Подготовка к аудиту по ГОСТ Р 57580.1-2017 для сегмента ЕБС

Все кредитные организации ежегодно обязаны проходить оценку соответствия по ГОСТ Р 57580.1-2017, который является национальным стандартом РФ для организации безопасности финансовых (банковских) операций.  Процедура занимает около 3х месяцев. Проверяется сетевая часть, настройки средств защиты, документация по которой работает банк, бизнес-процессы. Система оценки – балльная, из нее  выводится средний показатель. В случае если ЦБ получит отчет, в котором оценка ниже рекомендуемой, банк может получить предписание по проведению дополнительных мер, после этого проводится повторная оценка.

Как банку подготовиться к аудиту?

Пройтись предварительно самостоятельно по всем требованиям. 

  • Заранее подготовить организационно-распорядительную документацию;
  • Назначить ответственных от банка за проведение аудита по направлениям;
  • Подготовить свидетельства по перечню требований ГОСТ Р 57580.1-2017.
Кратко рассмотрим процессы.

Процесс 1: "Обеспечение защиты информации при управлении доступом"

Содержит в себе меры, связанные с работой с учетными записями, разграничением прав доступа к информационным ресурсам и объектам доступа. А также меры по организации учета информационных ресурсов компании.

Процесс 2: "Обеспечение защиты вычислительных сетей"

Содержит в себе меры по защите трафика во внутренних сетях компании (включая беспроводные), а также при взаимодействии с сетью интернет. Процесс включает в себя меры по межсетевому экранированию, обнаружению сетевых атак, мониторингу сетевого трафика.

Процесс 3:"Контроль целостности и защищенности информационной инфраструктуры"

Содержит в себе меры по контролю состава разрешенного ПО, его своевременному обновлению и защите от уязвимостей .

Процесс 4: "Защита от вредоносного кода"

Содержит меры по антивирусной защите на разных уровнях информационной структуры.

Процесс 5:"Предотвращение утечек информации"

Содержит в себе меры по контролю за потенциальными каналами утечки информации, а также работе с машинными носителями информации.

Процесс 6: "Управление инцидентами защиты информации"

Содержит в себе меры по мониторингу и реагированию на обнаруженные инциденты защиты информации. В соответствии с требованиями данного процесса для соответствия первому и второму уровням защиты организации необходимо создать отдельное подразделение, под названием “Группа реагирования на инциденты защиты информации”. 

Процесс 7: "Защита среды виртуализации"

Содержит в себе меры по защите виртуальной инфраструктуры организации, обеспечению контролируемого доступа к ней и защите образов виртуальных машин. 

Процесс 8: "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств"

Содержит меры по защите инфраструктуры компании при осуществлении удаленного доступа к ней и  обеспечению контроля за удаленным доступом.

Обращаем ваше внимание, что помимо самих мер по защите, каждый процесс содержит в себе пункты, связанные с обязательной регистрацией и обработкой событий защиты информации. Таким образом, недостаточно просто внедрить средства защиты информации в инфраструктуру. Нужно в обязательной порядке непрерывно отслеживать их работу и при необходимости совершенствовать.

Возврат к списку