Банк России продолжает развивать стандарты в области информационной безопасности и операционной надежности финансовых организаций. В этом году на публичное обсуждение была вынесена первая редакция проекта ГОСТ Р 57580.5 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Методика оценки соответствия». Документ определяет, как именно будет проводиться проверка системы обеспечения операционной надежности на соответствие требованиям ГОСТ Р 57580.4-2022.
— Юлия, о каком документе идет речь и почему он важен?
Это проект национального стандарта ГОСТ Р 57580.5, который описывает методику оценки соответствия системы обеспечения операционной надежности требованиям Центрального банка. По сути, это инструмент, который поможет организациям проверять, насколько их процессы соответствуют стандарту ГОСТ Р 57580.4-2022. Его цель — сделать процесс оценки прозрачным, единообразным и понятным как для компаний, так и для аудиторов.
— Какие именно правки ты предложила?
Я внесла несколько правок — как косметических, так и регламентирующих порядок проведения оценки соответствия и оформления результатов. Большинство из них были учтены в следующей версии проекта.
Самой важной я считаю доработку методики расчета общего числового значения каждого процесса системы обеспечения операционной надежности в случаях, когда в область оценки входят несколько контуров безопасности, часть из которых имеет одинаковый уровень защиты. В первоначальной версии стандарта такая комбинация не была предусмотрена, хотя на практике встречается достаточно часто.
Самой важной я считаю доработку методики расчета общего числового значения каждого процесса системы обеспечения операционной надежности в случаях, когда в область оценки входят несколько контуров безопасности, часть из которых имеет одинаковый уровень защиты. В первоначальной версии стандарта такая комбинация не была предусмотрена, хотя на практике встречается достаточно часто.
— На чем основывались твои предложения?
В первую очередь — на практическом опыте. Недавно на обсуждение выносилась новая редакция стандарта ГОСТ Р 57580.2-2018, и при анализе документа я заметила, что существующая методика расчета общего значения для нескольких контуров безопасности учитывает только ситуации, когда контуры либо полностью одинаковы по уровню защиты, либо полностью различаются (например, 1-2, 1-3, 2-3, 1-2-3).
На практике же часто встречается вариант, когда, например, выделяются несколько контуров одного уровня и один отличающийся — условно, 2-2-3. Для таких сочетаний не было понятного алгоритма расчета, и я предложила добавить методику, которая позволит корректно учитывать такие случаи.
На практике же часто встречается вариант, когда, например, выделяются несколько контуров одного уровня и один отличающийся — условно, 2-2-3. Для таких сочетаний не было понятного алгоритма расчета, и я предложила добавить методику, которая позволит корректно учитывать такие случаи.
— Как ты узнала о возможности внести свои предложения?
Я представляю компанию Infosecurity в Техническом комитете № 122 «Стандарты финансовых операций», который занимается разработкой и обсуждением нормативных документов в сфере финансовой безопасности. От комитета поступила рассылка об открытии публичного обсуждения проекта, и я направила комментарии через систему обратной связи на сайте ТК № 122.
— Сколько заняло рассмотрение твоих предложений? Был ли диалог с ЦБ?
Комментарии я направила задолго до завершения публичного обсуждения. Примерно через три недели со мной связался представитель Центрального банка и направил доработанную версию проекта, где уже были учтены мои предложения, а также замечания других участников обсуждения.
ЦБ проявил готовность к диалогу и ответу на возможные вопросы, но дополнительных обсуждений не потребовалось — доработанная версия документа уже учитывала все необходимые уточнения.
ЦБ проявил готовность к диалогу и ответу на возможные вопросы, но дополнительных обсуждений не потребовалось — доработанная версия документа уже учитывала все необходимые уточнения.
— Как эти правки скажутся на регулировании?
Они не меняют регулирование в прямом смысле, но делают процесс оценки более понятным и логичным. Также удалось уточнить некоторые формулировки и термины, чтобы снизить риск неоднозначных трактовок при проведении оценки соответствия.
— Кого прежде всего затронут эти изменения?
В первую очередь — компании, которые будут проходить оценку соответствия ГОСТ Р 57580.4-2022, а также тех, кто решит провести самооценку своих систем. Для них новый подход сделает расчет итоговых показателей более понятным, особенно в случаях сложной структуры контуров безопасности.
— Какие проблемы должны решить внесенные изменения?
Они устраняют пробел, связанный с отсутствием явной методики оценки для случаев, когда в области оценки присутствуют разные сочетания контуров с частично совпадающими уровнями защиты. Теперь такой вариант предусмотрен, и расчет общей оценки можно проводить корректно и последовательно.
— Как ты оцениваешь открытость ЦБ к предложениям экспертного сообщества?
Считаю, что ЦБ действительно открыт к диалогу. Сейчас активно создаются новые технические комитеты, куда входят представители финансовых организаций, интеграторов и экспертов по информационной безопасности. Проводятся публичные обсуждения, круглые столы, конференции.
По итогам рассмотрения моих предложений мне направили комментарии к каждому пункту и выразили готовность к дальнейшему сотрудничеству — это хороший пример конструктивного взаимодействия регулятора и профессионального сообщества.
По итогам рассмотрения моих предложений мне направили комментарии к каждому пункту и выразили готовность к дальнейшему сотрудничеству — это хороший пример конструктивного взаимодействия регулятора и профессионального сообщества.
— Какие направления, на твой взгляд, требуют дальнейшего внимания?
С точки зрения развития стандартов сейчас важно проработать методику оценки зрелости для ГОСТ Р 57580.3-2022. Кроме того, Банк России уже ведет работу по регулированию вопросов защиты информации при использовании технологий искусственного интеллекта — это крайне актуальная тема, которая требует особого подхода.
— Планируешь продолжать участие в разработке регулятивных документов?
Да, конечно. Это полезный и интересный процесс, который позволяет применять практические знания и вносить вклад в развитие единых подходов к безопасности в финансовой отрасли.
На данный момент ГОСТ Р 57580.5 находится на этапе обсуждения первой редакции. После сбора и анализа предложений от участников технического комитета и профессионального сообщества планируется подготовить обновленную версию документа. Финальное утверждение стандарта ожидается после завершения всех этапов согласований в ТК № 122 «Стандарты финансовых операций» и Росстандарте.
