Подготовка к внедрению ГОСТ Р 57580.4-2022

ГОСТ Р 57580.4-2022 устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер.

Подготовка к внедрению ГОСТ Р 57580.4 – это исследование компании Заказчика, которое нацелено на содействие соблюдению требований к операционной надежности. Рассматривается в качестве дополнения к нормативным актам Банка России.

Операционной надёжностью называют способность по отдельности взятого технологического процесса или организации на постоянной основе осуществлять свою деятельность на фоне недостатков, отказов или другого неблагоприятного воздействия (внешнего или внутреннего). Иначе говоря, это возможность поддерживать обязательные свойства вопреки негативным факторам.

Кого коснется ГОСТ Р 57580.4

Положения настоящего стандарта предназначены для использования кредитными и некредитными финансовыми организациями.

Основное направление документа нацелено на снижение операционных рисков и обеспечения операционной надежности, в том числе репутационных потерь как самих организаций, так и всей финансовой системы.

В соответствии с 7-МР от 21.03.2024, содержащие в себе рекомендации к срокам и порядку внедрения указанного стандарта для различных организаций, а также уровня защиты в части обеспечения операционной надежности, кредитным и некредитным финансовым организациям рекомендуется осуществить внедрение ГОСТ Р 57580.4.

Как проводится подготовка к внедрению ГОСТ Р 57580.4

Стоит отметить, что сохранность информации организации, является основополагающей задачей.

В рамках данной услуги, проводится проверка в отношении ряда процессов, обеспечивающих операционную надежность:

• Учёт, управление и классификация элементов критичной архитектуры, взаимосвязей и взаимозависимости бизнес- и технологических процессов, их структура
• Контроль модификаций в критичной архитектуре, таких как управление уязвимостями, внедрение изменений, управление конфигурациями и обновлениями при оказании финансовых услуг
• Структура реагирования на инциденты и восстановления нарушенных процессов, а также выявление инцидентов и их анализ
• Коммуникация с поставщиками услуг, например определение безопасности процедур обеспечения цепи поставок
• Проверка операционной надежности бизнес- и технологических процессов, что позволяет проводить сценарный анализ возможных угроз
• Защита объектов критичной архитектуры от вероятных угроз, возникающих в среде дистанционной работы
• Управление рисками внутренних нарушителей, т.е. работников финансовой организации, чья деятельность может привести к возникновению информационной угрозы
• Применение и обмен информацией, для обеспечения операционной надежности финансовой организации

При проведении работ также осуществляется анализ соответствия системы управления операционной надежностью (Стандарт предусматривает систему управления, основанную на цикле Деминга — планирование, реализацию, контроль, совершенствование процессов).

От заказчика требуется учитывать, что настоящий вид работ ориентирован на полное и глубокое изучение системы обеспечения операционной надежности в проверяемой Организации.

Важно

Следует подчеркнуть, что аудиторы нашей компании не заинтересованы в рекламе каких-либо разработчиков программного обеспечения, в связи с этим рекомендации по результатам не будут привязаны к продукции какого-либо конкретного вендора. Это позволяет заказчику самостоятельно выбрать средства защиты информации и технические решения для обеспечения безопасности исходя из бюджета компании.

Услуга имеет ряд преимуществ, а именно:

• Низкая стоимость
• Выезд квалифицированных специалистов в организацию Заказчика для анализа ситуации «на местах»

Что получает заказчик после подготовки к внедрению ГОСТ Р 57580.4

По итогам анализа Заказчику предоставляется отчет, содержащий информацию о соответствии Организации требованиям ГОСТ Р 57580.4, а также рекомендации по улучшению системы обеспечения операционной надежности.

Также компания RTM Group готова оказать помощь в:

• Организации деятельности по классификации объектов информатизации на разных системных уровнях
• Классификации защищаемой информации
• Определении процедур по применению и контролю стандартов конфигурирования политик защиты информации
• Разработке структуры реагирования на инциденты информационной безопасности
• Разработке процедур реагирования в результате реализации информационных угроз от поставщиков услуг
• Определении порядка восстановления функционирования бизнес- и технологических процессов, впоследствии реализации инцидентов
• Определении в распорядительных документах Организации порядка проведения анализа и тестирования готовности Организации противодействовать реализации информационных угроз
• Разработке отдельного плана ОНиВД или внедрение положений в уже существующий, при переходе сотрудников Организации на удаленный формат работы

Почему RTM Group?

• Компания RTM Group гарантирует конфиденциальность всех процессов и результатов оценки, а также строго соблюдает все юридические требования и стандарты, в том числе закон «Об оценочной деятельности в Российской Федерации» №135-ФЗ.
• Наши аудиторы обладают существенным опытом в области обеспечения информационной безопасности и управления рисками, и опираются в своей работе на разработанные ведущими мировыми организациями по стандартизации направлений ИБ практиками (ISO, ISACA, NIST, CERT, SANS, PСI SSC).
• Эксперты знакомы со спецификой работы, которая отвечает требованиям ЦБ РФ и ФСТЭК.
• Мы готовы предоставить вам консультации и помощь в любых вопросах.

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Вопросы правомерности той или иной деятельности — неотъемлемая часть работы юристов RTM Group
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты