Оценка соответствия требованиям ГОСТ Р 57580.1/.2

С 1 января 2018 года введён в действие национальный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», разработанный по планам Центрального банка Российской Федерации.

В настоящее время обязательность выполнение его требований для финансовых организаций установлена Приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 (ЕБС), а также проектами ряда нормативных актов Банка России, планируемых к принятию в 2019-2020 гг.

Работы по оценке соответствия информационной безопасности требованиям национального стандарта ГОСТ Р 57580.1-2017 проводятся в соответствии с требованиями национального стандарта ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Область оценки соответствия информационной безопасности Банка требованиям национального стандарта ГОСТ Р 57580.1 определяется нормативными актами Банка России и подлежит согласованию на объектах заказчика. Например, областью оценки может являтся:

  • область действия Положения Банка России № 382-П, а объектами оценки объекты информатизации, задействованные в осуществлении переводов денежных средств;

  • область, подпадающая под требования к единой биометрической системе (ЕБС), установленные в Приказе Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321, а также в рекомендациях Банка России № 4-МР от 14.02.2019 г.

Процесс оценки соответствия с учётом положений ГОСТ Р 57580.2 осуществляется по ГОСТ Р ИСО 19011 «Руководящие указания по аудиту систем менеджмента» (раздел 6).

В целом процесс оценки соответствия, осуществляемый на основе ГОСТ Р ИСО 19011, идентичен процессу по СТО БР ИББС-1.1 и, следовательно, процессу оценки соответствия по требованиям Положения Банка России № 382-П (этапы: документальной проверки, работы на месте, согласования и оформления результатов работ).

По результатам работ по оценке соответствия наряду с отчётными материалами оценки, разрабатываются рекомендации по совершенствованию деятельности банка по обеспечению ИБ в соответствие требованиям национального стандарта ГОСТ Р 57580.1.

Методика оценки соответствия, приведённая в ГОСТ Р 57580.2, устанавливает требования к оформлению результатов оценки соответствия ЗИ, которые в свою очередь должны быть оформлены в виде отчёта предоставляющего полные, точные, чёткие и достаточные записи по оценке соответствия ЗИ. Отчёт должен включать порядка 20 позиций, включающий сведения различного характера, в том числе оценки по 13 группам показателей (процессы и направления), что может достигать 700 показателей оценки. Наряду с отчётом заказчику передаются все собранные в рамках оценки свидетельства оценки соответствия ЗИ.

Отчёт по результатам оценки соответствия ЗИ является собственностью проверяемой организации.

По опыту проведения работ отчёт по оценке соответствия финансовых организаций требованиям 2-го уровня ЗИ, установленным в ГОСТ Р 57580.1, может составлять более 250 станиц, а объём первичных данных (собранных свидетельств оценки соответствия) в электронном виде может составлять более 5 Гбайт.