Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 28 марта 2018 г. N 156-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ
ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ
Security of financial (banking) operations. Information
protection of financial organizations. Conformity
assessment methods
ГОСТ Р 57580.2-2018
ОКС 03.060
35.240.40
Дата введения
1 сентября 2018 года
Предисловие
1 РАЗРАБОТАН Центральным банком Российской Федерации (Банком России) и Научно-производственной фирмой "КРИСТАЛЛ" (НПФ "КРИСТАЛЛ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 122 "Стандарты финансовых операций"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 г. N 156-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Развитие и укрепление банковской системы Российской Федерации, развитие и обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Центрального банка Российской Федерации (Банка России) [1]. Одним из условий реализации целей деятельности кредитных организаций, некредитных финансовых организаций Российской Федерации, а также субъектов национальной платежной системы (далее при совместном упоминании - финансовые организации) является обеспечение необходимого и достаточного уровня защиты информации, а также сохранение этого уровня в течение длительного времени.
Требования к содержанию базового состава организационных и технических мер защиты информации, реализующих установленные Банком России требования к обеспечению защиты информации при осуществлении банковской деятельности и деятельности в сфере финансовых рынков, установлены ГОСТ Р 57580.1.
Способом проверки соответствия защиты информации является оценка выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1 (далее - оценка соответствия защиты информации) независимой организацией, обладающей необходимым уровнем компетенции и имеющей лицензию на деятельность по технической защите конфиденциальной информации как минимум на один из следующих видов работ и услуг:
- контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
- проектирование в защищенном исполнении средств и систем информатизации;
- установка, монтаж, испытания, ремонт средств защиты информации [программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации].
Основными целями настоящего стандарта являются:
- установление единых требований к методике и оформлению результатов оценки соответствия защиты информации финансовой организации;
- установление способов оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1;
- определение итоговой оценки соответствия защиты информации финансовой организации.
1 Область применения
Настоящий стандарт устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации (ЗИ) финансовой организации при выборе и реализации организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1, применяемых финансовой организацией для реализации требований к обеспечению ЗИ, установленных нормативными актами Банка России.
Требования к методике и оформлению результатов оценки соответствия ЗИ, устанавливаемые настоящим стандартом, предназначены для использования организациями, осуществляющими оценку соответствия ЗИ кредитных организаций, некредитных финансовых организаций, указанных в Федеральном законе [1] (статья 76.1, часть 1), а также субъектов национальной платежной системы, не являющихся кредитными организациями.
Область применения настоящего стандарта, определяющая обязанность финансовых организаций проводить оценку соответствия ЗИ для конкретной совокупности объектов информатизации, в том числе автоматизированных систем (АС), используемых финансовыми организациями для предоставления финансовых услуг, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на настоящий стандарт, приводимой на основании статьи 27 Федерального закона [2].
Настоящий стандарт устанавливает требования к методике оценки соответствия ЗИ, применение которой обеспечивает определение итоговой оценки соответствия ЗИ финансовой организации требованиям ГОСТ Р 57580.1.
Настоящий стандарт предназначен для применения путем включения нормативных ссылок на него и/или прямого использования устанавливаемых в нем требований в нормативных актах Банка России, во внутренних документах финансовых организаций, а также в договорах.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 34.11 Информационная технология. Криптографическая защита информации. Функция хэширования
ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 57580.1, а также следующие термины с соответствующими определениями:
3.1 оценка соответствия защиты информации: Процесс оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1, выполняемой проверяющей организацией.
3.2 проверяющая организация: Организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ).
3.3 проверяющая группа: Группа, состоящая из сотрудников проверяющей организации, а также (при необходимости) иных лиц, уполномоченных проверяющей организацией проводить оценку соответствия защиты информации финансовой организации.
3.4 проверяемая организация: Финансовая организация, в отношении которой проводится оценка соответствия защиты информации.
4 Сокращения
Для просмотра документа целиком скачайте его >>>