Экспертиза

31
января
2023 год

Обзор ГОСТ Р 57580.4-2022

Чекудаев Кирилл
Эксперт по управлению рисками

ГОСТ 57580.4-2022

С 01.02.2023 введен ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».

Настоящий стандарт устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер.

В ГОСТе отражены 3 уровня защиты (минимальный, стандартный, усиленный) в соответствии с нормативными актами Банка России и зависят от вида деятельности, объема операций, размера и значимости организации для финансовой системы.

Цель стандарта – содействие соблюдению требований к операционной надежности. Рассматривается в качестве дополнения к нормативным актам Банка России.

Положения настоящего стандарта предназначены для использования кредитными и некредитными финансовыми организациями. Основное направление документа на снижение операционных рисков, в том числе репутационных потерь как самих организаций, так и всей финансовой системы.

В указанном ГОСТе представлен состав системы обеспечения операционной надежности Организаций, который подразумевает конкретные меры и направления для ее функционирования.

Данный Стандарт применяет подход к организации управлением операционной надежностью через идентификацию, управление, работу с инцидентами, взаимодействие с поставщиками услуг.

Так же как и в первой части ГОСТ, процесс обеспечения операционной надежности предлагается осуществлять через цикл Деминга (планирование, реализацию, контроль и совершенствование процессов) или контрольный цикл Шухарта PDCA (plan–do–check–adjust). Использование итеративных методов проектирования и управления, используемый в бизнесе для контроля и постоянного совершенствования процессов и продуктов говорит о необходимости применения стандартов управления. ГОСТ указывает на ключевые условия к данным процессам в виде требований, которым организации должны соответствовать.

В общем виде обеспечение операционной надежности основывается на основные направления деятельности:

  1. Определение технологических процессов и задействованной информационной инфраструктуры;
  2. Фиксация и реагирование на возникающие угрозы;
  3. Укрепление линий защиты;
  4. Совершенствование операционной надежности;
  5. Тестирование защищенности;
  6. Работа по снижению рисков внутренних нарушителей;
  7. Информационный обмен об актуальных угрозах.

Что включает в себя Стандарт ГОСТ 57580.4

1. Требования к системе обеспечения операционной надежности финансовой организации:

  • Процесс 1 «Идентификация критичной архитектуры». Устанавливает требования по организации учета и контроля бизнес- и технологических процессов (операций) и объектов информатизации, участвующих в этих процессах (операциях);
  • Процесс 2 «Управление изменениями». Устанавливает требования к обеспечению процедур управления конфигурациями, уязвимостями и обновлениями в отношении объектов информатизации, входящих в критичную архитектуру;
  • Процесс 3 «Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз и восстановление после их реализации». Устанавливает требования по мониторингу событий, связанных с возможной реализацией информационных угроз, в части выявления, реагирования и регистрации, в том числе обнаружению компьютерных атак и выявлению фактов (индикаторов) компрометации объектов информатизации. Также внимание уделено для резервированию данных и обеспечению возможности снизить риски потерь как для финансовых организаций, так и для клиентов;
  • Процесс 4 «Взаимодействие с поставщиками услуг» Устанавливает требования по разработке процедур и защите объектов информатизации при привлечении поставщиков услуг. Стоит отметить, что важное значение приобретают поставщики с использованием импортозамещающего оборудования;
  • Процесс 5 «Тестирование операционной надежности бизнес- и технологических процессов». Устанавливает требования по проведению анализа и тестирования системы операционной надежности, для оценки готовности финансовой организации противостоять информационным угрозам;
  • Процесс 6 «Защита критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы». Устанавливает требования по защите от информационных угроз в условиях удаленной работы, основанных на процессе 8 ГОСТ 57580.1, включая разработку плана ОНиВД, регламентирующий дистанционную работу;
  • Процесс 7 «Управление риском внутреннего нарушителя». Устанавливает требования по управлению риском, связанного с реализацией информационных угроз, от действий внутреннего нарушителя, направленные на предметное снижение появления таких рисков;
  • Процесс 8 «Обеспечение осведомленности об актуальных информационных угрозах». Устанавливает требования по организации взаимодействия обмена информацией об актуальных сценариях реализации информационных угроз.

2. Требования к системе организации и управления операционной надежностью финансовой организации:

  • Направление 1 «Планирование процесса системы обеспечения операционной надежности»;
  • Направление 2 «Реализация процесса системы обеспечения операционной надежности»;
  • Направление 3 «Контроль процесса системы обеспечения операционной надежности»;
  • Направление 4 «Совершенствование процесса системы обеспечения операционной надежности».

3. Приложение А: Перечень технологических мер защиты информации.

4. Приложение Б (обязательное): Целевые показатели операционной надежности. Сигнальные и контрольные значения (как в 787-П / 779-П) определяются финансовыми организациями самостоятельно при условии, что данные показатели не установлены иными документами Банка России. Единственное показатель допустимое время простоя или деградации бизнес- или технологического процесса устанавливается нормативно.

Также в справочном Приложении определен перечень технологических мер защиты информации, обрабатываемой в рамках технологических операций (участков) бизнес- и технологических процессов.

Для каждого Процесса и Направления указаны необходимые меры, которые следуют применять, а также их содержание. Меры подразделяются на технические и организационные. Причем для каждого уровня защиты по одним и тем же мерам указано какие именно (организационные или технические) следует осуществлять, а для некоторых необязательно осуществлять какие-либо меры, в основном для минимального и стандартного уровня защиты.

На данный момент нет методики, по которой можно рассчитать оценку выполнения требуемых мер, поэтому, до ее появления, провести оценку по данному стандарту не представляется возможным.

Источник: RTM GROUP


Вернуться к списку экспертиз

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС