Новый стандарт в сфере ИБ: ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

С 1 февраля 2023 года семейство ГОСТ Р 57580 «Безопасность финансовых (банковских) операций» пополнилось еще двумя стандартами: ГОСТ Р 57580.3-2022 «Управление риском реализации информационных угроз и обеспечение операционной надежности» и ГОСТ Р 57580.4 «Обеспечение операционной надежности». Рассказываем, в чем их суть.

Как и уже давно знакомый ГОСТ Р 57580.1-2017, новые документы предназначены для использования кредитными и некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и становятся обязательными для выполнения финансовыми организациями путем включения ссылок на него в нормативных документах Банка России. На данный момент таких документов нет, но финансовые организации уже могут включать ссылки на новые ГОСТы в свои внутренние документы и модернизировать свою систему обеспечения информационно безопасности, в том числе процессы управления рисками ИБ и операционной надежностью.

ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 устанавливают базовый состав мер защиты для трех уровней защиты: усиленного (уровень 1), стандартного (уровень 2) и минимального (уровень 3). В ГОСТ Р 57580.3-2022 приведена планируемая структура стандартов «Безопасность финансовых (банковских) операций», согласно которой все выпущенные на данный момент стандарты составляют единый комплекс по регламентированию обеспечения безопасности финансовых организаций. ГОСТ Р 57580.1-2017 определяет меры по защите информации, ГОСТ Р 57580.4-2022 определяет меры по обеспечению операционной надежности, а ГОСТ Р 57580.3-2022 объединяет в себе меры по особенностям выполнения обоих документов и дополнительно определяет меры по управлению риском реализации информационных угроз с учетом применяемых мер как в части защиты информации, так и в части обеспечению операционной надежности.

Деятельность по управлению риском реализации информационных угроз ГОСТ Р 57580.3-2022 регламентирует как непрерывный процесс, отражающий цикл Деминга, включающий аналогичную деятельность как по направлению защиты информации, так и по направлению обеспечения операционной надежности. Указанные виды деятельности в финансовых организациях должны быть взаимосвязаны, основаны на принятых значениях контрольных показателей уровня риска реализации информационных угроз (КПУР РИУ) и направлены на недопущение превышения их фактическими значениями КПУР РИУ.

На данный момент не выпущены стандарты, определяющие методику оценки зрелости ГОСТ Р 57580.3-2022 и методику оценки соответствия ГОСТ Р 57580.4-2022, как и сами стандарты не утверждены к обязательному исполнению положениями Банка России, но рекомендуем финансовым организациям уже сейчас изучить эти документы и начать работу по возможной перестройке СИОБ для будущего соответствия стандартам. Так как стандарт по управлению риском реализации информационных угроз во многом основывается и ссылается на меры стандартов по обеспечению операционной надежности и защите информации, оптимален будет следующий состав работ по реализации требований стандартов:

реализация уровня соответствия ГОСТ Р 57580.1-2017, установленного Положениями Банка России;
реализация мер ГОСТ Р 57580.4-2022;
реализация мер ГОСТ Р 57580.3-2022.

Финансовым организациям, выполняющим требования Положений Банка России № 716-П, 779-П и 787-П, будет проще реализовать выполнение мер новых ГОСТов, так как они в большой степени отражают требования этих положений, уточненные и дополненные.

ГОСТ Р 57580.3-2022 уточняет и дополняет требования Положения № 716-П по управлению риском реализации информационных угроз:

процедуры управления риском;
определение во внутренних документах политики управления риском;
мониторинг, выявление и классификация событий риска, а также реагирование на них;
определение и мониторинг КИР и КПУР;
оценка риска;
ведение базы событий риска;
отчетность в рамках управления риском и информирование заинтересованных лиц и организаций;
оценка эффективности системы управления риском;
распределение функций подразделений по управлению риском.

ГОСТ Р 57580.3-2022 также вводит новые особенности процесса управления риском реализации информационных угроз, в частности:

следование принципу «трех линий защиты»;
более детализированная классификация событий риска;
расширение состава КПУР с делением по группам, отмечены значения КПУР, установленные нормативными документами;
расширение требований к оценке степени вероятности реализации событий риска и степени тяжести последствий такой реализации;
расширение требований к оценке риска, связанного с недостатками кадрового обеспечения, с учетом наличия квалифицированных кадров, их оптимального количества с учетом трудозатрат на выполнение задач и размера организации, а также их возможным увольнением;
введение требований к квалификации работников службы ИБ с учетом профессионального стандарта специалистов по ИБ в кредитно-финансовой сфере;
расширение состава внутренней отчетности для всех подразделений, связанных с управлением риском;
расширение процессов информированию и привлечению руководства финансовых организаций к деятельности по управлению риском;
расширение процедур по управлению риском при привлечении поставщиков услуг.

Базовый состав мер ГОСТ Р 57580.3-2022 не сильно отличается для разных уровней защиты. Несмотря на то, что большинство мер являются организационными, их внедрение может потребовать значительных усилий за счет модификации действующих и внедрения новых процессов.

ГОСТ Р 57580.4-2022 уточняет и дополняет требования Положений № 779-П и 787-П по обеспечению операционной надежности:

определение во внутренних документах порядка управления операционной надежностью;
идентификации и учет элементов критичной архитектуры;
тестирования операционной надежности (сценарного анализа готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры);
управление изменениями критичной архитектуры;
выявление, регистрация инцидентов операционной надежности, реагирование на них, а также восстановление выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов;
управление доступом, включая удаленный доступ;
взаимодействие с поставщиками услуг в сфере информационных технологий;
обеспечение осведомленности об актуальных информационных угрозах и их нейтрализация.

ГОСТ Р 57580.4-2022 также вводит новые требования к процессу обеспечения операционной надежности, в частности:

установление и соблюдение не только контрольных, но и сигнальных значений КПУР, отмечены значения КПУР, установленные нормативными документами;
доведение фактических значений части КПУР до клиентов;
расширение требований к идентификации, учету и контролю состава элементов критичной архитектуры, включая их классификацию;
расширение требований к управлению изменениями элементов критичной архитектуры (например, классификация изменений по уровню критичности, согласование изменений не только ИБ, но и подразделением по управлению рисками);
разработка стандартов конфигурирования технических средств и систем, относящихся к критичной архитектуре, их согласование службой ИБ и контроль их изменения;
расширение требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них (например, определение целевых показателей реагирования на инциденты и степень их достижения, расширение состава ролей ГРИЗИ, согласование изменений в конфигурации не только ИБ, но и подразделением по управлению рисками);
расширение требований к восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов (например, определение целевых показателей восстановления после реализации инцидентов и степень их достижения, определение ролей, правил и процедур восстановления, определение критериев для оценки завершения восстановления);
оценка эффективности деятельности по выявлению, реагированию на инциденты и восстановлению после их реализации в рамках регулярной оценки эффективности системы управления риском реализации информационных угроз, проводимой службой внутреннего аудита или иным уполномоченным подразделением;
расширение состава внутренней отчетности в рамках управления операционной надежностью и риском реализации информационных угроз;
расширение процессов информированию и привлечению руководства финансовых организаций к деятельности по управлению операционной надежностью;
расширение процедур по управлению безопасности цепи поставок для управления операционной надежностью при привлечении поставщиков услуг (оценка поставщиков услуг, анализ и контроль их деятельности, выявление слабостей цепей поставок, привлечение дублирующих поставщиков услуг);
расширение мер по обеспечению безопасности при удаленном доступе, включая доступ для технического обслуживания и диагностики элементов критичной архитектуры (например, многофакторную аутентификацию, последующий контроль и анализ действий).

Базовый состав мер ГОСТ Р 57580.4-2022 изрядно отличается для разных уровней защиты. Организациям, реализующим усиленный уровень защиты, необходимо будет выполнять большую часть мер стандарта техническими средствами. Внедрение организационных мер также может потребовать модификации действующих и внедрения новых процессов по управлению операционной надежностью, оптимизации взаимодействия между подразделениями ИБ, ИТ и управляющим рисками подразделением.

Юлия Задубровская, руководитель направления безопасности финансовых организаций Infosecurity