Проведение аудита системы защиты информации по ГОСТ Р 57580 осуществляется в соответствии с методикой, которая изложена в стандарте ГОСТ Р 57580.2-2018.
На территории РФ ГОСТы, по умолчанию, являются рекомендательными. Тем не менее, обязательность их применения определятся законом, подзаконным актом или ведомственным документом регулирующего органа. В нашем случае регулятором является Банк России.
Регулятор выпустил документы 382-П, 684-П, 683-П, которые прошли Минюст, и именно в документах содержатся прямые ссылки на ГОСТ. Соответственно, де-факто ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 стали обязательными. Кроме того, применительно к единой биометрической системе имется 321 приказ Минкомсвязи, который также содержит ссылки на ГОСТ.
Для проведения оценки соответствия по ГОСТ 57580 необходимо привлекать стороннюю организацию, имеющую лицензию на техническую защиту конфиденциальной информации, причем данная организация должна соответствовать определению проверяющей организации (по ГОСТу):
3.2 проверяющая организация: Организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ).
Таким образом, аудитор, проводящий оценку не должен в момент проведения оценки оказывать услуги по защите информации, внедрять или сопровождать какие-либо системы по защите информации в проверяемой организации.
Ключевые положения ГОСТ 57580
Любая финансовая организация имеет определенные риски во время проведения денежных операций. Злоумышленники способны завладеть конфиденциальными данными, что может привести не только к подрыву репутации организации, но и нарушить стабильное функционирование банка. Основные задачи проведения оценки по ГОСТ 57580 заключаются в том, чтобы минимизировать финансовые риски.
В соответствии с настоящим стандартом определяется 3 уровня защищенности:
- минимальный;
- стандартный;
- усиленный.
Применение того или иного уровня определятся ведомственными документами ЦБ. Основные требования защиты информации устанавливаются на основе оценивания следующих критериев: деятельность финансовой организации, объем финансовых операций, национальная платежная система и размер компании.
Для большинства банков и некредитных финансовых организаций определен - стандартный уровень защищенности.
Цена оценки приведения в соответствие ГОСТ 57580 также напрямую связана с указанными параметрами.
Как осуществляется процесс проведения оценки соответствия?
Процесс оценки достаточно объемный и трудоемкий. Ключевые особенности в ходе аудита выглядят следующим образом.
- Взаимодействие с заказчиком
- Оценка применения и полноты реализации мер
- Согласование итоговой оценки с заказчиком
Основные свидетельства, которые используются для оценивания состояния системы защиты информации – это документы, результаты наблюдений и данные, предоставляемые в ходе взаимодействия с организацией.
В случае, когда невозможно обеспечить техническую реализацию требования по защите информации, могут приниматься компенсирующие меры. Задача заключается в том, чтобы обеспечить безопасность данных.
Оформление отчета по результатам аудита по ГОСТ Р 57580
В соответствии с установленным стандартом, в отчет входит следующая информация:
- Область оценки
- Результаты и заключение оценки
- Копии предоставленных свидетельств
Помимо этого, в отчете указывается краткое описание проведенных работ.
Требования
В стандарте ГОСТ Р 57580 говорится о том, что должна осуществляться полноценная защита информации в направлениях:
- обеспечения защиты при управлении доступом;
- обеспечения защиты вычислительных сетей;
- контроля целостности и защищенности информационной инфраструктуры;
- защиты от вредоносного кода;
- предотвращения утечек информации;
- управления инцидентами;
- защиты среды виртуализации;
- защиты при удаленном доступе с использованием мобильных устройств.
Применительно к оценке единой биометрической системы по ГОСТу 57580 исключаются направления по мобильным устройствам (ибо существующие решения не обладают соответствующим функционалом).
Под объектом информатизации финансовой компании понимается совокупность ресурсов и объектов доступа, систем и средств обработки данных, включая АС. Описывать границы оценивания необходимо в виде списка ресурсов и объектов доступа. В соответствии с требованиями, к объектам относятся.
- Автоматизированные рабочие места;
- Сетевые устройства;
- СКУД;
- Аппаратные модули безопасности;
- Серверные устройства;
- Оборудование печати и копирования данных;
- Системы хранения данных;
- Общедоступные объекты (банкоматы, платежные терминалы).
Под ресурсами принято понимать:
- Базы данных;
- Сетевые ресурсы;
- Виртуальные машины;
- АС;
- Почтовые сервисы;
- Web-сервисы;
- Ресурсы доступа к данным.
Финансовая компания во время аудита должна предоставить полноценную информацию проверяющей стороне.
Это одно из нововведений, т.к. в оценках по старым критериям, таким как СТО БР ИББС или 382-П такого положения не было. И в результате нельзя было однозначно установить был ли факт обмана со стороны аудитора или это проверяемая организация дала "неправильные" свидетельства.
Важно, что компания-аудитор самостоятельно принимает решение по поводу проверки объектов и ресурсов, выборки среди них необходимых для проведения аудита.
Особое внимание в процессе проведения выборки уделяется качеству имеющейся информации. Если проверяемая сторона предоставила неточные сведения, то это негативно отразится на проверке, что может дискредитировать всю оценку.
Заказать оценку соответствия ГОСТ Р 57580 вы можете прямо сейчас. Все что от вас требуется – это позвонить по указанному номеру телефона или отправить сообщение в форме обратной связи.
Автор статьи: Царев Евгений