Новый стандарт в сфере ИБ: ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

ГОСТ Р 57580.3-2022 вступает в силу с 1 февраля 2023 года.

Новый стандарт в рекомендательной форме предлагает кредитным и некредитным финансовым организациям внедрение защитных организационных и технических мер по управлению риском реализации угроз информационной безопасности.

Данные требования будут представлены в двух частях стандарта:

• ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения»
• и ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».

Суть

ГОСТ Р 57580.3-2022 в отличие от ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 применяет рискориентированный подход при определении рекомендаций в части информационной безопасности для финансовых институтов. Это более актуальный в современных российских реалиях подход, который в сфере финансовых институтов активно продвигает регулятор в лице Банка России, о чем свидетельствуют прямые связи с актуальными Положениями.

Связь с действующими Положениями Банка России

Новый стандарт имеет связь с ключевыми Положениями Банка России в части управления операционным риском и операционной надежности:

• Положением Банка России №716-П от 8 апреля 2020 года «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (для кредитных финансовых организаций)
• Положением Банка России №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» (для кредитных финансовых организаций)
• Положением Банка России №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (для некредитных финансовых организаций)

В определении структуры и взаимосвязи системы управления рисками реализации информационных угроз ГОСТ Р 57580.3-2022 ссылается на КПУР (контрольные показатели уровня риска – термин, введенный в 716-П): значения, принятые организацией КПУР (в частности предполагающие оценку рисков информационной безопасности) приобретают уже фактические значения, которые по логике управления рисками должны стать не более, чем установленные.

Содержание стандарта

Процессы системы управления риском реализации информационных угроз

Стандарт ГОСТ Р 57580.3-2022 выделяет 3 основных процесса в системе управления риском реализации информационных угроз:

1. Планирование. Включает внедрение политики управления риском, выявление и идентификацию риска, оценку риска, организацию ресурсного обеспечения.
2. Реализация. Включает планирование, реализацию, контроль и совершенствование (оптимизацию КПУР).
3. Контроль. Включает контрольные процедуры в виде аудита и мониторинга.

Меры

Состав и содержание рекомендумых Банком России мер напрямую зависит от реализуемого организацией уровня защиты по ГОСТ Р 57580.1-2017.

Например, для операторов услуг платежной инфраструктуры и операторов услуг информационного обмена рекомендуется применять меры, в рамках следующих процессов системы управления риском реализации информационных угроз:

• выявление и идентификация риска реализации информационных угроз, а также его оценка;
• планирование, реализация, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности (далее – мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз);
• выявление событий риска реализации информационных угроз, в части выявления и фиксации инцидентов, в том числе обнаружения компьютерных атак и выявления фактов (индикаторов) компрометации объектов информатизации;
• обеспечение осведомленности об актуальных информационных угрозах;
• установление и реализация программ контроля и аудита, в части проведения сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз.