FBK Cybersecurity
 

7-МР: Банк России определил подходы к реализации требований к управлению риском информационной безопасности и обеспечению операционной надежности

Банком России опубликованы Методические рекомендации от 21.03.2024 № 7-МР, в которых изложены порядок и сроки внедрения финансовыми организациями ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (далее - ГОСТ Р 57580.3-2022 или ГОСТ3) и ГОСТ Р 57580.4-2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" (далее - ГОСТ Р 57580.4-2022 или или ГОСТ4).

ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, регламентирующие вопросы управления риском информационной безопасности и обеспечения операционной надёжности, введены в действие с 1 февраля 2023 года и до настоящего времени не были ни обязательными, ни рекомендованными к применению. Поднадзорные организации ожидали появления ссылок на новые стандарты при внесении изменений в соответствующие положения: Положение Банка России № 716-П от 08.04.2020 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - №716-П) в части управлению операционным риском и риском информационной безопасности как его подвидом, а также Положение № 787-П от 12.01.2022 "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - №787-П) и Положение № 779-П от 15.11.2021 "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76_1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" (далее - №779-П) в части обеспечения операционной надежности.

Банк России внес ясность в вопрос о статусе новых стандартов. Стало понятно, каким финансовым организациям, какие меры стандартов и в какие сроки следует внедрять. И несмотря на то, что 7-МР рекомендует (а не обязывает), де-факто рекомендуемое Банком России является необходимым к исполнению.

ТРЕБОВАНИЯ К УРОВНЯМ ЗАЩИТЫ ИНФОРМАЦИИ

Для понимания Методических рекомендаций обозначим, что ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 устанавливают следующие уровни защиты (далее - УЗИ), к каждому из которых определяется соответствующий состав мер, подлежащих реализации:
– усиленный/стандартный/минимальный в части управления риском информационной безопасности;
– усиленный/стандартный/минимальный в части обеспечения операционной надежности.

Относительно каждого УЗИ Банком России и рекомендовано кредитным и некредитным финансовым организациям реализовывать определенные меры системы управления риском реализации информационных угроз (ГОСТ Р 57580.3-2022) и меры системы обеспечения операционной надежности (ГОСТ Р 57580.4-2022).
ДЛЯ КРЕДИТНЫХ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ (КФО)
Кредитные организации обязаны в своей деятельности выполнять требования как к управлению риском информационной безопасности (глава 7 Положения № 716-П), так и к обеспечению операционной надежности (Положение № 787-П), поэтому им рекомендовано реализовывать меры обоих стандартов:
ДЛЯ НЕКРЕДИТНЫХ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ (НФО)
Некредитные финансовые организации обязаны руководствоваться требованиями Положения № 779-П к обеспечению операционной надежности, поэтому 7-МР рекомендует им реализовывать только ГОСТ Р 57580.4-2022:
Как кредитным, так и некредитным финансовым организациям 7-МР рекомендуют разработать планы внедрения стандартов, предусматривающие выбор и применение необходимых для каждого уровня организационных и технических мер. Соответственно, планы должны укладываться в вышеуказанные сроки.

ЧТО ДЕЛАТЬ

Финансовым организациям предстоит большой объем работы. Проще будет тем, кто обстоятельно подошел к внедрению требований Положений 716-П и 787-П/779-П (какие-то меры будут уже реализованы), а также внимательно отнесся к составлению новой отчетности в Банк России – о показателях операционной надежности и применяемых организацией информационных технологиях (процесс «Идентификация критичной архитектуры» ГОСТ Р 57580.4-2022, требующий значительных ресурсов, будет во многом внедрен).

Для разработки планов внедрения стандартов необходимо будет не только изучить и понять их требования, но и провести аудит внутренних нормативных документов и процессов организации. Последующая реализация плана потребует командной скоординированной работы специалистов нескольких подразделений. А по итогам такой работы хорошей практикой будет провести повторный аудит на соответствие – чтобы убедиться, что необходимые меры внедрены, и внедрены так, как было запланировано.

Наши эксперты имеют практический опыт работы по комплаенс-анализу системы управления риском ИБ и операционной надежности кредитных организаций и НФО, разработке и внедрению в них соответствующих требований Регулятора.

(ссылки на экспертов)

Наши эксперты ответят на ваши вопросы по внедрению ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 в вашей организации на любом этапе. Для этого заполните форму обратной связи или позвоните по телефону для получения консультации. Менеджер свяжется с вами и вместе мы разработаем оптимальное решение для вашей компании.
Свяжитесь с нами для уточнения деталей и стоимости
Нажимая на кнопку "Отправить" вы соглашаетесь
с Политикой конфиденциальности FBK CyberSecurity
Другие материалы