ГОСТ Р 57580.3-2022 вводится с 1 февраля 2023 года

Росстандарт принял национальный стандарт, вводимый в действие с 1.02.2023 г. — ГОСТ Р 57580.3-2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности.

Обзор ГОСТ Р 57580.3-2022

Целью стандарта является способствование соблюдению требований к системе управления операционными рисками в предприятиях финансового сектора. ГОСТ стоит рассматривать в виде дополнения к нормативным актам ЦБ РФ.

ГОСТ Р 57580.3-2022 устанавливает требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках реализации, планирования, контроля и совершенствования системы управления таким риском. А также систем управления, определенных в рамках семейств стандартов обеспечения операционной надёжности и комплекса стандартов защиты информации.

Положениях данного стандарта определены для использования кредитными и некредитными финансовыми организациями, а также участниками платежной системы, финансовыми объединениями и экосистемы.

В настоящем стандарте представлена структура, которая предполагает, что значения, принятые организацией, контрольных показателей уровня риска, приобретают фактические значения, которые должны стать не более, чем установленные.

ГОСТ включает в себя:

Состав направлений, процессов и требований, определяемый:

• Стандартами Управления риском;
• Стандартами Обеспечения операционной надежности;
• Стандартами Защиты информации финансовых организаций.

Настоящий Стандарт использует рискоориентированный подход к организации информационной системы организаций, с применением методов управлению рисками риска (информационных угроз) через идентификацию, оценку, планирование, осуществление, совершенствование и контроль процессов по управлению рисками. В ГОСТе прописываются основные требования к данным процессам, которым организации должны соответствовать.

Требования к системе управления риском реализации информационных угроз представлены в следующих основных процессах:

Планирование системы управления риском:

• Определение политики управления рисками;
• Выявление и идентификация риска;
• Оценка риска;
• Организация ресурсного обеспечения.

Реализация системы управления риском:

• Планирование, реализация, контроль и совершенствование мероприятий;
• Выявление событий;
• Осведомленность об угрозах.

 Контроль системы управления риском:

• Контроль и аудит;
• Мониторинг.

Совершенствование системы управления риском:

• Обеспечение контрольных показателей уровня риска принятым фактическим.

Если обратиться к Положениям Банка России в области операционных рисков, то можно заметить, что технологические процессы в ГОСТ имеют некоторые отличия от указанных в Приложениях к Положениям 787-П и  779-П. Стоит сказать, что для соответствия ГОСТ финансовым организациям не потребуется больших трузодозатрат на определение процессов.

В ГОСТ представлены обязательные Приложения.

В данных Приложениях  отражены классификации событий риска реализации информационных угроз с точки зрения источников, типов событий рисков, направлений деятельности и видов потерь финансовых организаций. Также в Приложениях определены контрольные показатели уровня риска реализации информационных угроз как для кредитных, так и некредитных финансовых организаций.