Оценка соответствия ГОСТ Р 57580
Проведем оценку соответствия и подготовим отчет, соответствующий требованиям регулятора.
Об услуге
ITG Security проводит оценку соответствия ГОСТ Р 57580.1 в соответствии с методикой, утвержденной ГОСТ Р 57580.2.
По итогам оценки вы получаете рекомендации по совершенствованию системы защиты информации и подробный отчет по форме, определяемой ГОСТ P 57580.2.
Кому необходима:
- Кредитные организации (851-П, 821-П, 850-П)
- Некредитные финансовые организации (757-П 779-П)
- Операционные и клиринговые центры (802-П)
- Операторы и участники платежных систем (802-П)
- Операторы и участники платформы цифрового рубля (833-П)
- Юридические лица, намеревающиеся получить статус оператора финансовой платформы (742-П)
Об услуге
ITG Security проводит оценку соответствия ГОСТ Р 57580.1 в соответствии с методикой, утвержденной ГОСТ Р 57580.2.
По итогам оценки вы получаете рекомендации по совершенствованию системы защиты информации и подробный отчет по форме, определяемой ГОСТ P 57580.2.
Кому необходима:
- Кредитные организации (851-П, 821-П, 850-П)
- Некредитные финансовые организации (757-П 779-П)
- Операционные и клиринговые центры (802-П)
- Операторы и участники платежных систем (802-П)
- Операторы и участники платформы цифрового рубля (833-П)
- Юридические лица, намеревающиеся получить статус оператора финансовой платформы (742-П)
Особенности нашей работы
Работаем очно и дистанционно
При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.
Долгосрочное партнёрство
Становимся доверенным партнером по ИБ, а не разовым подрядчиком.
Смежная экспертиза
Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ
Не ограничиваемся отчетом
Помогаем внедрить изменения до результата и перепроверить на соответствие требованиям ГОСТ Р 57580
Работаем очно и дистанционно
При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.
Долгосрочное партнёрство
Становимся доверенным партнером по ИБ, а не разовым подрядчиком.
Смежная экспертиза
Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ
Не ограничиваемся отчетом
Помогаем внедрить изменения до результата и перепроверить на соответствие требованиям ГОСТ Р 57580
Какие процессы проверяем
Управление ключевыми процессами ИБ
Оцениваем системы контроля доступа к ИС, порядок обработки инцидентов безопасности, механизмы управления изменениями и операционными рисками, а также процессы поддержки жизненного цикла ИТ-компонентов.
Защита критической инфраструктуры
Анализируем эффективность защиты от вредоностного ПО, безопасность виртуализированных сред и сетевого периметра организации.
Непрерывность бизнеса и противодействие угрозам
Проверяем готовность к обеспечению операционной устойчивости, уровень информированности персонала о текущих киберрисках и работу систем предотвращения утечек данных (DLP).
Контроль конфиденциальной информации
Оцениваем механизмы обеспечения целостности и защиты чувствительных данных на всех этапах их обработки.
Мониторинг событий безопасности
Проверяем процессы регистрации, анализа и реагирования на инциденты информационной безопасности в режиме реального времени.
Управление ключевыми процессами ИБ
Оцениваем системы контроля доступа к ИС, порядок обработки инцидентов безопасности, механизмы управления изменениями и операционными рисками, а также процессы поддержки жизненного цикла ИТ-компонентов.
Защита критической инфраструктуры
Анализируем эффективность защиты от вредоностного ПО, безопасность виртуализированных сред и сетевого периметра организации.
Непрерывность бизнеса и противодействие угрозам
Проверяем готовность к обеспечению операционной устойчивости, уровень информированности персонала о текущих киберрисках и работу систем предотвращения утечек данных (DLP).
Контроль конфиденциальной информации
Оцениваем механизмы обеспечения целостности и защиты чувствительных данных на всех этапах их обработки.
Мониторинг событий безопасности
Проверяем процессы регистрации, анализа и реагирования на инциденты информационной безопасности в режиме реального времени.
Управление ключевыми процессами ИБ
Оцениваем системы контроля доступа к ИС, порядок обработки инцидентов безопасности, механизмы управления изменениями и операционными рисками, а также процессы поддержки жизненного цикла ИТ-компонентов.
* Проверяются все процессы ГОСТ Р 57580 согласно 7 разделу (выбор меры), 8 разделу (СМИБ) и 9 разделу (управление жизненным циклом).
В итоге вы получите
Анализ рисков информационной безопасности
Выявляем актуальные угрозы, слабые места защиты и потенциальный ущерб для бизнеса.
Количественная оценка соответствия
Предоставляем числовые значения оценки уровня соответствия процессов системы ЗИ, рассчитанные по официальной методологии ГОСТ Р 57580.2.
Отчет, соответствующий требования регулятора
Готовим документ, полностью соответствующий требованиям стандарта ГОСТ Р 57580.2.
Заполненные формы отчетности
Помогаем в подготовке данных для отправки в Банк России согласно актуальным Указаниям № 6406-У, 7124-У, 7119-У
План развития системы защиты
Разрабатываем дорожную карту повышения уровня зрелости процессов ИБ с учетом бизнес-приоритетов и операционной модели компании. План действий по повышению оценки
Анализ рисков информационной безопасности
Выявляем актуальные угрозы, слабые места защиты и потенциальный ущерб для бизнеса.
Количественная оценка соответствия
Предоставляем числовые значения оценки уровня соответствия процессов системы ЗИ, рассчитанные по официальной методологии ГОСТ Р 57580.2.
Отчет, соответствующий требования регулятора
Готовим документ, полностью соответствующий требованиям стандарта ГОСТ Р 57580.2.
Заполненные формы отчетности
Помогаем в подготовке данных для отправки в Банк России согласно актуальным Указаниям № 6406-У, 7124-У, 7119-У
План развития системы защиты
Разрабатываем дорожную карту повышения уровня зрелости процессов ИБ с учетом бизнес-приоритетов и операционной модели компании. План действий по повышению оценки
Этапы проведения оценки
Классическая оценка соответствия
- Предварительный сбор данных. Изучаем бизнес-процессы компании, модель угроз и внутреннюю нормативную базу по ИБ.
- Анализируем корректность и полноту реализации процессов ИБ, проводим интервьюирование персонала для выявления используемых инструментов защиты, исследуем конфигурации компонентов ИТ-инфраструктуры и средств информационной безопасности.
- Анализируем данные, собранные во время активной фазы. Оцениваем, насколько текущее состояние системы защиты соответствует требованиям стандарта ГОСТ Р 57580.1. Разработка детальных рекомендаций.
- Подготавливаем отчет, формируем реестр нарушений. Помогаем в заполнении форм отчетности согласно Указаниям Банка России.
Аудит с предварительной оценкой соответствия
- Предварительный сбор данных. Изучаем бизнес-процессы компании, модель угроз и внутреннюю нормативную базу по ИБ.
- Анализируем корректность и полноту реализации процессов ИБ, выполняем интервьюирование персонала для выявления используемых инструментов защиты, исследуем конфигурации компонентов ИТ-инфраструктуры и средств ИБ.
- Анализируем данные, собранные во время активной фазы. Оцениваем, насколько текущее состояние системы защиты соответствует требованиям ГОСТ Р 57580.1.
- Готовим рекомендации по приведению системы защиты информации в соответствие требованиям ГОСТ Р 57580.1.
- Компания устраняет замечания при нашей консультационной поддержке.
- Проверяем устранение замечаний, рассчитываем итоговый балл и оформляем отчет по ГОСТ Р 57580.2. Осуществляем помощь в заполнении форм отчетности согласно указаниям Банка России.
Нормативная база
ГОСТ Р 57580.1-2017
Определяет базовый набор организационных и технических мер защиты информации для финансовых организаций. Документ выделяет три уровня защиты: минимальный (уровень 3), стандартный (уровень 2) и усиленный (уровень 1), которые применяются в зависимости от критичности защищаемых бизнес-процессов и значимости организации для финансовой системы.
ГОСТ Р 57580.2-2018
Устанавливает требования к методике проведения оценки соответствия системы защиты информации требованиям ГОСТ Р 57580.1. Результаты оформляются в виде отчета с числовыми оценками и детальными свидетельствами проверки.
ГОСТ Р 57580.3-2022
Устанавливает требования к системе управления риском реализации информационных угроз и обеспечению операционной надежности. Регламентирует меры по планированию, реализации, контролю и совершенствованию системы управления риском реализации информационных угроз.
ГОСТ Р 57580.4-2022
Определяет меры обеспечения операционной надежности для трех уровней защиты: минимального (3), стандартного (2) и усиленного (1). Содержит требования к системе организации, к системе обеспечения и управлению операционной надежностью финансовой организации
ГОСТ Р 57580.1-2017
Определяет базовый набор организационных и технических мер защиты информации для финансовых организаций. Документ выделяет три уровня защиты: минимальный (уровень 3), стандартный (уровень 2) и усиленный (уровень 1), которые применяются в зависимости от критичности защищаемых бизнес-процессов и значимости организации для финансовой системы.
ГОСТ Р 57580.2-2018
Устанавливает требования к методике проведения оценки соответствия системы защиты информации требованиям ГОСТ Р 57580.1. Результаты оформляются в виде отчета с числовыми оценками и детальными свидетельствами проверки.
ГОСТ Р 57580.3-2022
Устанавливает требования к системе управления риском реализации информационных угроз и обеспечению операционной надежности. Регламентирует меры по планированию, реализации, контролю и совершенствованию системы управления риском реализации информационных угроз.
ГОСТ Р 57580.4-2022
Определяет меры обеспечения операционной надежности для трех уровней защиты: минимального (3), стандартного (2) и усиленного (1). Содержит требования к системе организации, к системе обеспечения и управлению операционной надежностью финансовой организации
ГОСТ Р 57580.1-2017
Определяет базовый набор организационных и технических мер защиты информации для финансовых организаций. Документ выделяет три уровня защиты: минимальный (уровень 3), стандартный (уровень 2) и усиленный (уровень 1), которые применяются в зависимости от критичности защищаемых бизнес-процессов и значимости организации для финансовой системы.
ITG Security - это
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений
Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений
Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Лицензии
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.
Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.
Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.
Нам доверяют
Часто задаваемые вопросы
Можно ли провести самооценку по ГОСТ 57580?
Полная самооценка невозможна. Согласно требованиям ГОСТ 57580 оценка соответствия ЗИ - это процесс оценки выбора и реализации финансовой организацией организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1, выполняемой проверяющей организацией, обладающей необходимым уровнем компетенции и имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Самооценка может быть проведена только по упрощенным методикам для понимания текущего состояния информационной безопасности, но уровень соответствия устанавливается исключительно внешней оценкой.
Сколько времени занимает оценка?
При обычной оценке соответствия весь процесс занимает от 10 до 30 дней: 2-10 дней на выездное обследование и до 20 дней на подготовку отчета. При оценке с предварительным аудитом срок увеличивается, так как добавляется этап устранения несоответствий и повторной проверки.
Как часто нужно проходить оценку соответствия?
Периодичность проведения оценки зависит от уровня защиты и вида финансовой организации. Периодичность проведения оценки установлена в Положениях Банка России 851-П, 821-П, 802-П, 757-П, 833-П, 779-П и приказом Минцифры России №453.
Что входит в итоговый отчет по результатам оценки?
Отчет по форме ГОСТ Р 57580.2 включает область оценки, результаты оценки и заключение, а также копии предоставленных свидетельств с кратким описанием проведенных работ.
Какие документы необходимы для проведения оценки?
Однозначного перечня документов не существует, так как организации могут использовать разные иерархии внутренней документации. Обязательно потребуются документы, регламентирующие: управление доступом, сетевую безопасность, контроль целостности, защиту от вредоносного кода, защиту от утечек, управление инцидентами, защиту средств виртуализации и мобильных устройств . По каждому процессу необходимо раскрыть направления планирования, реализации, контроля и совершенствования системы ИБ.
Какой уровень защиты применяется к организации?
Уровень защиты определяется не самим ГОСТом, а конкретными нормативными документами регулятора — положениями Банка России 851-П, 821-П, 802-П, 757-П, 833-П и приказом Минцифры России №453. Финансовая организация может иметь несколько контуров безопасности с разными уровнями защиты в зависимости от вида деятельности, объема операций и значимости для финансовой системы. Для большинства банков и некредитных финансовых организаций установлен стандартный уровень защиты.
Кто может проводить оценку соответствия по ГОСТ 57580?
Оценку соответствия проводит сторонняя организация, обладающая необходимым уровнем компетенции и имеющая лицензию на деятельность по технической защите конфиденциальной информации.
Что такое компенсирующие меры?
При невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации базового состава мер могут использоваться компенсирующие меры. Задача таких мер — обеспечить эквивалентный уровень безопасности данных альтернативными способами. Решение о принятии компенсирующих мер принимается в процессе взаимодействия проверяющей и проверяемой организаций.
Какого минимальный уровень соответствия?
Числовые оценки соответствия ЗИ, превышающие числовое значение 0,85, соответствуют уровню, рекомендуемому Банком России.
