Меню
Оценка соответствия 719-П

ГОСТ Р 57580.3-2022 вводится с 1 февраля 2023 года

30 Янв 2023

Курихин Андрей Валерьевич
Автор статьи:

Росстандарт принял национальный стандарт, вводимый в действие с 1.02.2023 г. — ГОСТ Р 57580.3-2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности.

Обзор ГОСТ Р 57580.3-2022

Целью стандарта является способствование соблюдению требований к системе управления операционными рисками в предприятиях финансового сектора. ГОСТ стоит рассматривать в виде дополнения к нормативным актам ЦБ РФ.

ГОСТ Р 57580.3-2022 устанавливает требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках реализации, планирования, контроля и совершенствования системы управления таким риском. А также систем управления, определенных в рамках семейств стандартов обеспечения операционной надёжности и комплекса стандартов защиты информации.

Положениях данного стандарта определены для использования кредитными и некредитными финансовыми организациями, а также участниками платежной системы, финансовыми объединениями и экосистемы.

В настоящем стандарте представлена структура, которая предполагает, что значения, принятые организацией, контрольных показателей уровня риска, приобретают фактические значения, которые должны стать не более, чем установленные.

ГОСТ включает в себя:

Состав направлений, процессов и требований, определяемый:

  • Стандартами Управления риском;
  • Стандартами Обеспечения операционной надежности;
  • Стандартами Защиты информации финансовых организаций.

Настоящий Стандарт использует рискоориентированный подход к организации информационной системы организаций, с применением методов управлению рисками риска (информационных угроз) через идентификацию, оценку, планирование, осуществление, совершенствование и контроль процессов по управлению рисками. В ГОСТе прописываются основные требования к данным процессам, которым организации должны соответствовать.

Требования к системе управления риском реализации информационных угроз представлены в следующих основных процессах:

Планирование системы управления риском:

  • Определение политики управления рисками;
  • Выявление и идентификация риска;
  • Оценка риска;
  • Организация ресурсного обеспечения.

Реализация системы управления риском:

  • Планирование, реализация, контроль и совершенствование мероприятий;
  • Выявление событий;
  • Осведомленность об угрозах.

 Контроль системы управления риском:

  • Контроль и аудит;
  • Мониторинг.

Совершенствование системы управления риском:

  • Обеспечение контрольных показателей уровня риска принятым фактическим.

Если обратиться к Положениям Банка России в области операционных рисков, то можно заметить, что технологические процессы в ГОСТ имеют некоторые отличия от указанных в Приложениях к Положениям 787-П и  779-П. Стоит сказать, что для соответствия ГОСТ финансовым организациям не потребуется больших трузодозатрат на определение процессов.

В ГОСТ представлены обязательные Приложения.

В данных Приложениях  отражены классификации событий риска реализации информационных угроз с точки зрения источников, типов событий рисков, направлений деятельности и видов потерь финансовых организаций. Также в Приложениях определены контрольные показатели уровня риска реализации информационных угроз как для кредитных, так и некредитных финансовых организаций.

Услуги для Вас

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Пентест (pentest) сайта и веб-приложений

Тестирование на проникновение сайта и веб-приложений

Подробнее

Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.