Оценка соответствия требованиям безопасности информации

что
Проверка того, что требования ГОСТ 57 580.1−2017 выполнены в требуемом объеме
Проведение оценки соответствия
для кого
Для всех, кто хочет быть уверенным в соответствии требованиям. Положений Банка России и ГОСТ 57580.1
Актуально для компаний финансового сектора: кредитных организаций;
некредитных финансовых организаций
01
Проведение оценки соответствия
01
Что делаем?
ПОДГОТОВКА К ПРОЦЕДУРЕ ОЦЕНКИ СООТВЕТСВИЯ
Собираем исходные данные об информационных системах и средствах защиты информации
02
Проводим проверку комплекса технических и организационных мер в соответствии на соответствие требованиям Банка России
03
Формирование заключение по результатам проверок
04
Формируем перечень несоответствий и план их устранения
05
Корректируем организационно-распорядительные документы по ИБ в соответствии с требованиями Положений Банка Росси и ГОСТ 57580.1
06
Сопровождаем процесс устранения несоответствий в системе защиты информации
02
Проведение оценки соответствия
01
ОЦЕНКА СООТВЕТСВИЯ
Собираем исходные данные об информационных системах и средствах защиты информации (проводим интервью, визуальное наблюдение на объектах, собираем скриншоты настроек ОС, ПО и средств защиты, собираем ОРД по ИБ, и проектную документацию на ИС, и систему защиты)
02
Систематизируем свидетельства, полученные в ходе проведения оценки соответствия (архив предоставляется вместе с отчетом)
03
Проводим проверку комплекса технических и организационных мер в соответствии на соответствие требованиям ГОСТ 57580.1-2017
04
Проводим оценивание предпринятых мер в соответствии с ГОСТ 57580.1-2017, ГОСТ 57580.2-2018
05
Формируем итоговую оценку
06
Формируем перечень рекомендаций по совершенствованию системы защиты
По каким требованиям?
Положений Банка России, в том числе ГОСТ 57580.х:
Положение ЦБ РФ №683-П
Положение ЦБ РФ №716-П
Положение ЦБ РФ №719-П
Положение ЦБ РФ №742-П
Положение ЦБ РФ №747-П
Положение ЦБ РФ № 757-П
Положение ЦБ РФ №779-П И 787-П
Положение ЦБ РФ №802-П
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.2-2018
ГОСТ Р 57580.3-2022
Некредитные финансовые организации реализующие стандартный и усиленный уровень ЗИ обязаны проходить оценку соответствия определенного ими уровня защиты информации с привлечением компании-лицензиата ФСТЭК (п. 1.5. и 1.5.1. 757-П): 1 раз в год для усиленного уровня ЗИ и 1 раз в 3 года для стандартного уровня ЗИ.
Кредитные финансовые организации должны проводить оценку соответствия не реже одного раза в два года (п. 20 Положения 802-П).
ГОСТ Р 57580.4-2022
01
Что получаем в итоге?
ПОДГОТОВКА К ПРОЦЕДУРЕ ОЦЕНКИ СООТВЕТСВИЯ
— Отчет о предварительной оценке соответствия требованиям ГОСТ Р 57580.1 – 2017
— Перечень замечаний и рекомендаций по их устранению к комплексу организационных и технических мер защиты
— Рекомендации по повышению уровня защищенности и общей оценки
— Комплект ОРД по ИБ, скорректированный с учетом выявленных недостатков (опционально)
02
ОЦЕНКА СООТВЕТСВИЯ
— Общие сведения о проверяющей организации, о проверяемой организации;
— Цель оценки соответствия и сроки проведения оценки соответствия;
— Описание комплекса организационных и технических мер защиты
— Распределение оценок в соответствии с требований ГОСТ Р 57580.1 – 2017, ГОСТ Р 57580.2 – 2018
— Рекомендации по совершенствованию системы защиты информации;
— Архив свидетельств, подтверждающий установленные оценки
По результатам выполненных работ будут подготовлены следующие отчётные материалы:
Отчёт об оценке соответствия требованиям ГОСТ Р 57580.2 – 2018 , включающий: