С 01.02.2023 введен ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».
Развитие финансовой системы сопровождается также и усложнением процессов, увеличением количества объектов и субъектов операций, а также все большим использованием информационных систем. Однако по мере роста и развития любой системы, появляются новые риски ведения деятельности. Так как финансовая система является основой функционирования экономики, то стабильность и надежность процессов финансовой системы является важной задачей. Обеспечение уровня операционной надежности возможно, когда все элементы системы выполняют единые требования в процессах функционирования, основанные на стандартах безопасности и управления рисками.
Все финансовые организации подвержены рискам информационных угроз всех основных бизнес-процессов. Полностью устранить любой риск возможно только путем отказа от деятельности или процесса, но при этом, ожидаемо, будет отсутствовать и положительный финансовый результат. Однако если риск невозможно убрать, то им можно управлять и постараться снизить его до минимальных значений за счет эффективной системы управления рисками, основанной на организационной структуре и набору организационных и технических мер.
Данный стандарт устанавливает требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также системам управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.
Цель стандарта – содействие соблюдению требований к системе управления операционными рисками в предприятиях финансового сектора.
Рассматривается в качестве дополнения к нормативным актам Банка России. Положения настоящего стандарта предназначены для использования кредитными и некредитными финансовыми организациями, а также участниками платежной системы, финансовыми объединениями и экосистемами.
Результат применения данного стандарта: обеспечение операционной надежности к всем бизнес- и технологическим процессам и критичных активов (объекты информации, субъектов доступа и защищаемой информации).
Процесс обеспечения операционной надежности предлагается осуществлять через цикл Деминга (планирование, реализацию, контроль и совершенствование процессов) или контрольный цикл Шухарта PDCA (plan–do–check–adjust). Использование итеративных методов проектирования и управления, используемый в бизнесе для контроля и постоянного совершенствования процессов и продуктов говорит о необходимости применения стандартов управления. ГОСТ указывает на ключевые условия к данным процессам в виде требований, которым организации должны соответствовать.
Структура ГОСТа
В ГОСТе представлена структура (и взаимосвязи) системы управления рисками реализации информационных угроз, которая предполагает, что значения, принятые организацией КПУР (контрольные показатели уровня риска) в следствии функционирования системы управления рисками, состоящей из управления операционной надежностью и защитой информации, приобретают уже фактические значения, которые по логике управления рисками должны стать не более, чем установленные.
Настоящий Стандарт использует рискоориентированный подход к организации информационной системы организаций, с применением методов управлению рисками риска (информационных угроз) через идентификацию, оценку, планирование, осуществление, совершенствование и контроль процессов по управлению рисками. В ГОСТе прописываются основные требования к данным процессам в виде требований, которым организации должны соответствовать.
Уровень защиты определяется в зависимости от вида и масштаба деятельности финансовой организации, ее размера и значимости для финансовой системы.
Совершенствование системы осуществляемое через обеспечение контрольным показателям уровня риска (КПУР) принятым фактическим, что должно в свою очередь обеспечивать как проведение анализа необходимости совершенствования системы управления рисками информационных угроз, так и принятие решений по совершенствованию системы.
Для каждого процесса определяются состав направлений и процессов (в т.ч. подпроцессов), определяемых в рамках семейства стандартов управления риском реализации информационных угроз и обеспечения операционной надежности, а также требования к ним. В рамках семейства защиты информации финансовой организации определены соответствующие направления и процессы, и относящиеся к ним требования, основанные на ГОСТ Р 57580.1-2017. Требования к направлениям и процессам в области операционной надежности основываются на ГОСТ Р 57580.4-2022, вступившем в силу также как и данный ГОСТ одновременно 1 февраля 2023 года.
Особенности ГОСТ
Отличительной особенностью ГОСТ являются требования к непосредственно применяемым мерам по управлению риском реализации информационных угроз. В зависимости от уровня защиты, определенной для финансовой организации, определяется состав мер, которые могут не применяться, могут быть техническими или организационными. Причем отмечается, что по решению финансовой организации организационные меры могут быть реализованы путем применения технических мер.
Важное значение для обеспечения операционной надежности отводится к способности финансовых организаций распознавать признаки возможной угрозы до ее непосредственного наступления. Чем раньше будет распознана потенциальная угроза, тем больше возможности подготовиться к наступления события и разработать контрмеры для предотвращения как наступления самих угроз, так и восстановлению процессов в случае их наступления.
В целях распознавания информационных рисков требуется высокий уровень осведомленности о возможных угрозах, через поиск информации и анализ актуальных направлений потенциальных опасностей операционной надежности. Условием осведомленности предполагается осуществлять через информационный обмен с Банком России, специализированными федеральными органами (ФинЦЕРТ), поставщиками и клиентами финансовых организаций, при этом организации могут быть и вне финансового сектора.
В ГОСТ представлены обязательные Приложения, в которых отражены классификации событий риска реализации информационных угроз с точки зрения источников, типов событий рисков, направлений деятельности и видов потерь финансовых организаций.
Также в Приложениях определены КПУР реализации информационных угроз как для кредитных, так и некредитных финансовых организаций, которые в соответствии с Приложениями Д и Е определяются организацией самостоятельно или согласно нормативных актов Банка России.