Новый стандарт в сфере ИБ: ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

Как и уже давно знакомый ГОСТ Р 57580.1-2017, новые документы предназначены для использования кредитными и некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и становятся обязательными для выполнения финансовыми организациями путем включения ссылок на него в нормативных документах Банка России. На данный момент таких документов нет, но финансовые организации уже могут включать ссылки на новые ГОСТы в свои внутренние документы и модернизировать свою систему обеспечения информационно безопасности, в том числе процессы управления рисками ИБ и операционной надежностью.

ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 устанавливают базовый состав мер защиты для трех уровней защиты: усиленного (уровень 1), стандартного (уровень 2) и минимального (уровень 3). В ГОСТ Р 57580.3-2022 приведена планируемая структура стандартов «Безопасность финансовых (банковских) операций», согласно которой все выпущенные на данный момент стандарты составляют единый комплекс по регламентированию обеспечения безопасности финансовых организаций. ГОСТ Р 57580.1-2017 определяет меры по защите информации, ГОСТ Р 57580.4-2022 определяет меры по обеспечению операционной надежности, а ГОСТ Р 57580.3-2022 объединяет в себе меры по особенностям выполнения обоих документов и дополнительно определяет меры по управлению риском реализации информационных угроз с учетом применяемых мер как в части защиты информации, так и в части обеспечению операционной надежности.

Деятельность по управлению риском реализации информационных угроз ГОСТ Р 57580.3-2022 регламентирует как непрерывный процесс, отражающий цикл Деминга, включающий аналогичную деятельность как по направлению защиты информации, так и по направлению обеспечения операционной надежности. Указанные виды деятельности в финансовых организациях должны быть взаимосвязаны, основаны на принятых значениях контрольных показателей уровня риска реализации информационных угроз (КПУР РИУ) и направлены на недопущение превышения их фактическими значениями КПУР РИУ.

На данный момент не выпущены стандарты, определяющие методику оценки зрелости ГОСТ Р 57580.3-2022 и методику оценки соответствия ГОСТ Р 57580.4-2022, как и сами стандарты не утверждены к обязательному исполнению положениями Банка России, но рекомендуем финансовым организациям уже сейчас изучить эти документы и начать работу по возможной перестройке СИОБ для будущего соответствия стандартам. Так как стандарт по управлению риском реализации информационных угроз во многом основывается и ссылается на меры стандартов по обеспечению операционной надежности и защите информации, оптимален будет следующий состав работ по реализации требований стандартов:

• реализация уровня соответствия ГОСТ Р 57580.1-2017, установленного Положениями Банка России;
• реализация мер ГОСТ Р 57580.4-2022;
• реализация мер ГОСТ Р 57580.3-2022.

Финансовым организациям, выполняющим требования Положений Банка России № 716-П, 779-П и 787-П, будет проще реализовать выполнение мер новых ГОСТов, так как они в большой степени отражают требования этих положений, уточненные и дополненные.

• следование принципу «трех линий защиты»;
• более детализированная классификация событий риска;
• расширение состава КПУР с делением по группам, отмечены значения КПУР, установленные нормативными документами;
• расширение требований к оценке степени вероятности реализации событий риска и степени тяжести последствий такой реализации;
• расширение требований к оценке риска, связанного с недостатками кадрового обеспечения, с учетом наличия квалифицированных кадров, их оптимального количества с учетом трудозатрат на выполнение задач и размера организации, а также их возможным увольнением;
• введение требований к квалификации работников службы ИБ с учетом профессионального стандарта специалистов по ИБ в кредитно-финансовой сфере;
• расширение состава внутренней отчетности для всех подразделений, связанных с управлением риском;
• расширение процессов информированию и привлечению руководства финансовых организаций к деятельности по управлению риском;
• расширение процедур по управлению риском при привлечении поставщиков услуг.

Базовый состав мер ГОСТ Р 57580.3-2022 не сильно отличается для разных уровней защиты. Несмотря на то, что большинство мер являются организационными, их внедрение может потребовать значительных усилий за счет модификации действующих и внедрения новых процессов.

• установление и соблюдение не только контрольных, но и сигнальных значений КПУР, отмечены значения КПУР, установленные нормативными документами;
• доведение фактических значений части КПУР до клиентов;
• расширение требований к идентификации, учету и контролю состава элементов критичной архитектуры, включая их классификацию;
• расширение требований к управлению изменениями элементов критичной архитектуры (например, классификация изменений по уровню критичности, согласование изменений не только ИБ, но и подразделением по управлению рисками);
• разработка стандартов конфигурирования технических средств и систем, относящихся к критичной архитектуре, их согласование службой ИБ и контроль их изменения;
• расширение требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них (например, определение целевых показателей реагирования на инциденты и степень их достижения, расширение состава ролей ГРИЗИ, согласование изменений в конфигурации не только ИБ, но и подразделением по управлению рисками);
• расширение требований к восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов (например, определение целевых показателей восстановления после реализации инцидентов и степень их достижения, определение ролей, правил и процедур восстановления, определение критериев для оценки завершения восстановления);
• оценка эффективности деятельности по выявлению, реагированию на инциденты и восстановлению после их реализации в рамках регулярной оценки эффективности системы управления риском реализации информационных угроз, проводимой службой внутреннего аудита или иным уполномоченным подразделением;
• расширение состава внутренней отчетности в рамках управления операционной надежностью и риском реализации информационных угроз;
• расширение процессов информированию и привлечению руководства финансовых организаций к деятельности по управлению операционной надежностью;
• расширение процедур по управлению безопасности цепи поставок для управления операционной надежностью при привлечении поставщиков услуг (оценка поставщиков услуг, анализ и контроль их деятельности, выявление слабостей цепей поставок, привлечение дублирующих поставщиков услуг);
• расширение мер по обеспечению безопасности при удаленном доступе, включая доступ для технического обслуживания и диагностики элементов критичной архитектуры (например, многофакторную аутентификацию, последующий контроль и анализ действий).

Базовый состав мер ГОСТ Р 57580.4-2022 изрядно отличается для разных уровней защиты. Организациям, реализующим усиленный уровень защиты, необходимо будет выполнять большую часть мер стандарта техническими средствами. Внедрение организационных мер также может потребовать модификации действующих и внедрения новых процессов по управлению операционной надежностью, оптимизации взаимодействия между подразделениями ИБ, ИТ и управляющим рисками подразделением.