Как кредитным организациям соответствовать ГОСТ Р 57580.3-2022

Мошенники сегодня в основном нацелены на карточные операции. Согласно отчету Банка России, в третьем квартале 2023 года произошло больше всего краж у физических лиц с банковских карт, выявлено 248620 случаев. Чтобы добраться до средств граждан, злоумышленники стараются применять новые и неожиданные методы атак. Еще одной важной тенденцией в сфере хищений остается слабость человеческого фактора – действия сотрудников банков.

В том, чтобы помочь организациям своевременно выявлять угрозы и управлять операционными рисками, призван помочь ГОСТ 57580.3. В материале ниже Юлия Шорошева, консультант по ИБ в RTM Group, рассмотрит ключевые особенности стандарта.

Кому, когда и зачем нужно применять ГОСТ 57580.3

Все финансовые организации сталкиваются с рисками, связанными с информационными угрозами (далее – ИУ) в своих бизнес-процессах. Полностью избавиться негативных факторов невозможно. Но риски можно контролировать и попытаться свести к минимуму с помощью хорошей системы управления рисками (УР), которая включает в себя организационную структуру и различные меры. В ГОСТ Р 57580.3-2022 говорится о том, как устроена система управления рисками, связанными с ИУ

На рисунке представлены основные нормативные требования для соответствия ГОСТ 57580.3.

Методические рекомендации № 7-МР (или 7-МР) должны соблюдать все финансовые организации, как кредитные, так и некредитные, включая небанковские кредитные учреждения. В частности, объясняется, как применять стандарты ГОСТ 57580.3-2022 и ГОСТ 57580.4-2022. Рекомендации касаются управления рисками, связанными с ИУ, и обеспечения надежной работы кредитных и финансовых организаций.

7-МР различаются в зависимости от типа организации и стандарта. То есть для каждой категории финансовых организаций предусмотрены свои подходы к реализации уровней защиты, что позволяет учитывать их специфические потребности.

В ГОСТе описывает структуру системы управления рисками, связанными с ИУ, а также то, как эти элементы взаимосвязаны. Стандарт поясняет, что контрольные показатели уровня риска (КПУР), введенные в документе 716-П и устанавливаемые в процессе работы системы УР, должны соответствовать фактическим значениям и не выходить за установленные пределы. Иными словами, организация должна следить за тем, чтобы фактические показатели не превышали допустимые нормы. Данный стандарт направлен как на кредитные, так и на некредитные финансовые организации, участников платежной системы и другие финансовые экосистемы.

Согласно Положениям 683-П и 757-П, существуют 3 уровня защиты информации:

• усиленный;
• стандартный;
• минимальный.

Выбор любого из них зависит от типа и объема работы финансовой организации, а также от ее размера и важности для всей финансовой системы. Рассмотрим сроки, уровни защиты и типы кредитных организаций:

Тип КО	Уровень защиты ГОСТ 57580.3 и 716-П ИБ	Срок
Универсальная лицензия и активы >500 млрд. рублей	Усиленный	31.12.2025
Универсальная лицензия и активы <500 млрд. рублей	Усиленный	31.12.2026
Базовая лицензия и НКО	Стандартный	31.12.2026

Кредитным организациям необходимо выбрать подходящие методы и технологии для УР в области ИБ. Кроме того, важно обеспечить бесперебойную работу всех процессов. Таким образом кредитные организации смогут не только соответствовать ГОСТу, но и защищать свои активы, а также поддерживать доверие клиентов.

Требования и философия стандарта

Рис. Разделы ГОСТ 57580.3

Основные разделы ГОСТ охватывают ключевые аспекты УР, связанные с ИУ в финансовых организациях. В разделе «Общие положения» описывается внедрение системы управления рисками и ее интеграция в общую структуру УР. Состав направлений, процессов и требований акцентирует внимание на операционной надежности и защите информации. А требования к СУР определяют меры по планированию, реализации, контролю и совершенствованию защиты на разных уровнях, что способствует созданию комплексной и эффективной системы защиты от ИУ.

Состав направлений, процессов и требований, определяется семействами стандартов:

• Семейством стандартов Управления риском;
• Семейством стандартов Обеспечения операционной надежности;
• Семейством стандартов Защиты информации финансовых организаций.

Стандарт ГОСТ Р 57580.3-2022 выделяет четыре ключевых процесса в системе УР, связанных с реализацией ИУ в соответствии с классическим Деминга/Шухарта:

• Планирование, включающее создание правил для УР, определение и распознавание возможных рисков, оценку их значимости и организацию необходимых ресурсов.
• Реализация - разработка плана, его выполнение, контроль за процессом и улучшение работы.
• Контроль - проверка и наблюдение за выполнением задач с помощью аудита и мониторинга.
• Совершенствование - улучшение системы за счет сравнения КПУР с фактическими данными.

Построение системы управления рисками информационных угроз

В системе управления рисками ИУ выделяются 3 линии защиты:

1. Центры компетенций;
2. Службы управления рисками и службы ИБ;
3. Уполномоченное подразделение (в частности СВА).

Какие процессы в рамках семейства стандартов «Управление риском» выполняет планирование?

• Определение политики УР
• Выявление и идентификация риска
• Организация ресурсного (кадрового и финансового) обеспечения
• Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации ИУ

Какие процессы в рамках семейства стандартов «Управление риском» выполняет реализация?

• Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации ИУ
• Выявление событий риска реализации ИУ
• Обеспечение осведомленности об актуальных ИУ

Какие процессы в рамках семейства стандартов «Управление риском» выполняет контроль?

• Установление и реализация программ контроля и аудита
• Мониторинг риска реализации ИУ

Какие процессы в рамках семейства стандартов «Управление риском» выполняет совершенствование?

• Обеспечение соответствия фактических значений КПУР принятым

Всё это можно рассмотреть на рисунке ниже - состав мер в рамках стандартов УР:

В зависимости от того, насколько защищена финансовая организация, выбираются различные меры защиты. Они могут быть как техническими, так и организационными. Очень важно, чтобы финансовые организации смогли заранее распознать признаки возможной угрозы. Чем раньше они это сделают, тем больше шансов подготовиться к проблеме и разработать меры для её предотвращения или для восстановления работы после атаки.

Чек-лист требований

Рассмотрим некоторые содержания мер СУР реализации ИУ - процесс «Определение политики управления риском реализации информационных угроз»:

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты			Реализация меры
		3	2	1
ОПР.1	Установление во внутренних документах финансовой организации структуры и организации системы УР реализации ИУ, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ, включая:	-	-	-
ОПР.1.1	- определение и описание состава процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации	О	О	О	Политика ИС Политика ИБ Политика УОР
ОПР.1.2	- описание структуры и подходов к интеграции процессов УР реализации ИР в систему управления операционным риском финансовой организации	О	О	О	Политика ИС Политика ИБ Политика УОР
ОПР.1.3	- определение организационной структуры финансовой организации, задействованной в выполнении процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля	О	О	О	Политика ИС Политика ИБ Политика УОР Критичная архитектура Положение по обеспечению ОН
ОПР.1.4	- выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации	О	О	О	Политика ИС Политика ИБ Политика УОР Критичная архитектура Положение по обеспечению ОН
ОПР.1.5	- порядок утверждения и условия пересмотра структуры и организации систем УР реализации ИУ, операционной надежности и защиты информации	О	О	О	Политика ИС Политика ИБ Политика УОР Критичная архитектура Положение по обеспечению ОН

Чтобы выполнить некоторые меры, достаточно провести актуализацию и/или разработать недостающие документы. Однако для других мер может понадобиться какие-либо изменения. Для каждого этапа плана лучше определить ответственного человека и указать сроки выполнения. И не забывать о том, что необходимо выполнить требования не только на бумаге, но и фактически.

Заключение

Итак, вот основные этапы приведения в соответствие требованиям данного ГОСТа:

1. Провести аудит существующей системы УИУ по всем требованиям и процессам
2. Выявить несоответствие требований по чек-листу
3. Определить наиболее разумный для организации вариант реализации меры с учетом имеющихся ресурсов и стратегии
4. Отработать данную систему мер в организации
5. Оценить эффективность и соответствие требованиям
6. Регулярно совершенствовать систему для борьбы с новыми угрозами

На данный момент отсутствует методика проведения оценки соответствия требований по ГОСТ Р 57580.3, следовательно пока ее возможно проводить собственными силами и/или прибегать к помощи экспертов в целях сохранения трудозатрат и времени.