06 июля 2020
ГОСТ 57580: сроки проведения оценки соответствия.
Позиция Банка России
В банковском сообществе до сих пор не утихают споры, касающиеся Положения Банка России № 683-П от 17 апреля 2019 г. Ключевыми темами для обсуждения являются форма и сроки проведения первой оценки соответствия ГОСТ 57580.1 согласно методике, установленной ГОСТ 57580.2.
Споры специалистов обусловлены противоречивостью требований п.9 и п.п. 9.2 Положения 683-П, а именно:
В связи с этим возникает ситуация, при которой кредитная организация к 1 января 2021 года уже должна обладать подтверждением выполнения требованиям стандарта, но требование по проведению оценки соответствия с привлечением внешнего аудитора, обладающего лицензией ФСТЭК, вступает в силу только с 1 января 2021 года.
В сообществе финансовых организаций по этому поводу возникло много вопросов о том, что именно будет являться подтверждением выполнения указанных требований на 1 января 2021 года – достаточно ли будет самооценки, как это было изначально с Положением 382-П? Если да, то когда же потребуется привлечь внешнего аудитора?
Акрибия направила запрос в Банк России, чтобы получить официальную позицию регулятора, в том числе по срокам и форме проведения первой оценки соответствия.
Споры специалистов обусловлены противоречивостью требований п.9 и п.п. 9.2 Положения 683-П, а именно:
- Пункт 9, устанавливающий требование проведения оценки соответствия кредитной организации требованиям стандарта с привлечением сторонней организации, являющейся лицензиатом ФСТЭК, вступает в силу с 1 января 2021 года.
- Требование подпункта 9.2, устанавливающее обязанность по обеспечению кредитной организации уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 в свою очередь должно быть выполнено уже с 1 января 2021 года.
В связи с этим возникает ситуация, при которой кредитная организация к 1 января 2021 года уже должна обладать подтверждением выполнения требованиям стандарта, но требование по проведению оценки соответствия с привлечением внешнего аудитора, обладающего лицензией ФСТЭК, вступает в силу только с 1 января 2021 года.
В сообществе финансовых организаций по этому поводу возникло много вопросов о том, что именно будет являться подтверждением выполнения указанных требований на 1 января 2021 года – достаточно ли будет самооценки, как это было изначально с Положением 382-П? Если да, то когда же потребуется привлечь внешнего аудитора?
Акрибия направила запрос в Банк России, чтобы получить официальную позицию регулятора, в том числе по срокам и форме проведения первой оценки соответствия.
Вопрос №1
В каком формате кредитная финансовая организация должна к 1 января 2021 года иметь
подтверждение выполнения требований стандарта ГОСТ 57580.1? Должна ли это быть
оценка соответствия требованиям, проведенная внешним аудитором в соответствии с ГОСТ 57580.2?
В каком формате кредитная финансовая организация должна к 1 января 2021 года иметь
подтверждение выполнения требований стандарта ГОСТ 57580.1? Должна ли это быть
оценка соответствия требованиям, проведенная внешним аудитором в соответствии с ГОСТ 57580.2?
“
В соответствии с ГОСТ 57580.2-2018 кредитная организация должна привлекать проверяющую организация для проведения аудита информационной безопасности.
Результат аудита оформляется в виде соответствующего отчета, требования к оформлению которого содержатся в разделе 8 "Требования к оформлению результатов оценки соответствия ЗИ" ГОСТ Р 57580.2-2018.
— Банк России
Результат аудита оформляется в виде соответствующего отчета, требования к оформлению которого содержатся в разделе 8 "Требования к оформлению результатов оценки соответствия ЗИ" ГОСТ Р 57580.2-2018.
— Банк России
Вопрос №2
В какие сроки кредитная финансовая организация должна провести первую оценку
соответствия требованиям ГОСТ 57580.1-2017 в соответствии с ГОСТ 57580.2-2018 с привлечением внешнего аудитора?
В какие сроки кредитная финансовая организация должна провести первую оценку
соответствия требованиям ГОСТ 57580.1-2017 в соответствии с ГОСТ 57580.2-2018 с привлечением внешнего аудитора?
“
Согласно первому абзацу пункта 9.2 Положения Банка России №683-П кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года.
Следовательно, кредитные организации должны обеспечить проведение оценки соответствия данному уровню защиты информации до указанной даты.
— Банк России
Следовательно, кредитные организации должны обеспечить проведение оценки соответствия данному уровню защиты информации до указанной даты.
— Банк России
Таким образом, из ответа представителей Банка России однозначно следует, что к 1 января 2021 года организация должна иметь у себя отчет о проведенной внешней оценке соответствия – именно это и будет являться подтверждением выполнения требований ГОСТ 57580.1.
На наш взгляд, организациям, которые еще не приступали к реализации требований ГОСТ 57580.1-2017, не стоит откладывать это в «долгий ящик», так как перед проведением внешней оценки необходимо обеспечить соотвествие существенному количеству требований, что, как показывает практика, в среднем занимает от 2 до 6-ти месяцев.
На наш взгляд, организациям, которые еще не приступали к реализации требований ГОСТ 57580.1-2017, не стоит откладывать это в «долгий ящик», так как перед проведением внешней оценки необходимо обеспечить соотвествие существенному количеству требований, что, как показывает практика, в среднем занимает от 2 до 6-ти месяцев.
Наш запрос и ответ представителей регулятора прилагаем:
Получить консультацию наших специалистов можно по почте — acribia@acribia.ru или через форму обратной связи
Оставьте заявку
Мы свяжемся с вами для уточнения деталей запроса и предоставим подробную информацию по интересующей вас теме.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.