Подробный обзор ГОСТ Р 57580.3-2022
Автор статьи:
Чекудаев Кирилл Викторович
Эксперт по управлению рискамиГОСТ Р 57580.3-2022
С 01.02.2023 введен ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».
Развитие финансовой системы сопровождается также и усложнением процессов, увеличением количества объектов и субъектов операций, а также все большим использованием информационных систем. Однако по мере роста и развития любой системы, появляются новые риски ведения деятельности. Так как финансовая система является основой функционирования экономики, то стабильность и надежность процессов финансовой системы является важной задачей. Обеспечение уровня операционной надежности возможно, когда все элементы системы выполняют единые требования в процессах функционирования, основанные на стандартах безопасности и управления рисками.
Все финансовые организации подвержены рискам информационных угроз всех основных бизнес-процессов. Полностью устранить любой риск возможно только путем отказа от деятельности или процесса, но при этом, ожидаемо, будет отсутствовать и положительный финансовый результат. Однако если риск невозможно убрать, то им можно управлять и постараться снизить его до минимальных значений за счет эффективной системы управления рисками, основанной на организационной структуре и набору организационных и технических мер.
Данный стандарт устанавливает требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также системам управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.
Цель стандарта – содействие соблюдению требований к системе управления операционными рисками в предприятиях финансового сектора.
Выполнение процессов системы управления рисками должно обеспечить:
- операционную надежность;
- соответствие (не превышение) фактического уровня риска реализации информационных угроз контрольным показателям;
- интеграцию системы управления рисками информационных угроз в систему управления рисками;
- оперативное реагирование и адаптация к информационным угрозам.
Рассматривается в качестве дополнения к нормативным актам Банка России. Положения настоящего стандарта предназначены для использования кредитными и некредитными финансовыми организациями, а также участниками платежной системы, финансовыми объединениями и экосистемами.
Результат применения данного стандарта: обеспечение операционной надежности к всем бизнес- и технологическим процессам и критичных активов (объекты информации, субъектов доступа и защищаемой информации).
Что включает в себя ГОСТ Р 57580.3-2022
Основные разделы ГОСТ:
- Общие положения, в которых отражено как описание реализация системы управления рисками реализации информационных угроз, так и ее непосредственное внедрение в систему управление рисками финансовой организации.
- Состав направлений, процессов и требований по управлению риском реализации информационных угроз, обеспечению операционной надежности и защите информации.
- Требования к системе управления рисками реализации информационных угроз, определяющие состав мер по планированию, реализации, контроля и совершенствования для каждого уровня защиты.
Процесс обеспечения операционной надежности предлагается осуществлять через цикл Деминга (планирование, реализацию, контроль и совершенствование процессов) или контрольный цикл Шухарта PDCA (plan–do–check–adjust). Использование итеративных методов проектирования и управления, используемый в бизнесе для контроля и постоянного совершенствования процессов и продуктов говорит о необходимости применения стандартов управления. ГОСТ указывает на ключевые условия к данным процессам в виде требований, которым организации должны соответствовать.
Структура ГОСТа
В ГОСТе представлена структура (и взаимосвязи) системы управления рисками реализации информационных угроз, которая предполагает, что значения, принятые организацией КПУР (контрольные показатели уровня риска) в следствии функционирования системы управления рисками, состоящей из управления операционной надежностью и защитой информации, приобретают уже фактические значения, которые по логике управления рисками должны стать не более, чем установленные.
Какие меры необходимо принять финансовым организациям для защиты информации?
1. Состав направлений, процессов и требований, определяемый:
- Семейством стандартов Управления риском;
- Семейством стандартов Обеспечения операционной надежности;
- Семейством стандартов Защиты информации финансовых организаций.
Настоящий Стандарт использует рискоориентированный подход к организации информационной системы организаций, с применением методов управлению рисками риска (информационных угроз) через идентификацию, оценку, планирование, осуществление, совершенствование и контроль процессов по управлению рисками. В ГОСТе прописываются основные требования к данным процессам в виде требований, которым организации должны соответствовать.
В системе управления рисками информационных угроз выделяются «3 линии защиты»:
- Центры компетенций;
- Службы управления рисками и службы ИБ;
- Уполномоченное подразделение.
Также в соответствии с 757-П определяются 3 уровня защиты:
- Усиленный;
- Стандартный;
- Минимальный.
Уровень защиты определяется в зависимости от вида и масштаба деятельности финансовой организации, ее размера и значимости для финансовой системы.
2. Требования к системе управления риском реализации информационных угроз представлены в следующих основных процессах:
- Планирование системы управления риском:
- Определение политики управления рисками, состоящее из: установления структуры и организации, установление политики управления рисками информационных угроз, участие совета директоров (наблюдательного совета) и коллегиального органа;
- Выявление и идентификация риска, которые должны обеспечивать: идентификацию критической архитектуры, идентификацию риска реализации информационных угроз, выявлению и моделированию информационных угроз, оценку риска реализации угроз;
- Организация ресурсного (кадрового и финансового) обеспечения, подразделяющаяся на организацию: ресурсного обеспечения процессов системы управления рисками реализации информационных угроз, ресурсного обеспечения функционирования служб ИБ, целевого обучения по вопросам выявления и противостояния реализации информационных угроз.
- Реализация системы управления риском:
- Планирование, реализация, контроль и совершенствование мероприятий: выбор и применение способа реагирования, разработку мероприятий, направленных на снижение степени возможности реализации инцидентов, разработку мероприятий, направленных на ограничение степени тяжести последствий инцидентов.
- Выявление событий: разработка мероприятий по управлению рисками, защита от информационных угроз, направленная на обеспечение, защита информации, операционная надежность, управление риском реализации угроз при аутсорсинге и взаимодействии с поставщиками услуг, управление риском внутреннего нарушителя, управление риском реализации информационных угроз в финансовой экосистеме, выполнение мероприятий, направленных на предотвращение утечек информации.
- Выявление событий риска реализации информационных угроз, в том числе: сбор и регистрация информации о внутренних событиях риска реализации информационных угроз и потерях, выявление и фиксация инцидентов, также компьютерных атак и фактов компрометации объектов информатизации, ведение претензионной работы.
- Реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации, состоящие из: реагирование на инциденты в отношении критической архитектуры, восстановление выполнения бизнес и технологических процессов и функционирования объектов информатизации после реализации инцидентов, проведение анализа причин и последствий реализации инцидентов, организация взаимодействия между подразделениями, а также между организацией и Банком России, причастными сторонами.
- Обеспечение осведомленности об угрозах, состоящее из: организация взаимодействия финансовой организации и причастных сторон, в том числе клиентов, при обмене информацией об актуальных сценариях реализации информационных угроз, использование информации об актуальных сценариях, повышение осведомленности работников организации в части противостояния информационным угрозам.
- Контроль системы управления риском:
- Установление программ контроля и аудита, которое должно обеспечивать: проведение самооценки и профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации, проведение сценарного анализа и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критической архитектуры, оценка эффективности функционирования системы управления риском, организация внутренней отчетности в рамках управления рисков.
- Мониторинг риска.
- Совершенствование системы управления риском: обеспечение КПУР принятым фактическим.
Совершенствование системы осуществляемое через обеспечение контрольным показателям уровня риска (КПУР) принятым фактическим, что должно в свою очередь обеспечивать как проведение анализа необходимости совершенствования системы управления рисками информационных угроз, так и принятие решений по совершенствованию системы.
Для каждого процесса определяются состав направлений и процессов (в т.ч. подпроцессов), определяемых в рамках семейства стандартов управления риском реализации информационных угроз и обеспечения операционной надежности, а также требования к ним. В рамках семейства защиты информации финансовой организации определены соответствующие направления и процессы, и относящиеся к ним требования, основанные на ГОСТ Р 57580.1-2017. Требования к направлениям и процессам в области операционной надежности основываются на ГОСТ Р 57580.4-2022, вступившем в силу также как и данный ГОСТ одновременно 1 февраля 2023 года.Особенности ГОСТ
Отличительной особенностью ГОСТ являются требования к непосредственно применяемым мерам по управлению риском реализации информационных угроз. В зависимости от уровня защиты, определенной для финансовой организации, определяется состав мер, которые могут не применяться, могут быть техническими или организационными. Причем отмечается, что по решению финансовой организации организационные меры могут быть реализованы путем применения технических мер.
Важное значение для обеспечения операционной надежности отводится к способности финансовых организаций распознавать признаки возможной угрозы до ее непосредственного наступления. Чем раньше будет распознана потенциальная угроза, тем больше возможности подготовиться к наступления события и разработать контрмеры для предотвращения как наступления самих угроз, так и восстановлению процессов в случае их наступления.
В целях распознавания информационных рисков требуется высокий уровень осведомленности о возможных угрозах, через поиск информации и анализ актуальных направлений потенциальных опасностей операционной надежности. Условием осведомленности предполагается осуществлять через информационный обмен с Банком России, специализированными федеральными органами (ФинЦЕРТ), поставщиками и клиентами финансовых организаций, при этом организации могут быть и вне финансового сектора.
3. Обязательные приложения
В ГОСТ представлены обязательные Приложения, в которых отражены классификации событий риска реализации информационных угроз с точки зрения источников, типов событий рисков, направлений деятельности и видов потерь финансовых организаций.
- Приложение А
- В Приложении представлена классификация источников событий риска по 4 группам: недостатки процессов; действия персонала и других связанных с финансовой организацией лиц; сбои объектов информатизации; внешние факторы. Каждая группа источников событий предлагает использоваться дополнительные классификации с более подробной детализацией источников.
- Приложение Б
- В данном Приложении представлены детализация классификации по событиям реализации информационных угроз, связанных с возникновением финансовых инцидентов, в которой в соответствии с каждым бизнес- и технологическим процессом разных типов финансовых организаций представлены события реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций и с нарушением операционной надежности.
- Приложение В
- В этом Приложении представлена классификация событий риска в разрезе направлений деятельности. Особенно стоит отметить, что представлены все виды (направления) деятельности с указанием перечня соответствующих бизнес- и технологических процессов.
- Приложение Г
- Здесь представлена классификация событий риска реализации информационных угроз в разрезе потерь от реализации риска на прямые и непрямые. Непрямые потери классифицируются на косвенные, качественные и потенциальные.
Также в Приложениях определены КПУР реализации информационных угроз как для кредитных, так и некредитных финансовых организаций, которые в соответствии с Приложениями Д и Е определяются организацией самостоятельно или согласно нормативных актов Банка России.
- Приложение А
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram