенности в ходе аудита выглядят следующим образом.- Взаимодействие с заказчиком
- Оценка применения и полноты реализации мер
- Согласование итоговой оценки с заказчиком
Оформление отчета по результатам аудита по ГОСТ Р 57580
В соответствии с установленным стандартом, в отчет входит следующая информация:- Область оценки
- Результаты и заключение оценки
- Копии предоставленных свидетельств
Требования
В стандарте ГОСТ Р 57580 говорится о том, что должна осуществляться полноценная защита информации в направлениях:- обеспечения защиты при управлении доступом;
- обеспечения защиты вычислительных сетей;
- контроля целостности и защищенности информационной инфраструктуры;
- защиты от вредоносного кода;
- предотвращения утечек информации;
- управления инцидентами;
- защиты среды виртуализации;
- защиты при удаленном доступе с использованием мобильных устройств.
Применительно к оценке единой биометрической системы по ГОСТу 57580 исключаются направления по мобильным устройствам (ибо существующие решения не обладают соответствующим функционалом).Под объектом информатизации финансовой компании понимается совокупность ресурсов и объектов доступа, систем и средств обработки данных, включая АС. Описывать границы оценивания необходимо в виде списка ресурсов и объектов доступа. В соответствии с требованиями, к объектам относятся.
- Автоматизированные рабочие места;
- Сетевые устройства;
- СКУД;
- Аппаратные модули безопасности;
- Серверные устройства;
- Оборудование печати и копирования данных;
- Системы хранения данных;
- Общедоступные объекты (банкоматы, платежные терминалы).
- Базы данных;
- Сетевые ресурсы;
- Виртуальные машины;
- АС;
- Почтовые сервисы;
- Web-сервисы;
- Ресурсы доступа к данным.
Финансовая компания во время аудита должна предоставить полноценную информацию проверяющей стороне.Это одно из нововведений, т.к. в оценках по старым критериям, таким как СТО БР ИББС или 382-П такого положения не было. И в результате нельзя было однозначно установить был ли факт обмана со стороны аудитора или это проверяемая организация дала "неправильные" свидетельства.
Важно, что компания-аудитор самостоятельно принимает решение по поводу проверки объектов и ресурсов, выборки среди них необходимых для проведения аудита.Особое внимание в процессе проведения выборки уделяется качеству имеющейся информации. Если проверяемая сторона предоставила неточные сведения, то это негативно отразится на проверке, что может дискредитировать всю оценку. Заказать оценку соответствия ГОСТ Р 57580 вы можете прямо сейчас. Все что от вас требуется – это позвонить по указанному номеру телефона или отправить сообщение в форме обратной связи.
Автор статьи: Царев Евгений