Аудит на соответствие требованиям ГОСТ Р 57580.1-2017, 716-П, 787-П, 779-П

Проведём независимый аудит выполнения требований Положений Банка России, ГОСТ Р 57580.1-2017, проведем оценку рисков ИБ и операционной надежности
Поддержка внедренных средств защиты информации
Гарантированные сроки реализации проекта
Успешные проверки ЦБ после аудита
На сегодняшний день организации проводят внутренний
или внешний аудит на соответствие ГОСТ Р 57580.1-2017, положений 716-П, 787-П, 779-П, оценку рисков ИБ. При этом организации часто не имеют опыта в реализации мер защиты информации в соответствии с требованиями регуляторов, что приводит к разработке несоответствующих организационно-распорядительных документов и внедрению средств защиты информации, которые не решают поставленные задачи.

Мы оказываем услуги финансовым и кредитным организациям по консалтингу, внедрению, аутсорсингу по техническим и организационным мерам

ГОСТ 57580 (683-П, 757-П, 747-П, 719-П)
SWIFT CSP
Управление операционной надежностью (779-П)
Оценка рисков ИБ
Управление операционными рисками ИБ (716-П)

Сложность самостоятельной реализации

Большой объём работы: выявление всех
бизнес и технологических процессов предоставления финансовых услуг, их составляющих и характеристик.
Необходимость наличия опытных и компетентных аудиторов в связи со сложностью аудита требований ЦБ в части управления рисками и операционной надежностью.
Высокая трудоемкость оценки риска –
определение всех информационных
активов, угроз и критичности последствий
реализации риска ИБ.

Организации, обязанные выполнять Положения ЦБ

  • Кредитные и некредитные финансовые организации
  • Операторы ИС, осуществляющие выпуск цифровых финансовых активов
  • Инвестиционные фонды, операторы инвестиционных платформ, платежные клиринговые центры
  • Регистраторы финансовых транзакций, репозитарии, брокеры, дилеры

Наши услуги по аудиту на соответствие требованиям

ГОСТ Р 57580.1-2017

Организации, реализующие усиленный и стандартный уровень защиты информации, должны обеспечивать определенный уровень соответствия ГОСТ 57580.


Предпосылки:
  • Угроза хищения денежных средств без согласия клиента
  • Угроза хищения денежных средств организации
  • Угроза приостановки деятельности организации, что может привести к финансовым и репутационным потерям
  • Угроза санкций со стороны регуляторов вплоть до отзыва лицензии на финансовую деятельность
  • Повышенные риски реализации кибератак

Состав работ:

  1. Оценка соответствия требованиям Положений ЦБ
  2. Предварительная оценка соответствия требованиям ГОСТ 57580
  3. Моделирование угроз безопасности информации
  4. Разработка/актуализация комплекта организационно-распорядительной документации Положений ЦБ, ГОСТ-57580
  5. Итоговая оценка соответствия требованиям ГОСТ 57580

Результаты работ:

  • Отчет об аудите по требованиям Положений ЦБ (683-П, 719-П, 747-П, 757-П)
  • Заключение по результатам предварительной оценки по т. ГОСТ 57580
  • Модель угроз безопасности информации, декларация выбора состава мер защиты данных
  • Комплект организационно-распорядительной документации по требованиям Положений ЦБ и ГОСТ 57580
  • Отчет об аудите по требованиям ГОСТ 57580 с рекомендациями по совершенствованию системы защиты информации
Оценка рисков ИБ
Работы по оценке риска ИБ и риска операционной надежностью выполняются в соответствии с методикой оценки рисков нарушения ИБ, в основе которой лежат положения российских и международных стандартов в области управления рисками и обеспечения ИБ, в частности:

  • ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems. Requirements
  • ISO/IEC 27005:2011. Information technology. Security techniques. Information security risk management. Second Edition
  • Рекомендации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».

Состав работ:
  1. Идентификация информационных активов (сбор сведений)
  2. Идентификация действующих защитных мер
  3. Идентификация угроз ИБ и оценка вероятности их реализации
  4. Оценка рисков нарушения ИБ

Результат работ:

  • Реестр информационных активов с оценкой их ценности для деятельности компании
  • Перечень угроз ИБ и оценка вероятности их реализации
  • Перечень выявленных рисков ИБ и оценка их допустимости
  • Состав организационных и технических мер обеспечения ИБ, используемых средств защиты
Аудит информационной безопасности системы SWIFT

Целью работ является аудит процессов обеспечения информационной безопасности системы SWIFT по требованиям Концепции и разработка рекомендаций по устранению выявленных нарушений или повышения соответствия требованиям Концепции (в случае рекомендательных требований).


Состав работ:
  1. Аудит по требованиям SWIFT Customer Security Controls Framework
  2. Обследование бизнес-процессов, IT-инфраструктуры и действующих мер по обеспечению защиты информации при осуществлении переводов денежных средств в системе SWIFT
  3.  Оценка соответствия процессов обеспечения защиты информации при осуществлении переводов денежных средств в системе SWIFT требованиям Концепции
  4. Разработка рекомендаций по устранению выявленных нарушений или повышения соответствия требованиям Концепции (в случае рекомендательных требований)
  5. Разработка/актуализация комплекта организационно-распорядительной документации

Результат работ:
  • Отчет об аудите по требованиям SWIFT Customer Security Controls Framework
  • Комплект организационно-распорядительной документации
Управление операционными рисками (716-П)

Операционные риски:

  • Риск информационной безопасности и информационных систем
  • Правовой риск
  • Риск ошибок в управлении проектами и управленческих процессах
  • Риск потерь средств клиентов, контрагентов, работников и третьих лиц
  • Риск ошибок процесса управления персоналом и др.

Основные задачи:
• Разработка процедур управления рисками ИБ
• Создание орг. структуры управления рисками ИБ
• Разработка классификатора событий риска ИБ
• Разработка системы показателей уровня риска ИБ
• Ведение на постоянной основе базы событий риска ИБ

Состав работ:
  1. Идентификация угроз ИБ и оценка вероятности их реализации
  2. Оценка рисков нарушения ИБ
  3. Аудит по требованиям Положения 716-П
  4. Анализ рисков информационной безопасности
  5. Разработка/актуализация комплекта организационно-распорядительной документации

Результат работ:
  • Перечень угроз ИБ и оценка, вероятности их реализации (категории актуальных нарушителей ИБ, их цели и возможности)
  • Отчет об аудите по требованиям Положения 716-П
  • Методика анализа рисков ИБ, отчет об анализе рисков ИБ
  • Комплект организационно- распорядительной документации
Управление операционной надежностью (787-П, 779-П)
Основные задачи:
  • Выявление процессов предоставления финансовых услуг, их составляющих, используемой инфраструктуры
  • Разработка процедур управления ОН и рисками ОН
  • Разработка процедур восстановления процессов предоставления финансовых услуг при сбоях

Состав работ:
  1. Аудит по требованиям Положения 716-П
  2. Анализ рисков информационной безопасности
  3. Разработка/актуализация комплекта организационно-распорядительной документации

Результат работ:
  • Отчет об аудите по требованиям Положения 716-П
  • Методика анализа рисков ИБ, отчет об анализе рисков ИБ
  • Комплект организационно-распорядительной документации

Преимущества с Infosecurity

Профессионализм
Многолетний опыт работы и квалифицированные специалисты
Гарантированный уровень соответствия требованиям ЦБ после реализации рекомендаций
Уровень
Гарантированные сроки реализации проекта и качественные процессы СОИБ в части реализации мер

Гарантия
Поддержка
При необходимости оказываем поддержку внедренных средств защиты информации
Экономия
Экономия ресурсов за счет реализации баланса организационных и технических мер защиты при СОИБ
Уверенность в результатах проверки ЦБ после аудита и снижение рисков связанных с актуальными угрозами
Успешные проверки ЦБ
Для получения консультации или заказа услуг отправьте нам запрос
Нажимая кнопки на сайте Вы даете свое согласие на обработку Ваших персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года. Не является публичной офертой.