Оценка соответствия защиты информации – процесс оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1, выполняемой проверяющей организацией.

Зачем проводится оценка соответствия требованиям ГОСТ Р 57580.1?

Оценка соответствия проводится для:

• определения текущего состояния информационной безопасности организации;

• определения соответствия требуемому уровню защиты информации;

• выполнения требований регулятора;

• формирования отчетности для Банка России.

В настоящее время обязательность выполнение требований стандарта ГОСТ Р 57580.1 установлена:

• Приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 10 сентября 2021 года № 930 (ЕБС);

• Положением Банка России № 683-П;

• Положением Банка России № 719-П.

• Положением Банка России № 802-П;

• Положением Банка России № 757-П;

Для проведения оценки соответствия требованиям стандарта должна привлекаться компания-аудитор с лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.

• кредитные организации;

• операционные центры;

• платежные клиринговые центры;

• операторов услуг информационного обмена;

• банковских платежных агентов (субагентов);

• операторов услуг платежной инфраструктуры;

• поставщиков платежных приложений;

• операторов платежной системы;

• некредитные финансовые организации:

• специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;

• клиринговые организации;

• организаторы торговли;

• страховые организации;

• негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;

• негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению;

• репозитарии;

• брокеры;

• дилеры;

• депозитарии;

• регистраторы;

• управляющие компании.

Этапы работ

Подготовительный этап

• запрос и анализ первичных документов;

• определение неоцениваемых мер защиты информации;

• определение необходимых свидетельств.

Работа на объекте

• документальная проверка;

• опрос уполномоченных сотрудников;

• наблюдение за практической реализацией деятельности.

Оформление результатов работ

• составление отчета о результатах работ по оценке соответствия;

• разработка рекомендаций.

Результаты оказания услуги

Основным результатом оценки соответствия (аудита ИБ) является отчет, требования к содержанию которого установлены ГОСТ Р 57580.2. Отчет включает в себя описание целей и этапов проведения аудита, определение области оценки соответствия ЗИ, используемых методов получения свидетельств, оценки выполнения мер защиты информации, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС, а также рекомендации по совершенствованию деятельности в области обеспечения ИБ, направленные на достижение требуемого уровня защиты информации.

Дополнительные услуги

актуализация и разработка внутренних документов в области обеспечения защиты информации;

оценка соответствия требованиям Положения Банка России № 683-П;

оценка соответствия требованиям Положения Банка России № 719-П.

оценка соответствия требованиям Положения Банка России № 802-П;

оценка соответствия требованиям Положения Банка России № 757-П;