ГОСТ Р 57580.4-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Безопасность финансовых (банковских) операций

ОБЕСПЕЧЕНИЕ ОПЕРАЦИОННОЙ НАДЕЖНОСТИ

Базовый состав организационных и технических мер

Security of financial (banking) operations. Ensuring operational resilience. Basic set of organizational and technical measures

ОКС 03.060

        35.030

Дата введения 2023-02-01

Предисловие

1 РАЗРАБОТАН Центральным банком Российской Федерации (Банком России)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 122 "Стандарты финансовых операций"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 г. N 1549-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Развитие и укрепление банковской системы Российской Федерации, развитие и обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Банка России [1]. Одно из условий достижения этих целей - должная реализация в кредитных организациях, некредитных финансовых организациях Российской Федерации, а также в субъектах национальной платежной системы (далее - финансовые организации) процессов обеспечения операционной надежности в условиях возможной реализации информационных угроз (далее - операционная надежность) при осуществлении видов деятельности, связанных с предоставлением финансовых, банковских услуг, в том числе услуг по осуществлению переводов денежных средств (далее - финансовые услуги), и (или) информационных услуг.

Применение информационных технологий для финансовых организаций стало основополагающей и неотъемлемой составляющей предоставления финансовых и (или) информационных услуг. Возникла зависимость устойчивого функционирования и развития финансовых организаций от надлежащего использования информационных технологий. В то же время деятельность финансовых организаций подвержена множеству разнообразных информационных угроз, реализация которых, как правило, приводит к финансовым (банковским) операциям, в том числе к переводам денежных средств, без согласия клиента, а также к нарушению надлежащего предоставления финансовых и (или) информационных услуг. В свою очередь, это оказывает влияние на операционную надежность финансовой организации и может приводить к следующим негативным последствиям:

- к возникновению потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации, в результате инцидентов, связанных с реализацией информационных угроз (далее - инциденты);

- нарушению непрерывного предоставления финансовой организацией финансовых и (или) информационных услуг;

- невыполнению обязательств по обеспечению защиты интересов клиентов финансовой организации;

- несоблюдению требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [2], а также устанавливаемых статьей 19 Федерального закона [3], статьей 16 Федерального закона [4] и Федеральным законом [5].

Реализация информационных угроз может также приводить к крупномасштабным инцидентам в пределах финансовой экосистемы, банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы. Если инцидент, обладающий потенциалом крупномасштабного, не локализован, его реализация может охватить различные финансовые организации, финансовые объединения и финансовые экосистемы, а также используемые ими объекты информатизации, в том числе входящие в критичную архитектуру. В свою очередь, это может привести к негативным последствиям, указанным выше, в рамках функционирования финансовой системы в целом, причиняя при этом значительный ущерб репутации ряда финансовых организаций.

Операционная надежность финансовой организации определяется также наличием взаимосвязей и (или) взаимозависимостей бизнес- и технологических процессов финансовой организации и причастных сторон, что в случае возникновения нарушений может приводить к потере доверия к финансовой организации или к возникновению дополнительной нагрузки на капитал финансовой организации вследствие возникновения существенных потерь в результате инцидентов.

Эффективное и результативное выявление, реагирование на инциденты и восстановление функционирования бизнес- и технологических процессов и объектов информатизации после произошедших инцидентов имеют важное значение для минимизации негативного влияния риска реализации информационных угроз и обеспечения операционной надежности финансовой организации.

Надежность, доступность и способность восстановления в кратчайшие сроки функционирования бизнес- и технологических процессов, включая восстановление задействованных при их выполнении объектов информатизации, являются ключевыми факторами повышения доверия причастных сторон, в том числе клиентов финансовой организации, к операционным возможностям финансовой организации.

Одними из источников риска реализации информационных угроз являются уязвимости задействованных при выполнении бизнес- и технологических процессов объектов информатизации. При этом из-за возможного наличия уязвимостей нулевого дня потенциально уязвимым может оказаться любой объект информатизации. Уменьшению негативного влияния риска реализации информационных угроз в таком случае способствуют меры, направленные на реализацию следующих процессов:

_______________

Термин применен в значении, установленном 3.8 ГОСТ Р 56545-2015.

- выявление, регистрация, реагирование на инциденты и восстановление после их реализации;

- тестирование операционной надежности бизнес- и технологических процессов, включающее сценарный анализ и тестирование готовности финансовой организации противостоять реализации информационных угроз.

При этом обеспечение устойчивого выполнения бизнес- и технологических процессов, а также устойчивого функционирования задействованных при их выполнении объектов информатизации в условиях возможной реализации информационных угроз в настоящее время является одним из основных факторов сохранения конкурентоспособности в условиях цифровизации экономики.

Основными целями настоящего стандарта являются:

- определение перечня процессов и соответствующих требований к составу и содержанию мер, направленных на обеспечение операционной надежности финансовыми организациями;

- достижение адекватности состава и содержания мер, направленных на обеспечение операционной надежности финансовыми организациями актуальным информационным угрозам и допустимому уровню риска реализации информационных угроз, принятому финансовой организацией;

- содействие эффективному и стандартизованному контролю мероприятий по обеспечению операционной надежности.

     1 Область применения

Настоящий стандарт устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер.

Настоящий стандарт служит для целей содействия соблюдения требований и рассматривается в качестве дополнения к нормативным актам Банка России, устанавливающих требования к системе управления операционным риском [6], а также требования к операционной надежности [7], [8].

Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона [1].

Для отдельных субъектов национальной платежной системы - операторов услуг платежной инфраструктуры и операторов услуг информационного обмена, в целях снижения вероятности возникновения негативных последствий для бесперебойности функционирования платежной системы, а также надлежащего оказания услуг банкам и их клиентам рекомендуется применять меры обеспечения операционной надежности, определяемые настоящим стандартом.

В соответствии с положениями нормативных актов Банка России положения настоящего стандарта могут применяться иными организациями, реализующими инновационные бизнес- и технологические процессы, связанные с предоставлением финансовых и (или) информационных услуг.

Состав мер обеспечения операционной надежности, определяемый настоящим стандартом, применим к совокупности критичных активов, идентифицируемых в рамках процесса "Идентификация критичной архитектуры".

Область применения настоящего стандарта, определяющая обязанность финансовых организаций внедрять меры обеспечения операционной надежности, реализующие один из уровней защиты для совокупности критичных активов финансовой организации, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на настоящий стандарт, приводимой на основании статьи 27 Федерального закона [9].

Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также договорах.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования

ГОСТ Р 53647.3-2015 Менеджмент непрерывности бизнеса. Часть 3. Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301

ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности

ГОСТ Р 55235.3-2012 Практические аспекты менеджмента непрерывности бизнеса. Применение к информационным и коммуникационным технологиям

ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер

ГОСТ Р 57580.3-2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения

ГОСТ Р 58256-2018 Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток

ГОСТ Р ИСО 22301-2014 Надежность в технике. Системы менеджмента непрерывности бизнеса. Общие требования

ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению

ГОСТ Р ИСО 28000-2019 Технические условия для систем менеджмента безопасности цепи поставок

ГОСТ Р ИСО/МЭК 27036-2-2020 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

ГОСТ Р ИСО/МЭК 27036-4-2020 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 57580.1 и ГОСТ Р 57580.3, а также следующие термины с соответствующими определениями:

3.1 целевая точка восстановления данных; ЦТВД: Состояние (объем), до которого необходимо восстановить данные, используемые в рамках выполнения бизнес- и технологических процессов, связанных с предоставлением финансовых и (или) информационных услуг, для обеспечения возобновления их выполнения.

Примечание - Адаптировано из ГОСТ Р ИСО 22301-2014.

3.2 целевое время восстановления; ЦВВ: Период времени, установленный финансовой организацией для возобновления предоставления финансовых и (или) информационных услуг, выполняемых при этом бизнес- и технологических процессов или восполнения ресурсов после инцидента, связанного с реализацией информационных угроз.

Примечания

1 Адаптировано из ГОСТ Р ИСО 22301-2014.

2 Для бизнес- и технологических процессов целевое время восстановления не должно превышать допустимого времени простоя и (или) деградации бизнес- и технологических процессов.

3 Операторам услуг платежной инфраструктуры при установлении целевого времени восстановления следует учитывать требования к определению показателя продолжительности восстановления оказания услуг платежной инфраструктуры согласно нормативному акту Банка России [10].

3.3 техническая мера обеспечения операционной надежности: Мера, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.

3.4 организационная мера обеспечения операционной надежности: Мера, не являющаяся технической мерой обеспечения операционной надежности, предусматривающая установление регламента работы с элементами критичной архитектуры и порядка фиксации результатов выполненной работы, в том числе установление в отдельных случаях временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования, и режимы работы объекта информатизации и (или) иных связанных с ним объектов.

3.5 конфигурация объекта информатизации: Совокупность параметров, определяющих структуру (совокупность функциональных частей и их взаимосвязь) и условия функционирования объекта информатизации.