Как кредитным организациям соответствовать ГОСТ Р 57580.3-2022

erid: 2SDnjdLrkCa
Как кредитным организациям соответствовать ГОСТ Р 57580.3-2022
Как кредитным организациям соответствовать ГОСТ Р 57580.3-2022
19.08.2024

Юлия Шорошева.jpg
Юлия Шорошева

Консультант по ИБ в RTM Group


Мошенники сегодня в основном нацелены на карточные операции. Согласно отчету Банка России, в третьем квартале 2023 года произошло больше всего краж у физических лиц с банковских карт, выявлено 248620 случаев. Чтобы добраться до средств граждан, злоумышленники стараются применять новые и неожиданные методы атак. Еще одной важной тенденцией в сфере хищений остается слабость человеческого фактора – действия сотрудников банков.

В том, чтобы помочь организациям своевременно выявлять угрозы и управлять операционными рисками, призван помочь ГОСТ 57580.3. В материале ниже Юлия Шорошева, консультант по ИБ в RTM Group, рассмотрит ключевые особенности стандарта.

Кому, когда и зачем нужно применять ГОСТ 57580.3

Все финансовые организации сталкиваются с рисками, связанными с информационными угрозами (далее – ИУ) в своих бизнес-процессах. Полностью избавиться негативных факторов невозможно. Но риски можно контролировать и попытаться свести к минимуму с помощью хорошей системы управления рисками (УР), которая включает в себя организационную структуру и различные меры. В ГОСТ Р 57580.3-2022 говорится о том, как устроена система управления рисками, связанными с ИУ

На рисунке представлены основные нормативные требования для соответствия ГОСТ 57580.3.

image001.png

Методические рекомендации № 7-МР (или 7-МР) должны соблюдать все финансовые организации, как кредитные, так и некредитные, включая небанковские кредитные учреждения. В частности, объясняется, как применять стандарты ГОСТ 57580.3-2022 и ГОСТ 57580.4-2022. Рекомендации касаются управления рисками, связанными с ИУ, и обеспечения надежной работы кредитных и финансовых организаций.

7-МР различаются в зависимости от типа организации и стандарта. То есть для каждой категории финансовых организаций предусмотрены свои подходы к реализации уровней защиты, что позволяет учитывать их специфические потребности.

В ГОСТе описывает структуру системы управления рисками, связанными с ИУ, а также то, как эти элементы взаимосвязаны. Стандарт поясняет, что контрольные показатели уровня риска (КПУР), введенные в документе 716-П и устанавливаемые в процессе работы системы УР, должны соответствовать фактическим значениям и не выходить за установленные пределы. Иными словами, организация должна следить за тем, чтобы фактические показатели не превышали допустимые нормы. Данный стандарт направлен как на кредитные, так и на некредитные финансовые организации, участников платежной системы и другие финансовые экосистемы.

Согласно Положениям 683-П и 757-П, существуют 3 уровня защиты информации:

  • усиленный;
  • стандартный;
  • минимальный.

Выбор любого из них зависит от типа и объема работы финансовой организации, а также от ее размера и важности для всей финансовой системы. Рассмотрим сроки, уровни защиты и типы кредитных организаций:

Тип КО

Уровень защиты ГОСТ 57580.3 и 716-П ИБ

Срок

Универсальная лицензия и активы >500 млрд. рублей

Усиленный

31.12.2025

Универсальная лицензия и активы <500 млрд. рублей

Усиленный

31.12.2026

Базовая лицензия и НКО

Стандартный

31.12.2026

Кредитным организациям необходимо выбрать подходящие методы и технологии для УР в области ИБ. Кроме того, важно обеспечить бесперебойную работу всех процессов. Таким образом кредитные организации смогут не только соответствовать ГОСТу, но и защищать свои активы, а также поддерживать доверие клиентов.

Требования и философия стандарта

image005.png

Рис. Разделы ГОСТ 57580.3

Основные разделы ГОСТ охватывают ключевые аспекты УР, связанные с ИУ в финансовых организациях. В разделе «Общие положения» описывается внедрение системы управления рисками и ее интеграция в общую структуру УР. Состав направлений, процессов и требований акцентирует внимание на операционной надежности и защите информации. А требования к СУР определяют меры по планированию, реализации, контролю и совершенствованию защиты на разных уровнях, что способствует созданию комплексной и эффективной системы защиты от ИУ.

Состав направлений, процессов и требований, определяется семействами стандартов:

  • Семейством стандартов Управления риском;
  • Семейством стандартов Обеспечения операционной надежности;
  • Семейством стандартов Защиты информации финансовых организаций.

Стандарт ГОСТ Р 57580.3-2022 выделяет четыре ключевых процесса в системе УР, связанных с реализацией ИУ в соответствии с классическим Деминга/Шухарта:

  • Планирование, включающее создание правил для УР, определение и распознавание возможных рисков, оценку их значимости и организацию необходимых ресурсов.
  • Реализация - разработка плана, его выполнение, контроль за процессом и улучшение работы.
  • Контроль - проверка и наблюдение за выполнением задач с помощью аудита и мониторинга.
  • Совершенствование - улучшение системы за счет сравнения КПУР с фактическими данными.

Построение системы управления рисками информационных угроз

В системе управления рисками ИУ выделяются 3 линии защиты:

  1. Центры компетенций;
  2. Службы управления рисками и службы ИБ;
  3. Уполномоченное подразделение (в частности СВА).

Какие процессы в рамках семейства стандартов «Управление риском» выполняет планирование?

  • Определение политики УР
  • Выявление и идентификация риска
  • Организация ресурсного (кадрового и финансового) обеспечения
  • Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации ИУ

Какие процессы в рамках семейства стандартов «Управление риском» выполняет реализация?

  • Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации ИУ
  • Выявление событий риска реализации ИУ
  • Обеспечение осведомленности об актуальных ИУ

Какие процессы в рамках семейства стандартов «Управление риском» выполняет контроль?

  • Установление и реализация программ контроля и аудита
  • Мониторинг риска реализации ИУ

Какие процессы в рамках семейства стандартов «Управление риском» выполняет совершенствование?

  • Обеспечение соответствия фактических значений КПУР принятым

Всё это можно рассмотреть на рисунке ниже - состав мер в рамках стандартов УР:

image007.jpg

В зависимости от того, насколько защищена финансовая организация, выбираются различные меры защиты. Они могут быть как техническими, так и организационными. Очень важно, чтобы финансовые организации смогли заранее распознать признаки возможной угрозы. Чем раньше они это сделают, тем больше шансов подготовиться к проблеме и разработать меры для её предотвращения или для восстановления работы после атаки.

Чек-лист требований

Рассмотрим некоторые содержания мер СУР реализации ИУ - процесс «Определение политики управления риском реализации информационных угроз»:

Условное обозначение и номер меры

Содержание мер системы управления риском реализации информационных угроз

Уровень защиты

Реализация меры

3

2

1

ОПР.1

Установление во внутренних документах финансовой организации структуры и организации системы УР реализации ИУ, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ, включая:

-

-

-

ОПР.1.1

- определение и описание состава процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации

О

О

О

Политика ИС

Политика ИБ

Политика УОР

ОПР.1.2

- описание структуры и подходов к интеграции процессов УР реализации ИР в систему управления операционным риском финансовой организации

О

О

О

Политика ИС

Политика ИБ

Политика УОР

ОПР.1.3

- определение организационной структуры финансовой организации, задействованной в выполнении процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля

О

О

О

Политика ИС

Политика ИБ

Политика УОР

Критичная архитектура

Положение по обеспечению ОН

ОПР.1.4

- выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации

О

О

О

Политика ИС

Политика ИБ

Политика УОР

Критичная архитектура

Положение по обеспечению ОН

ОПР.1.5

- порядок утверждения и условия пересмотра структуры и организации систем УР реализации ИУ, операционной надежности и защиты информации

О

О

О

Политика ИС

Политика ИБ

Политика УОР

Критичная архитектура

Положение по обеспечению ОН

Чтобы выполнить некоторые меры, достаточно провести актуализацию и/или разработать недостающие документы. Однако для других мер может понадобиться какие-либо изменения. Для каждого этапа плана лучше определить ответственного человека и указать сроки выполнения. И не забывать о том, что необходимо выполнить требования не только на бумаге, но и фактически.

Заключение

Итак, вот основные этапы приведения в соответствие требованиям данного ГОСТа:

  1. Провести аудит существующей системы УИУ по всем требованиям и процессам
  2. Выявить несоответствие требований по чек-листу
  3. Определить наиболее разумный для организации вариант реализации меры с учетом имеющихся ресурсов и стратегии
  4. Отработать данную систему мер в организации
  5. Оценить эффективность и соответствие требованиям
  6. Регулярно совершенствовать систему для борьбы с новыми угрозами

На данный момент отсутствует методика проведения оценки соответствия требований по ГОСТ Р 57580.3, следовательно пока ее возможно проводить собственными силами и/или прибегать к помощи экспертов в целях сохранения трудозатрат и времени.


Популярные публикации

Комментарии 0