ГОСТ Р 57580.3-2022 вводится с 1 февраля 2023 года
30 Янв 2023
Росстандарт принял национальный стандарт, вводимый в действие с 1.02.2023 г. — ГОСТ Р 57580.3-2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности.
Обзор ГОСТ Р 57580.3-2022
Целью стандарта является способствование соблюдению требований к системе управления операционными рисками в предприятиях финансового сектора. ГОСТ стоит рассматривать в виде дополнения к нормативным актам ЦБ РФ.
ГОСТ Р 57580.3-2022 устанавливает требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках реализации, планирования, контроля и совершенствования системы управления таким риском. А также систем управления, определенных в рамках семейств стандартов обеспечения операционной надёжности и комплекса стандартов защиты информации.
Положениях данного стандарта определены для использования кредитными и некредитными финансовыми организациями, а также участниками платежной системы, финансовыми объединениями и экосистемы.
В настоящем стандарте представлена структура, которая предполагает, что значения, принятые организацией, контрольных показателей уровня риска, приобретают фактические значения, которые должны стать не более, чем установленные.
ГОСТ включает в себя:
Состав направлений, процессов и требований, определяемый:
- Стандартами Управления риском;
- Стандартами Обеспечения операционной надежности;
- Стандартами Защиты информации финансовых организаций.
Настоящий Стандарт использует рискоориентированный подход к организации информационной системы организаций, с применением методов управлению рисками риска (информационных угроз) через идентификацию, оценку, планирование, осуществление, совершенствование и контроль процессов по управлению рисками. В ГОСТе прописываются основные требования к данным процессам, которым организации должны соответствовать.
Требования к системе управления риском реализации информационных угроз представлены в следующих основных процессах:
Планирование системы управления риском:
- Определение политики управления рисками;
- Выявление и идентификация риска;
- Оценка риска;
- Организация ресурсного обеспечения.
Реализация системы управления риском:
- Планирование, реализация, контроль и совершенствование мероприятий;
- Выявление событий;
- Осведомленность об угрозах.
Контроль системы управления риском:
- Контроль и аудит;
- Мониторинг.
Совершенствование системы управления риском:
- Обеспечение контрольных показателей уровня риска принятым фактическим.
Если обратиться к Положениям Банка России в области операционных рисков, то можно заметить, что технологические процессы в ГОСТ имеют некоторые отличия от указанных в Приложениях к Положениям 787-П и 779-П. Стоит сказать, что для соответствия ГОСТ финансовым организациям не потребуется больших трузодозатрат на определение процессов.
В ГОСТ представлены обязательные Приложения.
В данных Приложениях отражены классификации событий риска реализации информационных угроз с точки зрения источников, типов событий рисков, направлений деятельности и видов потерь финансовых организаций. Также в Приложениях определены контрольные показатели уровня риска реализации информационных угроз как для кредитных, так и некредитных финансовых организаций.
Услуги для Вас
ГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееПентест (pentest) сайта и веб-приложений
Тестирование на проникновение сайта и веб-приложений
Подробнее