Структура ГОСТ Р 57580.4-2022 от 01.02.2023 г.

С 01.02.2023 будет введен ГОСТ Р 57580.4-2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер.

Настоящий стандарт устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер.

Целью стандарта является способствование соблюдению требований к операционной надежности. Рассматривается в качестве дополнения к нормативным актам Банка России.
Положения настоящего стандарта предназначены для использования кредитными и некредитными финансовыми организациями.

В указанном ГОСТе представлен состав системы обеспечения операционной надежности Организаций, который подразумевает конкретные меры и направления для ее функционирования.

Данный Стандарт применяет подход к организации управлением операционной надежностью через идентификацию, управление, работу с инцидентами, взаимодействие с поставщиками услуг. Также, как и в первой части ГОСТ, через цикл Деминга (планирование, реализацию, контроль и совершенствование процессов). ГОСТ указывает на ключевые условия к данным процессам в виде требований, которым организации должны соответствовать.

Настоящий стандарт включает в себя:

Требования к системе обеспечения операционной надежности финансовой организации:

• Процесс 1 «Идентификация критичной архитектуры»
  Устанавливает требования по организации учета и контроля бизнес- и технологических процессов (операций) и объектов информатизации, участвующих в этих процессах (операциях);
• Процесс 2 «Управление изменениями»
  Устанавливает требования к обеспечению процедур управления конфигурациями, уязвимостями и обновлениями в отношении объектов информатизации, входящих в критичную архитектуру;
• Процесс 3 «Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз и восстановление после их реализации»
  Устанавливает требования по мониторингу событий, связанных с возможной реализацией информационных угроз, в части выявления, реагирования и регистрации, в том числе обнаружению компьютерных атак и выявлению фактов (индикаторов) компрометации объектов информатизации;
• Процесс 4 «Взаимодействие с поставщиками услуг»
  Устанавливает требования по разработке процедур и защите объектов информатизации при привлечении поставщиков услуг;
• Процесс 5 «Тестирование операционной надежности бизнес- и технологических процессов»
  Устанавливает требования по проведению анализа и тестирования системы операционной надежности, для оценки готовности финансовой организации противостоять информационным угрозам;
• Процесс 6 «Защита критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы»
  Устанавливает требования по защите от информационных угроз в условиях удаленной работы, основанных на процессе 8 ГОСТ 57580.1, включая разработку плана ОНиВД, регламентирующий дистанционную работу;
• Процесс 7 «Управление риском внутреннего нарушителя»
  Устанавливает требования по управлению риском, связанного с реализацией информационных угроз, от действий внутреннего нарушителя, направленные на предметное снижение появления таких рисков;
• Процесс 8 «Обеспечение осведомленности об актуальных информационных угрозах»
  Устанавливает требования по организации взаимодействия обмена информацией об актуальных сценариях реализации информационных угроз.

Требования к системе организации и управления операционной надежностью финансовой организации:

• Направление 1 «Планирование процесса системы обеспечения операционной надежности»;
• Направление 2 «Реализация процесса системы обеспечения операционной надежности»;
• Направление 3 «Контроль процесса системы обеспечения операционной надежности»;
• Направление 4 «Совершенствование процесса системы обеспечения операционной надежности».

Приложение А: Перечень технологических мер защиты информации.
Приложение Б (обязательное): Целевые показатели операционной надежности.

В ГОСТ представлено обязательное Приложение, в котором отражены базовые показатели операционной надежности.
Также в справочном Приложении определен перечень технологических мер защиты информации, обрабатываемой в рамках технологических операций (участков) бизнес- и технологических процессов.

Если исходить из Положений ЦБ РФ, касаемых операционной надежности, то можно сказать, что технологические процессы в ГОСТ отличаются от указанных в Приложениях к Положениям 787-П/779-П.

На данный момент нет методики, по которой можно рассчитать оценку выполнения требуемых мер, поэтому, до ее появления, провести оценку по данному стандарту не представляется возможным.