Структура ГОСТ Р 57580.4-2022 от 01.02.2023 г.
31 Янв 2023
С 01.02.2023 будет введен ГОСТ Р 57580.4-2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер.
Настоящий стандарт устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер.
Целью стандарта является способствование соблюдению требований к операционной надежности. Рассматривается в качестве дополнения к нормативным актам Банка России.
Положения настоящего стандарта предназначены для использования кредитными и некредитными финансовыми организациями.
В указанном ГОСТе представлен состав системы обеспечения операционной надежности Организаций, который подразумевает конкретные меры и направления для ее функционирования.
Данный Стандарт применяет подход к организации управлением операционной надежностью через идентификацию, управление, работу с инцидентами, взаимодействие с поставщиками услуг. Также, как и в первой части ГОСТ, через цикл Деминга (планирование, реализацию, контроль и совершенствование процессов). ГОСТ указывает на ключевые условия к данным процессам в виде требований, которым организации должны соответствовать.
Настоящий стандарт включает в себя:
Требования к системе обеспечения операционной надежности финансовой организации:
- Процесс 1 «Идентификация критичной архитектуры»
Устанавливает требования по организации учета и контроля бизнес- и технологических процессов (операций) и объектов информатизации, участвующих в этих процессах (операциях); - Процесс 2 «Управление изменениями»
Устанавливает требования к обеспечению процедур управления конфигурациями, уязвимостями и обновлениями в отношении объектов информатизации, входящих в критичную архитектуру; - Процесс 3 «Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз и восстановление после их реализации»
Устанавливает требования по мониторингу событий, связанных с возможной реализацией информационных угроз, в части выявления, реагирования и регистрации, в том числе обнаружению компьютерных атак и выявлению фактов (индикаторов) компрометации объектов информатизации; - Процесс 4 «Взаимодействие с поставщиками услуг»
Устанавливает требования по разработке процедур и защите объектов информатизации при привлечении поставщиков услуг; - Процесс 5 «Тестирование операционной надежности бизнес- и технологических процессов»
Устанавливает требования по проведению анализа и тестирования системы операционной надежности, для оценки готовности финансовой организации противостоять информационным угрозам; - Процесс 6 «Защита критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы»
Устанавливает требования по защите от информационных угроз в условиях удаленной работы, основанных на процессе 8 ГОСТ 57580.1, включая разработку плана ОНиВД, регламентирующий дистанционную работу; - Процесс 7 «Управление риском внутреннего нарушителя»
Устанавливает требования по управлению риском, связанного с реализацией информационных угроз, от действий внутреннего нарушителя, направленные на предметное снижение появления таких рисков; - Процесс 8 «Обеспечение осведомленности об актуальных информационных угрозах»
Устанавливает требования по организации взаимодействия обмена информацией об актуальных сценариях реализации информационных угроз.
Требования к системе организации и управления операционной надежностью финансовой организации:
- Направление 1 «Планирование процесса системы обеспечения операционной надежности»;
- Направление 2 «Реализация процесса системы обеспечения операционной надежности»;
- Направление 3 «Контроль процесса системы обеспечения операционной надежности»;
- Направление 4 «Совершенствование процесса системы обеспечения операционной надежности».
Приложение А: Перечень технологических мер защиты информации.
Приложение Б (обязательное): Целевые показатели операционной надежности.
В ГОСТ представлено обязательное Приложение, в котором отражены базовые показатели операционной надежности.
Также в справочном Приложении определен перечень технологических мер защиты информации, обрабатываемой в рамках технологических операций (участков) бизнес- и технологических процессов.
Если исходить из Положений ЦБ РФ, касаемых операционной надежности, то можно сказать, что технологические процессы в ГОСТ отличаются от указанных в Приложениях к Положениям 787-П/779-П.
На данный момент нет методики, по которой можно рассчитать оценку выполнения требуемых мер, поэтому, до ее появления, провести оценку по данному стандарту не представляется возможным.
Услуги для Вас
Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееПентест (pentest) сайта и веб-приложений
Тестирование на проникновение сайта и веб-приложений
Подробнее