Оценка соответствия 742‑П
Поможем получить статус финансовой платформы.
Приведем бизнес-процессы и ИТ-инфраструктуру в соответствие с 742-П.
Об услуге
ITG Security проводит оценку соответствия требованиями Положения Банка России № 742-П. В ходе оценки проверим вашу ИТ-инфраструктуру, процессы информационной безопасности и используемые средства защиты.
По итогам оценки вы получаете рекомендации по совершенствованию системы защиты информации и отчет по форме регулятора.
Кому необходима:
Компаниям, которые хотят получить статус оператора финансовой платформы.
Об услуге
ITG Security проводит оценку соответствия требованиями Положения Банка России № 742-П. В ходе оценки проверим вашу ИТ-инфраструктуру, процессы информационной безопасности и используемые средства защиты.
По итогам оценки вы получаете рекомендации по совершенствованию системы защиты информации и отчет по форме регулятора.
Кому необходима:
Компаниям, которые хотят получить статус оператора финансовой платформы.
Особенности нашей работы
Работаем очно и дистанционно
При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.
Долгосрочное партнёрство
Становимся доверенным партнером по ИБ, а не разовым подрядчиком.
Смежная экспертиза
Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ
Не ограничиваемся отчетом
Помогаем внедрить изменения до результата и перепроверить на соответствие требованиям 742-П и ГОСТ Р 57580
Работаем очно и дистанционно
При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.
Долгосрочное партнёрство
Становимся доверенным партнером по ИБ, а не разовым подрядчиком.
Смежная экспертиза
Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ
Не ограничиваемся отчетом
Помогаем внедрить изменения до результата и перепроверить на соответствие требованиям 742-П и ГОСТ Р 57580
Какие процессы проверяем
Управление ключевыми процессами ИБ
Оцениваем системы контроля доступа к ИС, порядок обработки инцидентов безопасности, механизмы управления изменениями и операционными рисками, а также процессы поддержки жизненного цикла ИТ-компонентов.
Защита критической инфраструктуры
Анализируем эффективность защиты от вредоностного ПО, безопасность виртуализированных сред и сетевого периметра организации.
Непрерывность бизнеса и противодействие угрозам
Проверяем готовность к обеспечению операционной устойчивости, уровень информированности персонала о текущих киберрисках и работу систем предотвращения утечек данных (DLP).
Контроль конфиденциальной информации
Оцениваем механизмы обеспечения целостности и защиты чувствительных данных на всех этапах их обработки.
Мониторинг событий безопасности
Проверяем процессы регистрации, анализа и реагирования на инциденты информационной безопасности в режиме реального времени.
Управление ключевыми процессами ИБ
Оцениваем системы контроля доступа к ИС, порядок обработки инцидентов безопасности, механизмы управления изменениями и операционными рисками, а также процессы поддержки жизненного цикла ИТ-компонентов.
Защита критической инфраструктуры
Анализируем эффективность защиты от вредоностного ПО, безопасность виртуализированных сред и сетевого периметра организации.
Непрерывность бизнеса и противодействие угрозам
Проверяем готовность к обеспечению операционной устойчивости, уровень информированности персонала о текущих киберрисках и работу систем предотвращения утечек данных (DLP).
Контроль конфиденциальной информации
Оцениваем механизмы обеспечения целостности и защиты чувствительных данных на всех этапах их обработки.
Мониторинг событий безопасности
Проверяем процессы регистрации, анализа и реагирования на инциденты информационной безопасности в режиме реального времени.
Управление ключевыми процессами ИБ
Оцениваем системы контроля доступа к ИС, порядок обработки инцидентов безопасности, механизмы управления изменениями и операционными рисками, а также процессы поддержки жизненного цикла ИТ-компонентов.
В итоге вы получите
Рекомендации по устранению нарушений
Формируем приоритетный план устранения выявленных нарушений. Консультируем по выбору средств защиты.
Помощь с отчетностью
Помогаем в заполнении отчетности по форме №0409071 для предоставления в Банк России.
Детализированный отчет о состоянии ИБ
Полный анализ вашей ИТ-инфраструктуры и процессов ИБ, составленный по требованиям 742‑П.
Консультационная поддержка
Сопровождение в процессе оказания услуги и после завершения аудита.
Рекомендации по устранению нарушений
Формируем приоритетный план устранения выявленных нарушений. Консультируем по выбору средств защиты.
Помощь с отчетностью
Помогаем в заполнении отчетности по форме №0409071 для предоставления в Банк России.
Детализированный отчет о состоянии ИБ
Полный анализ вашей ИТ-инфраструктуры и процессов ИБ, составленный по требованиям 742‑П.
Консультационная поддержка
Сопровождение в процессе оказания услуги и после завершения аудита.
Этапы проведения аудита
Классическая оценка соответствия
- Предварительный анализ. Предварительный сбор данных. Изучаем бизнес-процессы компании, модель угроз и внутреннюю нормативную базу по ИБ.
- Активная фаза. Анализируем корректность и полноту реализации процессов ИБ, проводим интервьюирование персонала для выявления используемых инструментов защиты, исследуем конфигурации компонентов ИТ-инфраструктуры и средств информационной безопасности.
- Аналитика и разработка. Анализируем данные, собранные во время активной фазы. Оцениваем, насколько текущее состояние системы защиты соответствует требованиям 742‑П. Разработка детальных рекомендаций.
- Формирование отчета и помощь с отчетностью. Подготавливаем отчет, формируем реестр нарушений. Помогаем в заполнении форм отчетности согласно Указаниям Банка России.
Оценка с предаудитом
- Предварительный анализ. Предварительный сбор данных. Изучаем бизнес-процессы компании, модель угроз и внутреннюю нормативную базу по ИБ.
- Активная фаза. Анализируем корректность и полноту реализации процессов ИБ, проводим интервьюирование персонала для выявления используемых инструментов защиты, исследуем конфигурации компонентов ИТ-инфраструктуры и средств информационной безопасности.
- Аналитика и разработка. Анализируем данные, собранные во время активной фазы. Оцениваем, насколько текущее состояние системы защиты соответствует требованиям стандарта 742‑П.
- Рекомендации. Подготавливаем рекомендации по приведению системы защиты информации в соответствие требованиям 742‑П.
- Пауза. Компания устраняет замечания при нашей консультационной поддержке.
- Финальная оценка. Проверяем устранение замечаний, рассчитываем итоговый балл и оформляем отчет по требованиям 742‑П. Осуществляем помощь в заполнении форм отчетности согласно указаниям Банка России.
ITG Security - это
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений
Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений
Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Лицензии
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.
Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.
Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.
Нам доверяют
Часто задаваемые вопросы
Что проверяется во время аудита?
Проверяются автоматизированные системы, конфигурация серверов и оборудования, средства защиты информации. Оцениваются процессы обработки платежей и внутренняя нормативная документация по информационной безопасности и соблюдение организационных мер защиты.
Какие документы я получу по итогам оценки?
Вы получите отчет о состоянии ИТ-инфраструктуры по форме п. 8 ГОСТ Р 57580.2-2018, расчет итогового показателя соответствия (R), рекомендации по устранению несоответствий, помощь в заполнении отчетности по форме № 0409071.
Можно ли провести оценку самостоятельно?
Самостоятельная оценка возможна, но для этого потребуется наличие в штате специалистов, обладающих необходимым уровнем компетенции по информационной безопасности, глубокое знание нормативно-правовых актов и опыт подготовки отчетов по форме регулятора. Ошибки в отчете могут привести к отказу ЦБ во включении в реестр ОФП. Тем не мнение финальный отчет об оценки должен быть выполнен компанией - лицензиатом ФСТЭК РФ.
Кому обязательно нужна эта оценка?
Оценка обязательна для всех юридических лиц (в форме акционерного общества), которые планируют получить статус оператора финансовой платформы и войти в реестр Банка России. Без отчета о соответствии требованиям 742-П регулятор отклонит заявку на включение в реестр ОФП.
Какой уровень защиты информации нужно обеспечить?
Необходимый уровень защиты информации определяется организацией самостоятельно, но не ниже минимального уровня.
Сколько времени занимает оценка?
При обычной оценке соответствия весь процесс занимает от 10 до 30 дней: 2-10 дней на выездное обследование и до 20 дней на подготовку отчета. При оценке с предварительным аудитом срок увеличивается, так как добавляется этап устранения несоответствий и повторной проверки.
В чем разница между обычной оценкой и оценкой с предаудитом?
Обычная оценка подходит компаниям с уже готовой системой ИБ. Проводится одна проверка и сразу готовится итоговый отчет.
Оценка с предаудитом включает предварительную проверку, список рекомендаций по улучшению, время на доработку несоответствий и финальную проверку с подготовкой отчета для Банка России.
Что такое показатель R?
Это итоговый показатель уровня оценки соответствия, который рассчитывается на основе проверки выполнения всех требований ГОСТ Р 57580 и включается в отчет для Банка России.
Нужно ли присутствие аудиторов на территории компании?
Да, проводится выездное обследование продолжительностью от 2 до 10 дней. Во время визита аудиторы проводят интервью с сотрудниками, проверяют настройки систем, изучают документацию и собирают свидетельства для оценки.
Что если по результатам проверки выявлены несоответствия?
При обычной оценке вы получите устные рекомендации и итоговый отчет с текущим уровнем соответствия. При оценке с предаудитом вам предоставят подробный список несоответствий, рекомендации по их устранению, время на доработку, а после — проведут финальную проверку и подготовят отчет.
Сколько действует отчет об оценке соответствия?
Отчет готовится для однократной подачи в Банк России при получении статуса ОФП. После включения в реестр оператор обязан постоянно поддерживать требуемый уровень защиты информации согласно требованиям регулятора.
