Обзор ГОСТ Р 57580.4-2022
Автор статьи:
Чекудаев Кирилл Викторович
Эксперт по управлению рискамиГОСТ 57580.4-2022
С 01.02.2023 введен ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».
Настоящий стандарт устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер.
В ГОСТе отражены 3 уровня защиты (минимальный, стандартный, усиленный) в соответствии с нормативными актами Банка России и зависят от вида деятельности, объема операций, размера и значимости организации для финансовой системы.
Цель стандарта – содействие соблюдению требований к операционной надежности. Рассматривается в качестве дополнения к нормативным актам Банка России.
Положения настоящего стандарта предназначены для использования кредитными и некредитными финансовыми организациями. Основное направление документа на снижение операционных рисков, в том числе репутационных потерь как самих организаций, так и всей финансовой системы.
В указанном ГОСТе представлен состав системы обеспечения операционной надежности Организаций, который подразумевает конкретные меры и направления для ее функционирования.
Данный Стандарт применяет подход к организации управлением операционной надежностью через идентификацию, управление, работу с инцидентами, взаимодействие с поставщиками услуг.
Так же как и в первой части ГОСТ, процесс обеспечения операционной надежности предлагается осуществлять через цикл Деминга (планирование, реализацию, контроль и совершенствование процессов) или контрольный цикл Шухарта PDCA (plan–do–check–adjust). Использование итеративных методов проектирования и управления, используемый в бизнесе для контроля и постоянного совершенствования процессов и продуктов говорит о необходимости применения стандартов управления. ГОСТ указывает на ключевые условия к данным процессам в виде требований, которым организации должны соответствовать.
В общем виде обеспечение операционной надежности основывается на основные направления деятельности:
- Определение технологических процессов и задействованной информационной инфраструктуры;
- Фиксация и реагирование на возникающие угрозы;
- Укрепление линий защиты;
- Совершенствование операционной надежности;
- Тестирование защищенности;
- Работа по снижению рисков внутренних нарушителей;
- Информационный обмен об актуальных угрозах.
Что включает в себя Стандарт ГОСТ 57580.4
1. Требования к системе обеспечения операционной надежности финансовой организации:
- Процесс 1 «Идентификация критичной архитектуры». Устанавливает требования по организации учета и контроля бизнес- и технологических процессов (операций) и объектов информатизации, участвующих в этих процессах (операциях);
- Процесс 2 «Управление изменениями». Устанавливает требования к обеспечению процедур управления конфигурациями, уязвимостями и обновлениями в отношении объектов информатизации, входящих в критичную архитектуру;
- Процесс 3 «Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз и восстановление после их реализации». Устанавливает требования по мониторингу событий, связанных с возможной реализацией информационных угроз, в части выявления, реагирования и регистрации, в том числе обнаружению компьютерных атак и выявлению фактов (индикаторов) компрометации объектов информатизации. Также внимание уделено для резервированию данных и обеспечению возможности снизить риски потерь как для финансовых организаций, так и для клиентов;
- Процесс 4 «Взаимодействие с поставщиками услуг» Устанавливает требования по разработке процедур и защите объектов информатизации при привлечении поставщиков услуг. Стоит отметить, что важное значение приобретают поставщики с использованием импортозамещающего оборудования;
- Процесс 5 «Тестирование операционной надежности бизнес- и технологических процессов». Устанавливает требования по проведению анализа и тестирования системы операционной надежности, для оценки готовности финансовой организации противостоять информационным угрозам;
- Процесс 6 «Защита критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы». Устанавливает требования по защите от информационных угроз в условиях удаленной работы, основанных на процессе 8 ГОСТ 57580.1, включая разработку плана ОНиВД, регламентирующий дистанционную работу;
- Процесс 7 «Управление риском внутреннего нарушителя». Устанавливает требования по управлению риском, связанного с реализацией информационных угроз, от действий внутреннего нарушителя, направленные на предметное снижение появления таких рисков;
- Процесс 8 «Обеспечение осведомленности об актуальных информационных угрозах». Устанавливает требования по организации взаимодействия обмена информацией об актуальных сценариях реализации информационных угроз.
2. Требования к системе организации и управления операционной надежностью финансовой организации:
- Направление 1 «Планирование процесса системы обеспечения операционной надежности»;
- Направление 2 «Реализация процесса системы обеспечения операционной надежности»;
- Направление 3 «Контроль процесса системы обеспечения операционной надежности»;
- Направление 4 «Совершенствование процесса системы обеспечения операционной надежности».
3. Приложение А: Перечень технологических мер защиты информации.
4. Приложение Б (обязательное): Целевые показатели операционной надежности. Сигнальные и контрольные значения (как в 787-П / 779-П) определяются финансовыми организациями самостоятельно при условии, что данные показатели не установлены иными документами Банка России. Единственное показатель допустимое время простоя или деградации бизнес- или технологического процесса устанавливается нормативно.
Также в справочном Приложении определен перечень технологических мер защиты информации, обрабатываемой в рамках технологических операций (участков) бизнес- и технологических процессов.
Для каждого Процесса и Направления указаны необходимые меры, которые следуют применять, а также их содержание. Меры подразделяются на технические и организационные. Причем для каждого уровня защиты по одним и тем же мерам указано какие именно (организационные или технические) следует осуществлять, а для некоторых необязательно осуществлять какие-либо меры, в основном для минимального и стандартного уровня защиты.
На данный момент нет методики, по которой можно рассчитать оценку выполнения требуемых мер, поэтому, до ее появления, провести оценку по данному стандарту не представляется возможным.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram