Аудит по ГОСТ 57580

Аудит по ГОСТ 57580 — независимая оценка соответствия системы информационной безопасности финансовой организации требованиям национальных стандартов ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018. Специалисты КРЕДО-С проводят детальную проверку организационных и технических мер защиты информации, определяют количественный уровень соответствия и формируют рекомендации по достижению целевого уровня защищённости.

Аудит ГОСТ 57580 является обязательной процедурой для широкого круга финансовых организаций. Кредитные организации обязаны проходить оценку соответствия в соответствии с положениями Банка России № 683-П и № 802-П. Некредитные финансовые организации — в соответствии с положением № 757-П.

Операторы платёжных систем и операторы услуг информационного обмена — в соответствии с положением № 719-П. Оценка проводится не реже одного раза в два года организацией, имеющей лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Результаты аудита направляются в Банк России в составе формы отчётности 0409071.

Этапы проведения аудита по ГОСТ 57580:

Подготовительный этап — определение области оценки, анализ организационной структуры финансовой организации, формирование перечня процессов системы защиты информации, подлежащих проверке. Согласуется программа и сроки проведения аудита, определяется состав рабочей группы.

Сбор и анализ данных — изучение организационно-распорядительной документации по информационной безопасности, анализ архитектуры информационных систем и сетевой инфраструктуры, проведение интервью с руководителями и специалистами, ответственными за обеспечение информационной безопасности финансовых организаций. Анализируются процессы управления доступом, управления инцидентами, защиты от вредоносного кода, криптографической защиты информации.

Количественная оценка — для каждого процесса системы защиты информации определяется уровень реализации по методике ГОСТ Р 57580.2-2018. Оценивается полнота применения организационных и технических мер защиты информации, рассчитываются числовые показатели соответствия для каждого направления: управление защитой информации на этапах жизненного цикла, управление доступом, защита вычислительных сетей, контроль целостности и защищённости, управление инцидентами, обеспечение операционной надёжности.

Формирование отчёта — результаты оценки оформляются в соответствии с требованиями стандартов ЦБ РФ. Отчёт содержит количественную оценку уровня соответствия (от 0 до 1), детальное описание выявленных несоответствий по каждому процессу, рекомендации по достижению требуемого уровня защищённости. Для финансовых организаций, являющихся субъектами критической информационной инфраструктуры (187-ФЗ), дополнительно оценивается выполнение требований приказа ФСТЭК 239 и расчёт показателя защищённости КЗИ по приказу ФСТЭК №117.

КРЕДО-С проводит аудит по ГОСТ 57580 с привлечением экспертов, имеющих многолетний опыт работы с финансовыми организациями. Компания имеет лицензии ФСТЭК и ФСБ России, аккредитацию ИТ-компании. За более чем 33 года работы на рынке информационной безопасности реализованы проекты по аудиту банков ИБ для крупнейших российских кредитных организаций, страховых компаний, микрофинансовых организаций и платёжных систем.