Меню
ГОСТ Р 57580.4-2022

Структура ГОСТ Р 57580.4-2022 от 01.02.2023 г.

31 Янв 2023

Курихин Андрей Валерьевич
Автор статьи:

С 01.02.2023 будет введен ГОСТ Р 57580.4-2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер.

Настоящий стандарт устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер.

Целью стандарта является способствование соблюдению требований к операционной надежности. Рассматривается в качестве дополнения к нормативным актам Банка России.
Положения настоящего стандарта предназначены для использования кредитными и некредитными финансовыми организациями.

В указанном ГОСТе представлен состав системы обеспечения операционной надежности Организаций, который подразумевает конкретные меры и направления для ее функционирования.

Данный Стандарт применяет подход к организации управлением операционной надежностью через идентификацию, управление, работу с инцидентами, взаимодействие с поставщиками услуг. Также, как и в первой части ГОСТ, через цикл Деминга (планирование, реализацию, контроль и совершенствование процессов). ГОСТ указывает на ключевые условия к данным процессам в виде требований, которым организации должны соответствовать.

Настоящий стандарт включает в себя:

Требования к системе обеспечения операционной надежности финансовой организации:

  • Процесс 1 «Идентификация критичной архитектуры»
    Устанавливает требования по организации учета и контроля бизнес- и технологических процессов (операций) и объектов информатизации, участвующих в этих процессах (операциях);
  • Процесс 2 «Управление изменениями»
    Устанавливает требования к обеспечению процедур управления конфигурациями, уязвимостями и обновлениями в отношении объектов информатизации, входящих в критичную архитектуру;
  • Процесс 3 «Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз и восстановление после их реализации»
    Устанавливает требования по мониторингу событий, связанных с возможной реализацией информационных угроз, в части выявления, реагирования и регистрации, в том числе обнаружению компьютерных атак и выявлению фактов (индикаторов) компрометации объектов информатизации;
  • Процесс 4 «Взаимодействие с поставщиками услуг»
    Устанавливает требования по разработке процедур и защите объектов информатизации при привлечении поставщиков услуг;
  • Процесс 5 «Тестирование операционной надежности бизнес- и технологических процессов»
    Устанавливает требования по проведению анализа и тестирования системы операционной надежности, для оценки готовности финансовой организации противостоять информационным угрозам;
  • Процесс 6 «Защита критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы»
    Устанавливает требования по защите от информационных угроз в условиях удаленной работы, основанных на процессе 8 ГОСТ 57580.1, включая разработку плана ОНиВД, регламентирующий дистанционную работу;
  • Процесс 7 «Управление риском внутреннего нарушителя»
    Устанавливает требования по управлению риском, связанного с реализацией информационных угроз, от действий внутреннего нарушителя, направленные на предметное снижение появления таких рисков;
  • Процесс 8 «Обеспечение осведомленности об актуальных информационных угрозах»
    Устанавливает требования по организации взаимодействия обмена информацией об актуальных сценариях реализации информационных угроз.

Требования к системе организации и управления операционной надежностью финансовой организации:

  • Направление 1 «Планирование процесса системы обеспечения операционной надежности»;
  • Направление 2 «Реализация процесса системы обеспечения операционной надежности»;
  • Направление 3 «Контроль процесса системы обеспечения операционной надежности»;
  • Направление 4 «Совершенствование процесса системы обеспечения операционной надежности».

Приложение А: Перечень технологических мер защиты информации.
Приложение Б (обязательное): Целевые показатели операционной надежности.

В ГОСТ представлено обязательное Приложение, в котором отражены базовые показатели операционной надежности.
Также в справочном Приложении определен перечень технологических мер защиты информации, обрабатываемой в рамках технологических операций (участков) бизнес- и технологических процессов.

Если исходить из Положений ЦБ РФ, касаемых операционной надежности, то можно сказать, что технологические процессы в ГОСТ отличаются от указанных в Приложениях к Положениям 787-П/779-П.

На данный момент нет методики, по которой можно рассчитать оценку выполнения требуемых мер, поэтому, до ее появления, провести оценку по данному стандарту не представляется возможным.

Услуги для Вас

Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Пентест (pentest) сайта и веб-приложений

Тестирование на проникновение сайта и веб-приложений

Подробнее

Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.