Способом проверки соответствия защиты информации в финансовой организации является оценка соответствия выбора и реализации финансовой организацией организационных и технических мер защиты информации требованиям ГОСТ Р 57580.1. Согласно этому стандарту, такая оценка должна проводиться независимой организацией, обладающей необходимым уровнем компетенции и имеющей лицензии на деятельность по технической защите конфиденциальной информации.
Состав работ
- Обследование объектов финансовой организации.
- Оценка выбора финансовой организацией организационных и технических мер защиты информации, направленных на непосредственное обеспечение защиты информации (раздел 7 ГОСТ Р 57580.1-2017).
-
Оценка полноты реализации мер, входящих в систему организации и управления защитой информации в финансовой организации (раздел 8 ГОСТ Р 57580.1-2017).
-
Оценка обеспечения защиты информации на этапах жизненного цикла автоматизированных систем и приложений финансовой организации (раздел 9 ГОСТ Р 57580.1-2017). Оценка производится в соответствии с документом Банка России «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»
Оценка выбора финансовой организацией организационных и технических мер защиты информации, направленных на непосредственное обеспечение защиты информации, проводится для следующих процессов защиты информации, определенных ГОСТ Р 57580.1:
-
Процесс «Обеспечение защиты информации при управлении доступом»:
-
подпроцесс «управление учетными записями и правами субъектов логического доступа»;
-
подпроцесс «идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»;
-
подпроцесс «защита информации при осуществлении физического доступа»;
-
подпроцесс «идентификация, классификация и учет ресурсов и объектов доступа;
-
Процесс «Обеспечение защиты вычислительных сетей»:
-
подпроцесс «сегментация и межсетевое экранирование вычислительных сетей»;
-
подпроцесс «выявление вторжений и сетевых атак»;
-
подпроцесс «защита информации, передаваемой по вычислительным сетям»;
-
подпроцесс «защита беспроводных сетей».
-
Процесс «Контроль целостности и защищенности информационной инфраструктуры».
-
Процесс «Защита от вредоносного кода».
-
Процесс «Предотвращение утечек информации».
-
Процесс «Управление инцидентами защиты информации».
-
подпроцесс «мониторинг и анализ событий защиты информации»;
-
подпроцесс «обнаружение инцидентов и реагирование на них».
-
Процесс «Защита среды виртуализации».
-
Процесс «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».
Оценка полноты реализации мер, входящих в систему организации и управления защитой информации финансовой организации, проводится для каждого из процессов по направлениям:
-
Планирование процесса системы защиты информации.
-
Реализация процесса системы защиты информации.
-
Контроль процесса системы защиты информации.
-
Совершенствование процесса системы защиты информации.
Оценка соответствия защиты информации основывается на свидетельствах, собранных специалистами НТЦ «Вулкан». В качестве основных источников свидетельств используются:
-
Документы и иные материалы финансовой организации в бумажном или электронном виде.
-
Результаты интервьюирования сотрудников финансовой организации.
-
Результаты наблюдений специалистами НТЦ «Вулкан» за процессами системы защиты информации.
-
Параметры конфигураций и настроек автоматизированных систем и средств защиты информации.
-
Данные анализа электронных журналов регистрации технических объектов информатизации и средств защиты информации, фактических настроек, уязвимостей.
-
Результаты тестирования на проникновение.
Все полученные свидетельства и источники их получения документируются установленным порядком.
Преимущества
Получение независимой оценки соответствия организационных и технических мер защиты информации, принимаемых финансовой организацией, требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации» для представления в Банк России.
В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 120 70 82 или через форму обратной связи