Классификации событий риска реализации информационных угроз в соответствии с ГОСТ 57580.3-2022
5 Сен 2023
ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения» является особенно важным для повышения кибербезопасности и для максимальной минимизации возможных рисков.
Операционная надежность финансовых организаций имеет прямое отношение к их способности исполнять свои обязательства перед клиентами и обеспечивать стабильность финансовой системы. ГОСТ Р 57580.3-2022 устанавливает набор требований и рекомендаций, которые помогают финансовым организациям снизить риски операционных сбоев, повысить эффективность и надежность своих процессов.
Классификация рисков информационных угроз по ГОСТ 57580.3-2022
Компании имеют дело с огромным объемом транзакций и чувствительной информации клиентов. Недостаток операционной надежности может привести к нарушению безопасности данных, краже личной информации или финансовым потерям для клиентов.
Безопасность и надежность операций означают, что клиенты могут быть уверены в сохранности своих средств и данных, а также в надлежащем исполнении финансовых операций.
Это создает условия для развития долгосрочных отношений с клиентами и повышает уровень их удовлетворенности и лояльности.
Финансовые организации должны учитывать возможность злонамеренных поступков сотрудников или иных людей, которые причастны к организации. Внутренние нарушители, включая сотрудников и третьи лица с доступом к важной информации, могут получить несанкционированный доступ и представлять угрозу безопасности данных.
Следующая категория рисков связана с возможными сбоями информационных систем. Информационные системы могут выйти из строя, что может привести к нарушению работы финансовой организации.
Отдельно стоит учесть категорию внешних факторов, когда злоумышленники, не имеющие авторизованного доступа к информационным системам, осуществляют компьютерные атаки или несанкционированный доступ. Это может привести к нарушению нормального функционирования бизнес- и технологических процессов, а также к краже, искажению или удалению конфиденциальной информации, включая личные данные.
Успешная работа системы требует устойчивости и непрерывности операций всех ее участников. Недостаток безопасности или надежности в одной финансовой организации может привести к сбоям и проблемам, которые затрагивают остальные компании и даже всю экономику.
Классификация источников риска по ГОСТ 57580.3-2022
Часто организации сталкиваются с риском кибер-угроз, которые могут нанести ущерб клиентам. Чтобы более точно определить и классифицировать эти угрозы, они рассматривают направления компьютерных атак, типы атак и инцидентов, а также различные объекты, подверженные атакам.
В целом, компьютерные атаки, с которыми сталкиваются финансовые организации, можно разделить на две категории:
- Атаки, направленные на саму организацию. Это атаки, которые нацелены на системы и данные, используемые внутри организации для обработки финансовых операций и других информационных процессов.
- Атаки, направленные на клиентов организации. Это атаки, которые затрагивают клиентов финансовой организации, их учетные записи, информацию о платежах и другие связанные данные.
Для классификации типов компьютерных атак и инцидентов используются специальные форматы, которые помогают системам обнаружения и предотвращения атак в Российской Федерации.
Банк России активно взаимодействует с участниками информационного обмена, чтобы обнаруживать и реагировать на подобные инциденты.
Кроме того, объекты, подверженные атакам, также классифицируются для лучшего понимания рисков.
Вот несколько примеров:
- На инфраструктурном уровне включены аппаратное обеспечение, сетевое оборудование, сетевые приложения, компоненты виртуализации и программные инфраструктурные сервисы.
- На прикладном уровне включены системы дистанционного банковского обслуживания, обработки платежных карт, информационные ресурсы Интернета, автоматизированные банковские системы и другие системы, используемые внутри организации.
Есть и другие типы объектов информатизации, которые также могут стать целью атак:
- Работники финансовой организации также могут быть подвержены угрозам информационной безопасности.
- Третьи стороны, связанные с финансовой организацией (кроме клиентов), также могут стать целью атак.
- Наконец, клиенты финансовой организации также могут оказаться под угрозой атак, которые направлены на их учетные записи и финансовую информацию.
Соблюдение требований ГОСТ Р 57580.3-2022 помогает финансовым организациям сократить возможность простоев и снизить операционные издержки. Установление единых стандартов и процедур повышает эффективность операций, упрощает процессы и снижает риски ошибок и сбоев.
Выводы
ГОСТ Р 57580.3-2022 отражает стремление финансовых организаций к постоянному совершенствованию своих систем управления рисками. Безопасность финансовых организаций является приоритетной задачей, она способствуют стабильности и развитию экономики в целом. Финансовые учреждения являются краеугольными камнями финансовой системы и поддерживают доверие и стабильность на рынке.
Если клиенты и инвесторы не уверены в безопасности своих средств и данных, это может привести к панике и снижению доверия к финансовым институтам. В результате возможно сокращение инвестиций, замедление экономического роста и потенциальное нарушение финансовой стабильности.
ГОСТ Р 57580.3-2022 — неотъемлемый инструмент безопасности. Его соблюдение помогает защитить конфиденциальность данных клиентов, предотвратить финансовые потери, улучшить качество обслуживания и обеспечить стабильность финансовой системы.