Новые стандарты в сфере финансовой ИБ: ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

С 1 февраля 2023 года вступили в силу ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022.

Новые стандарты в рекомендательной форме предлагают кредитным и некредитным финансовым организациям внедрение организационных и технических мер по управлению риском реализации угроз информационной безопасности и обеспечению операционной надежности.

Требования представлены в двух частях стандартов серии 57580:

• ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения»
• ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».

Суть

ГОСТ Р 57580.3-2022 является основным стандартом серии 57580 и закладывает риск-ориентированный подход к управлению информационной безопасностью. Это более актуальный в современных российских реалиях подход, который в сфере финансовых институтов активно продвигает Банк России, о чем свидетельствуют прямые связи с актуальными нормативными актами, изданными регулятором. ГОСТ Р 57580.4-2022 устанавливает требования к мерам обеспечения операционной надежности, которые являются составной частью системы управления риском реализации информационных угроз.

Связь с действующими положениями Банка России

Новые стандарты имеют связь с ключевыми положениями Банка России в части управления операционным риском и обеспечения операционной надежности:

• Положением от 8 апреля 2020 г. № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (для кредитных финансовых организаций);
• Положением от 12 января 2022 г. № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» (для кредитных финансовых организаций);
• Положением от 15 ноября 2021 г. № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)» (для некредитных финансовых организаций).

Так, например, система управления риском реализации информационных угроз по ГОСТ Р 57580.3-2022 включает в себя установление и расчет КПУР (контрольных показателей уровня риска) – изначально введенных Положением Банка России № 716-П.

Структура стандартов

Структура стандартов похожа на уже знакомый финансовому сектору ГОСТ Р 57580.1-2017: наборы мер сгруппированы по направлениям и процессам для каждого уровня защиты, определенного соответствующим нормативным актом Банка России; способы реализации мер делятся на необязательные («Н»), организационные («О») и технические («Т»). Соблюдение требований к управлению риском реализации информационных угроз и обеспечению операционной надежности реализуется посредством создания соответствующих систем управления. В основу указанных систем управления положен известный цикл Деминга, заключающийся в совершении повторяющейся последовательности управленческих действий, обеспечивающих постоянное улучшение качества функционирования таких систем, – цикл PDCA (планирование/Plan – реализация/Do – контроль/Check – совершенствование/Act). Системы управления риском реализации информационных угроз и обеспечения операционной надежности интегрируются в систему управления риском финансовой организации, в частности, систему управления операционным риском.

Так, меры ГОСТ Р 57580.3-2022 объединены по 4-м направлениям в системе управления риском реализации информационных угроз:

1. Планирование. Включает установление организационной структуры, внедрение политики управления риском, выявление и идентификацию риска, его оценку, организацию ресурсного обеспечения.
2. Реализация. Включает выбор и применение способов реагирования на риск, сбор и регистрацию информации о рисковых событиях, меры защиты информации, обеспечения операционной надежности, а также меры управления риском при аутсорсинге.
3. Контроль. Включает контрольные процедуры в виде аудита и мониторинга, а также систему необходимой внутренней отчетности.
4. Совершенствование. Включает меры по совершенствованию внедренной системы управления риском при участии руководства организации.

А меры ГОСТ Р 57580.4-2022, помимо группировки в рамках цикла PDCA, объединены по следующим процессам:

1. Идентификация критичной архитектуры.
2. Управление изменениями в критичной архитектуре.
3. Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации.
4. Взаимодействие с поставщиками услуг.
5. Тестирование операционной надежности бизнес- и технологических процессов.
6. Защита критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы.
7. Управление риском внутреннего нарушителя.
8. Обеспечение осведомленности об актуальных информационных угрозах.

Как уже отмечалось, состав и содержание рекомендуемых стандартами мер напрямую зависят от реализуемого организацией уровня защиты. На сегодня (до внесения изменений в нормативные акты регулятора) для понимания, какой уровень защиты в части управления риском информационной безопасности и обеспечения операционной надежности рекомендуется реализовывать, финансовым организациям следует обращаться к Методическим рекомендациям Банка России № 7-МР от 21.03.2024.

NB!

Узнать больше о ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, требованиях, мерах и контрольных процедурах вы можете у наших экспертов – для этого отправьте запрос по форме, представленной ниже.

Также напоминаем вам, что вы можете уже сейчас заказать расчет стоимости и сроков реализации работ по новым стандартам. Для этого воспользуйтесь той же самой формой.