С 27 марта 2024 года на сайте Банка России опубликован документ №7-МР от 21.03.2024 «Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности» для использования кредитными и некредитными финансовыми организациями. Несмотря на то, что стандарты с методиками оценок ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 еще не выпущены, Банк России рекомендует уже сейчас готовиться к внедрению требований этих стандартов.
На кого распространяются?
Выполнение методических рекомендаций № 7-МР (далее – 7-МР) необходимо для кредитных и некредитных финансовых организаций, включая небанковские кредитные организации.
Что рекомендуют?
В 7-МР Банком России указаны рекомендации к реализации уровней защиты стандартов ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 финансовыми организациями. Для разных стандартов и разных типов организаций рекомендации по уровню защиты различаются.
Для кредитных финансовых организаций
Требования ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 на данный момент рекомендуются реализовывать кредитным финансовым организациям, включая НКО, а уровень защиты для реализации зависит не только от типа организации, но и от лицензии банка, а также от его финансовых показателей.
Для определения необходимого уровня защиты 7-МР кредитным организациям рекомендовано обратиться к Положению Банка России от 08.04.2020 N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (основное положение: 1063 (cbr.ru), изменения: 2634 (cbr.ru)).
Усиленный уровень защиты ГОСТ Р 57580.3-2022 рекомендуется реализовывать банкам, если для них справедливо любое из условий:
- размер их активов на начало года составляет 500 млрд. руб. и более;
- имеется универсальная лицензия.
Стандартный уровень защиты ГОСТ Р 57580.3-2022 рекомендуется реализовывать:
- банкам с базовой лицензией;
- небанковским кредитным организациям.
Усиленный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать банкам, если размер их активов на начало года составляет 500 млрд. руб. и более.
Стандартный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать всем остальным кредитным организациям, а именно:
- банкам с универсальной лицензией;
- банкам с базовой лицензией;
- небанковским кредитным организациям.
Минимальный уровень защиты ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 для кредитных организаций методическими рекомендациями не предусмотрен.
Для некредитных финансовых организаций
Рекомендовано реализовывать требования ГОСТ Р 57580.4-2022, а уровень защиты для реализации зависит от типа организации и ее финансовых показателей.
Для определения необходимого уровня защиты 7-МР некредитным финансовым организациям следует обратиться к Положению Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Уровни защиты для реализации требований ГОСТ Р 57580.4-2022 для некредитных финансовых организаций точно такие же, как и уровни защиты ГОСТ Р 57580.1-2017.
Усиленный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать:
- центральным контрагентам;
- центральному депозитарию;
- регистраторам финансовых транзакций.
Стандартный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать:
- клиринговым организациям;
- организаторам торговли;
- страховым организациям (см. необходимые показатели согласно п. 1.4.3 757-П);
- негосударственным пенсионным фондам, осуществляющим деятельность по обязательному пенсионному страхованию;
- негосударственным пенсионным фондам, осуществляющим деятельность по негосударственному пенсионному обеспечению (см. необходимые показатели согласно п. 1.4.3 757-П);
- репозитариям, не являющимся регистраторами финансовых транзакций;
- специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (см. необходимые показатели согласно п. 1.4.3 757-П);
- брокерам, дилерам, управляющим, депозитариям и регистраторам (см. необходимые показатели согласно п. 1.4.3 757-П);
- операторам инвестиционных платформ, (см. необходимые показатели согласно п. 1.4.3 757-П);
- операторам финансовых платформ (см. необходимые показатели согласно п. 1.4.3 757-П);
- операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов (см. необходимые показатели согласно п. 1.4.3 757-П);
- операторам обмена цифровых финансовых активов (см. необходимые показатели согласно п. 1.4.3 757-П).
Минимальный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать:
- специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, не указанным выше;
- брокерам, дилерам, управляющим, депозитариям и регистраторам, не указанным выше;
- управляющим компаниям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
- форекс-дилерам;
- операторам финансовых платформы, не указанным выше;
- операторам информационных систем, не указанным выше;
- операторам обмена цифровых финансовых активов, не указанным выше;
- страховым организациям, не указанным выше;
- обществам взаимного страхования;
- страховым брокерам.
Для остальных некредитных финансовых организаций конкретный уровень защиты для ГОСТ Р 57580.4-2022 методическими рекомендациями не определен.
Для кредитных финансовых организаций
Требования ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 на данный момент рекомендуются реализовывать кредитным финансовым организациям, включая НКО, а уровень защиты для реализации зависит не только от типа организации, но и от лицензии банка, а также от его финансовых показателей.
Для определения необходимого уровня защиты 7-МР кредитным организациям рекомендовано обратиться к Положению Банка России от 08.04.2020 N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (основное положение: 1063 (cbr.ru), изменения: 2634 (cbr.ru)).
Усиленный уровень защиты ГОСТ Р 57580.3-2022 рекомендуется реализовывать банкам, если для них справедливо любое из условий:
- размер их активов на начало года составляет 500 млрд. руб. и более;
- имеется универсальная лицензия.
Стандартный уровень защиты ГОСТ Р 57580.3-2022 рекомендуется реализовывать:
- банкам с базовой лицензией;
- небанковским кредитным организациям.
Усиленный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать банкам, если размер их активов на начало года составляет 500 млрд. руб. и более.
Стандартный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать всем остальным кредитным организациям, а именно:
- банкам с универсальной лицензией;
- банкам с базовой лицензией;
- небанковским кредитным организациям.
Минимальный уровень защиты ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 для кредитных организаций методическими рекомендациями не предусмотрен.
Для некредитных финансовых организаций
Рекомендовано реализовывать требования ГОСТ Р 57580.4-2022, а уровень защиты для реализации зависит от типа организации и ее финансовых показателей.
Для определения необходимого уровня защиты 7-МР некредитным финансовым организациям следует обратиться к Положению Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Уровни защиты для реализации требований ГОСТ Р 57580.4-2022 для некредитных финансовых организаций точно такие же, как и уровни защиты ГОСТ Р 57580.1-2017.
Усиленный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать:
- центральным контрагентам;
- центральному депозитарию;
- регистраторам финансовых транзакций.
Стандартный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать:
- клиринговым организациям;
- организаторам торговли;
- страховым организациям (см. необходимые показатели согласно п. 1.4.3 757-П);
- негосударственным пенсионным фондам, осуществляющим деятельность по обязательному пенсионному страхованию;
- негосударственным пенсионным фондам, осуществляющим деятельность по негосударственному пенсионному обеспечению (см. необходимые показатели согласно п. 1.4.3 757-П);
- репозитариям, не являющимся регистраторами финансовых транзакций;
- специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (см. необходимые показатели согласно п. 1.4.3 757-П);
- брокерам, дилерам, управляющим, депозитариям и регистраторам (см. необходимые показатели согласно п. 1.4.3 757-П);
- операторам инвестиционных платформ, (см. необходимые показатели согласно п. 1.4.3 757-П);
- операторам финансовых платформ (см. необходимые показатели согласно п. 1.4.3 757-П);
- операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов (см. необходимые показатели согласно п. 1.4.3 757-П);
- операторам обмена цифровых финансовых активов (см. необходимые показатели согласно п. 1.4.3 757-П).
Минимальный уровень защиты ГОСТ Р 57580.4-2022 рекомендуется реализовывать:
- специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, не указанным выше;
- брокерам, дилерам, управляющим, депозитариям и регистраторам, не указанным выше;
- управляющим компаниям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
- форекс-дилерам;
- операторам финансовых платформы, не указанным выше;
- операторам информационных систем, не указанным выше;
- операторам обмена цифровых финансовых активов, не указанным выше;
- страховым организациям, не указанным выше;
- обществам взаимного страхования;
- страховым брокерам.
Для остальных некредитных финансовых организаций конкретный уровень защиты для ГОСТ Р 57580.4-2022 методическими рекомендациями не определен.
Каковы сроки исполнения требований?
Сроки внедрения требований ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 для разных организаций отличаются и зависят от типа организации и рекомендованного к реализации уровня защиты.
Для кредитных финансовых организаций
Для всех кредитных организаций срок внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 объединен. Так, к 31 декабря 2025 года необходимый уровень ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 необходимо реализовывать кредитным организациям, если размер их активов на начало года составляет 500 млрд. руб. и более. Всем остальным кредитным организациям внедрение этих стандартов рекомендовано завершить до 31 декабря 2026 года.
Для некредитных финансовых организаций
Срок, в который некредитным финансовым организациям рекомендуется реализовать требования ГОСТ Р 57580.4-2022, зависит от уровня защиты. Так, организациям, для которых предусмотрена реализация усиленного или стандартного уровня защиты, рекомендуется выполнить эти работы к 31 декабря 2026 года, а минимального уровня защиты – до 31 декабря 2027 года.
Пока всем финансовым организациям, попавшим под действие 7-МР, рекомендуется составить планы внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, предусматривающие выбор и применение организационных и технических мер.
Для кредитных финансовых организаций
Для всех кредитных организаций срок внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 объединен. Так, к 31 декабря 2025 года необходимый уровень ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 необходимо реализовывать кредитным организациям, если размер их активов на начало года составляет 500 млрд. руб. и более. Всем остальным кредитным организациям внедрение этих стандартов рекомендовано завершить до 31 декабря 2026 года.
Для некредитных финансовых организаций
Срок, в который некредитным финансовым организациям рекомендуется реализовать требования ГОСТ Р 57580.4-2022, зависит от уровня защиты. Так, организациям, для которых предусмотрена реализация усиленного или стандартного уровня защиты, рекомендуется выполнить эти работы к 31 декабря 2026 года, а минимального уровня защиты – до 31 декабря 2027 года.
Пока всем финансовым организациям, попавшим под действие 7-МР, рекомендуется составить планы внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, предусматривающие выбор и применение организационных и технических мер.
Как выполнить 7-МР?
Мы рекомендуем выполнять 7-МР в несколько шагов:
1. Определить рекомендованный к выполнению ГОСТ и уровень защиты
В зависимости от типа организации, ее лицензии и финансовых показателей необходимо определить, рекомендуется ли согласно 7-МР реализовывать меры ГОСТ Р 57580.3-2022 или ГОСТ Р 57580.4-2022, а также рекомендованный к реализации уровень (или уровни) защиты.
2. Провести оценку выполнения мер нужного уровня и нужного ГОСТа
Так как методики оценки еще не выпущены, рекомендуем провести оценку выполнения мер методом чек-листа, т.е. определить, насколько выполняется каждая мера из списка. Такую оценку можно провести как самостоятельно, так и с привлечением внешней организации. Если в организации уже реализованы требования Положений Банка России № 716-П и 787-П (для кредитных организаций) или 779-П (для НФО), а также стандарта ГОСТ Р 57580.1-2017 на высоком уровне, часть мер новых стандартов уже будет выполнена.
3. Составить план внедрения ГОСТ Р 57580.3-2022 и/или ГОСТ Р 57580.4-2022
После проведения оценки из прошлого пункта рекомендуем отметить все меры, реализация которых находится на низком или недостаточно высоком уровне и сгруппировать их по процессам обеспечения защиты информации, операционной надежности или непосредственно управления рисками, а также по необходимым действиям. Для выполнения части мер достаточно будет разработать недостающие документы, но некоторые могут потребовать изменения процессов, найма новых сотрудников или внедрения технических средств. Для каждого шага плана рекомендуем назначить ответственное лицо и планируемый срок.
Несмотря на то, что сроки разработки планов в 7-МР не определены, откладывать выполнение крайне нежелательно. Реализация нужных уровней ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 на практике может сильно затянуться, а время, определенное для их внедрения, пролететь незаметно.
1. Определить рекомендованный к выполнению ГОСТ и уровень защиты
В зависимости от типа организации, ее лицензии и финансовых показателей необходимо определить, рекомендуется ли согласно 7-МР реализовывать меры ГОСТ Р 57580.3-2022 или ГОСТ Р 57580.4-2022, а также рекомендованный к реализации уровень (или уровни) защиты.
2. Провести оценку выполнения мер нужного уровня и нужного ГОСТа
Так как методики оценки еще не выпущены, рекомендуем провести оценку выполнения мер методом чек-листа, т.е. определить, насколько выполняется каждая мера из списка. Такую оценку можно провести как самостоятельно, так и с привлечением внешней организации. Если в организации уже реализованы требования Положений Банка России № 716-П и 787-П (для кредитных организаций) или 779-П (для НФО), а также стандарта ГОСТ Р 57580.1-2017 на высоком уровне, часть мер новых стандартов уже будет выполнена.
3. Составить план внедрения ГОСТ Р 57580.3-2022 и/или ГОСТ Р 57580.4-2022
После проведения оценки из прошлого пункта рекомендуем отметить все меры, реализация которых находится на низком или недостаточно высоком уровне и сгруппировать их по процессам обеспечения защиты информации, операционной надежности или непосредственно управления рисками, а также по необходимым действиям. Для выполнения части мер достаточно будет разработать недостающие документы, но некоторые могут потребовать изменения процессов, найма новых сотрудников или внедрения технических средств. Для каждого шага плана рекомендуем назначить ответственное лицо и планируемый срок.
Несмотря на то, что сроки разработки планов в 7-МР не определены, откладывать выполнение крайне нежелательно. Реализация нужных уровней ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 на практике может сильно затянуться, а время, определенное для их внедрения, пролететь незаметно.
История вопроса
Напомним, что 1 февраля 2023 года были утверждены национальные стандарты ГОСТ Р 57580.3-2022 «Управление риском реализации информационных угроз и обеспечение операционной надежности» и ГОСТ Р 57580.4 «Обеспечение операционной надежности». Оба относятся к серии стандартов ГОСТ Р 57580 – о них можно узнать из нашей статьи.
Автор: Юлия Задубровская, руководитель направления безопасности финансовых организаций Infosecurity a Softline company
