Банковские системы – SoftMall Банковские системы – SoftMall
Главная
Услуги и решения
Консалтинг
Оценка соответствия требованиям законодательства
Банковские системы

Банковские системы

Комплексная независимая оценка системы защиты информации в финансовой организации на предмет ее соответствия национальному стандарту ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

 

СОСТАВ УСЛУГИ И ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ

Этап 1:  Подготовительный этап (Предварительный анализ)
  • Определение области аудита.
    Совместно с заказчиком определяется перечень информационных систем, приложений, бизнес-процессов и объектов инфраструктуры, а также контуров безопасности, которые обрабатывают защищаемую информацию и подпадают под требования ГОСТ Р 57580.1.
  • Сбор и анализ исходных данных.
    Аудитор запрашивает у организации внутренние нормативные документы (политики, регламенты, инструкции), сведения об информационных системах, перечень используемых средств защиты информации (СЗИ), подтверждения реализации технических мер, а также проектную и эксплуатационную документацию при наличии.
  • Разработка и согласование плана-графика аудита.
    Составляется детальный план проведения работ с указанием сроков, методов проверки и ответственных лиц со стороны заказчика и аудитора.

Этап 2:  Основной этап (Проведение аудиторской проверки)

На этом этапе аудиторы проводят всестороннюю оценку соответствия требованиям стандарта, который содержит более 400 организационных и технических мер, сгруппированных по 8 ключевым процессам ИБ:

  • Анализ документации.
  • Интервьюирование персонала.
  • Технический аудит.
  • Проверка по 8 процессам ИБ.
  • Проверка требований к защите на этапах жизненного цикла.
  • Проверка полноты и качества реализации системы защиты.

Этап 3:  Заключительный этап (Подготовка отчетности)

  • Расчет оценки соответствия.
    На основе собранных свидетельств (документов, настроек, записей интервью) в соответствии с методикой ГОСТ Р 57580.2-2018 производится расчет итогового показателя уровня соответствия. Он представляет собой числовое значение от 0 до 1, где, например, для стандартного уровня защиты достаточным уровнем соответствия считается значение не ниже 0,85.
  • Формирование отчета.
    Разрабатывается итоговый отчет, содержащий:
    • Оценку соответствия по каждому требованию и процессу.
    • Общий показатель соответствия.
    • Подробный перечень выявленных несоответствий.
    • Рекомендации по устранению несоответствий и повышению уровня защищенности.

 

ДЛЯ ЧЕГО

Основная цель применения услуги — подтверждение выполнения требований регулятора и обеспечение непрерывности и безопасности критически важных финансовых операций.

  • Получение независимого заключения об уровне соответствия требованиям ГОСТ Р 57580.1, является обязательным для финансовых организаций в соответствии с рядом положений ЦБ РФ, таких как № 820-П, № 683-П, № 757-П, № 821-П и др.
  • Выявление с помощью аудита слабых мест в системе защиты до того, как ими воспользуются злоумышленники, снижая риск реализации кибератак и, как следствие, риск финансовых потерь, ущерба репутации и санкций со стороны регулятора
  • Подтверждение высокого уровня защищенности является конкурентным преимуществом, повышая доверие клиентов к безопасности их средств и данных
  • По итогам аудита организация получает детальный план действий по улучшению процессов управления ИБ, что позволяет постоянно повышать ее зрелость и адаптироваться к новым угрозам

   

ДЛЯ КОГО

  • Кредитные организации (банки): Все банки, осуществляющие переводы денежных средств, обязаны обеспечивать защиту информации в соответствии с ГОСТ Р 57580.1 и регулярно проходить оценку соответствия
  • Некредитные финансовые организации (НФО): К ним относятся страховые компании, негосударственные пенсионные фонды (НПФ), микрофинансовые организации (МФО), профессиональные участники рынка ценных бумаг и другие организации, поднадзорные Банку России
  • Субъекты национальной платежной системы: Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры и другие участники, вовлеченные в обработку платежной информации
  • ИТ-компании и поставщики услуг для финансового сектора: Компании, предоставляющие облачные сервисы, услуги ЦОД, разрабатывающие ПО или оказывающие иные ИТ-услуги для финансовых организаций. Банк России требует от финансовых организаций предъявлять своим поставщикам требования о соответствии ГОСТ 57580.1


Вернуться к услугам Обсудить проект