7.1 Финансовой организацией должны быть определены и выполняться направления, процессы, требования и меры, состав которых определяется в рамках семейств стандартов Комплекса стандартов, приведенных в разделе 5 настоящего стандарта.
7.2 Состав направлений, процессов и требований по управлению риском реализации информационных угроз и обеспечению операционной надежности, определяемый настоящим стандартом, формирующим основу семейства стандартов УР, приведен в таблице 1.
7.3 Состав направлений, процессов, требований по защите информации финансовых организаций, определяемый в рамках семейства стандартов ЗИ, приведен в таблице 2.
7.4 Состав направлений, процессов, требований по обеспечению операционной надежности, определяемый в рамках семейства стандартов ОН, приведен в таблице 3.
7.5 Состав направлений, процессов, требований и мер реализуется в рамках системы управления риском реализации информационных угроз систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, с учетом структуры и взаимосвязей, приведенных на рисунке 2.
Рисунок 2 - Структура и взаимосвязи системы управления риском реализации информационных угроз финансовой организации и систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов
Таблица 1 - Состав направлений и процессов, определяемых в рамках семейства стандартов УР "Управление риском реализации информационных угроз и обеспечение операционной надежности", и требования к их реализации
| | | |
Направление по управлению риском реализации информационных угроз | Процессы по управлению риском реализации информационных угроз | Подпроцессы по управлению риском реализации информационных угроз | Требования к реализации процессов |
Планирование системы управления риском реализации информационных угроз | Определение политики управления риском реализации информационных угроз | Применяемые финансовой организацией меры должны обеспечивать: - установление структуры и организации системы управления риском реализации информационных угроз, а также распределение функций, ролей и ответственности в рамках управления риском реализации информационных угроз (см. таблицу 4);
- установление политики управления риском реализации информационных угроз (см. таблицу 5);
- участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз (см. таблицу 6)
|
| Выявление и идентификация риска реализации информационных угроз, а также его оценка | Применяемые финансовой организацией меры должны обеспечивать: - идентификацию критичной архитектуры (см. таблицу 1 ГОСТ Р 57580.4-2022);
- идентификацию риска реализации информационных угроз (см. таблицу 7);
- выявление и моделирование информационных угроз (см. таблицу 8);
- оценку риска реализации информационных угроз (см. таблицу 9)
|
| Организация ресурсного (кадрового и финансового) обеспечения | Применяемые финансовой организацией меры должны обеспечивать: - организацию ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз (см. таблицу 10);
- организацию ресурсного (кадрового и финансового) обеспечения функционирования службы ИБ (см. таблицу 11);
- организацию целевого обучения по вопросам выявления и противостояния реализации информационных угроз (см. таблицу 12)
|
| Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз | Разработка мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз | Применяемые финансовой организацией меры должны обеспечивать: - выбор и применение способа реагирования на риск реализации информационных угроз (см. таблицу 13);
- разработку мероприятий, направленных на снижение СВР инцидентов (см. таблицу 14);
- разработку мероприятий, направленных на ограничение СТП инцидентов (см. таблицу 15)
|
Реализация системы управления риском реализации информационных угроз | Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз | Защита от информационных угроз | Применяемые финансовой организацией меры должны обеспечивать: - защиту информации финансовой организации (см. таблицу 16);
- операционную надежность (см. таблицу 17);
- управление риском реализации информационных угроз при аутсорсинге (см. таблицу 18);
- управление риском внутреннего нарушителя (см. таблицу 14 ГОСТ Р 57580.4-2022);
- управление риском реализации информационных угроз в финансовых экосистемах (см. таблицу 19);
- предотвращение утечек информации (см. таблицы 1-12, 29-31 ГОСТ Р 57580.1-2017)
|
| Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз | Реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации | Применяемые финансовой организацией меры должны обеспечивать: - реагирование на инциденты в отношении критичной архитектуры (см. таблицу 6 ГОСТ Р 57580.4-2022);
- восстановление функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов (см. таблицу 7 ГОСТ Р 57580.4-2022);
- проведение анализа причин и последствий реализации инцидентов (см. таблицу 8 ГОСТ Р 57580.4-2022);
- организацию взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации (см. таблицу 9 ГОСТ Р 57580.4-2022)
|
| Выявление событий риска реализации информационных угроз | Применяемые финансовой организацией меры должны обеспечивать: - сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях (см. таблицу 20);
- выявление и фиксацию инцидентов, в том числе обнаружение компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации (см. таблицу 5 ГОСТ Р 57580.4-2022);
- ведение претензионной работы (см. таблицу 21)
|
Реализация системы управления риском реализации информационных угроз | Обеспечение осведомленности об актуальных информационных угрозах | Применяемые финансовой организацией меры должны обеспечивать: - организацию взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз (см. таблицу 15 ГОСТ Р 57580.4-2022);
- использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации (см. таблицу 16 ГОСТ Р 57580.4-2022);
- повышение осведомленности работников финансовой организации в части противостояния реализации информационных угроз (см. таблицу 17 ГОСТ Р 57580.4-2022)
|
Контроль системы управления риском реализации информационных угроз | Установление и реализация программ контроля и аудита | Применяемые финансовой организацией меры должны обеспечивать: - проведение самооценки и профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации (см. таблицу 22);
- проведение сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения) (см. таблицу 12 ГОСТ Р 57580.4-2022);
- оценку эффективности функционирования системы управления риском реализации информационных угроз (см. таблицу 23);
- организацию внутренней отчетности в рамках управления риском реализации информационных угроз (см. таблицу 24)
|
| Мониторинг риска реализации информационных угроз | Финансовая организация должна применять меры по мониторингу риска реализации информационных угроз (см. таблицу 25) |
Совершенствование системы управления риском реализации информационных угроз | Обеспечение соответствия фактических значений КПУР принятым | Применяемые финансовой организацией меры должны обеспечивать: - проведение анализа необходимости совершенствования системы управления риском реализации информационных угроз (см. таблицу 26);
- принятие решений по совершенствованию системы управления риском реализации информационных угроз (см. таблицу 27)
|
Таблица 2 - Состав направлений и процессов, определяемых в рамках семейства стандартов ЗИ "Защита информации финансовой организации", и требования к их реализации
| | |
Направления, процессы (подпроцессы) по защите информации | Требования к реализации направлений, процессов (подпроцессов) по защите информации |
Обеспечение защиты информации при управлении доступом | Управление учетными записями и правами субъектов логического доступа | Применяемые финансовой организацией меры должны обеспечивать: - организацию и контроль использования учетных записей субъектов логического доступа (см. таблицу 1 ГОСТ Р 57580.1-2017);
- организацию и контроль предоставления (отзыва) и блокирования логического доступа (см. таблицу 2 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с операциями с учетными записями и правами логического доступа, и контроль использования предоставленных прав логического доступа (см. таблицу 3 ГОСТ Р 57580.1-2017)
|
| Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа | Применяемые финансовой организацией меры должны обеспечивать: - идентификацию и аутентификацию субъектов логического доступа (см. таблицу 4 ГОСТ Р 57580.1- 2017);
- организацию управления и организацию защиты идентификационных и аутентификационных данных (см. таблицу 5 ГОСТ Р 57580.1-2017);
- авторизацию (разграничение доступа) при осуществлении логического доступа (см. таблицу 6 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа (см. таблицу 7 ГОСТ Р 57580.1-2017)
|
| Защита информации при осуществлении физического доступа | Применяемые финансовой организацией меры должны обеспечивать: - организацию и контроль физического доступа в помещения, в которых расположены объекты доступа (см. таблицу 8 ГОСТ Р 57580.1-2017);
- организацию и контроль физического доступа к объектам доступа, расположенным в публичных (общедоступных) местах (см. таблицу 9 ГОСТ Р 57580.1-2017);
- регистрацию событий, связанных с физическим доступом (см. таблицу 10 ГОСТ Р 57580.1-2017)
|
| Идентификация и учет ресурсов и объектов доступа | Применяемые финансовой организацией меры должны обеспечивать: - организацию учета и контроль состава ресурсов и объектов доступа (см. таблицу 11 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа (см. таблицу 12 ГОСТ Р 57580.1-2017)
|
Обеспечение защиты вычислительных сетей | Сегментация и межсетевое экранирование вычислительных сетей | Применяемые финансовой организацией меры должны обеспечивать: - сегментацию и межсетевое экранирование внутренних вычислительных сетей (см. таблицу 13 ГОСТ Р 57580.1-2017);
- защиту внутренних вычислительных сетей при взаимодействии с сетью Интернет (см. таблицу 14 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей (см. таблицу 15 ГОСТ Р 57580.1-2017)
|
Обеспечение защиты вычислительных сетей | Выявление вторжений и сетевых атак | Применяемые финансовой организацией меры должны обеспечивать: - мониторинг и контроль содержимого сетевого трафика (см. таблицу 16 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика (см. таблицу 17 ГОСТ Р 57580.1-2017)
|
| Защита информации, передаваемой по вычислительным сетям | Финансовой организацией должны применяться меры по защите информации, передаваемой по вычислительным сетям (см. таблицу 18 ГОСТ Р 57580.1-2017) |
| Защита беспроводных сетей | Применяемые финансовой организацией меры должны обеспечивать: - защиту информации от раскрытия и модификации при использовании беспроводных сетей (см. таблицу 19 ГОСТ Р 57580.1-2017);
- защиту внутренних вычислительных сетей при использовании беспроводных сетей (см. таблицу 20 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с использованием беспроводных сетей (см. таблицу 21 ГОСТ Р 57580.1-2017)
|
Контроль целостности и защищенности информационной инфраструктуры | Применяемые финансовой организацией меры должны обеспечивать: - контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации (см. таблицу 22 ГОСТ Р 57580.1-2017);
- организацию и контроль размещения, хранения и обновления ПО информационной инфраструктуры (таблица 23 ГОСТ Р 57580.1-2017);
- контроль состава и целостности ПО информационной инфраструктуры (см. таблицу 24 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры (см. таблицу 25 ГОСТ Р 57580.1-2017)
|
Защита от вредоносного кода | Применяемые финансовой организацией меры должны обеспечивать: - организацию эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры (см. таблицу 26 ГОСТ Р 57580.1-2017);
- организацию и контроль применения средств защиты от вредоносного кода (таблица 27 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с реализацией защиты от вредоносного кода (таблица 28 ГОСТ Р 57580.1-2017)
|
Предотвращение утечек информации | Применяемые финансовой организацией меры должны обеспечивать: - блокирование не разрешенных к использованию и контроль разрешенных к использованию потенциальных каналов утечки информации (см. таблицу 29 ГОСТ Р 57580.1-2017);
- контроль (анализ) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации (см. таблицу 30 ГОСТ Р 57580.1-2017);
- организацию защиты машинных носителей информации (см. таблицу 31 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации (см. таблицу 32 ГОСТ Р 57580.1-2017)
|
Управление инцидентами защиты информации | Мониторинг и анализ событий защиты информации | Применяемые финансовой организацией меры должны обеспечивать: - организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации (см. таблицу 33 ГОСТ Р 57580.1-2017);
- сбор, защиту и хранение данных регистрации о событиях защиты информации (см. таблицу 34 ГОСТ Р 57580.1-2017);
- анализ данных регистрации о событиях защиты информации (см. таблицу 35 ГОСТ Р 57580.1- 2017);
- регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации (см. таблицу 36 ГОСТ Р 57580.1-2017)
|
| Обнаружение инцидентов защиты информации и реагирование на них | Применяемые финансовой организацией меры должны обеспечивать: - обнаружение и регистрацию инцидентов защиты информации (см. таблицу 37 ГОСТ Р 57580.1- 2017);
- организацию реагирования на инциденты защиты информации (см. таблицу 38 ГОСТ Р 57580.1- 2017);
- организацию хранения и защиту информации об инцидентах защиты информации (см. таблицу 39 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них (см. таблицу 40 ГОСТ Р 57580.1-2017)
|
Защита среды виртуализации | Применяемые финансовой организацией меры должны обеспечивать: - организацию идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации (см. таблицу 41 ГОСТ Р 57580.1-2017);
- организацию и контроль информационного взаимодействия и изоляции виртуальных машин (см. таблицу 42 ГОСТ Р 57580.1-2017);
- организацию защиты образов виртуальных машин (см. таблицу 43 ГОСТ Р 57580.1-2017);
- регистрацию событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации (см. таблицу 44 ГОСТ Р 57580.1-2017)
|
Защита информации при осуществлении удаленного логического доступа работников организации кредитно-финансовой сферы с использованием мобильных (переносных) устройств | Применяемые финансовой организацией меры должны обеспечивать: - защиту информации от раскрытия и модификации при осуществлении удаленного доступа (см. таблицу 45 ГОСТ Р 57580.1-2017);
- защиту внутренних вычислительных сетей при осуществлении удаленного доступа (см. таблицу 46 ГОСТ Р 57580.1-2017);
- защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах (см. таблицу 47 ГОСТ Р 57580.1-2017)
|
Планирование процесса системы защиты информации | В рамках направления "планирование" финансовая организация обеспечивает определение (пересмотр) (см. таблицу 48 ГОСТ Р 57580.1-2017): - области применения процесса системы защиты информации;
- состава применяемых (а также неприменяемых) мер защиты информации;
- состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
- порядка применения мер защиты информации в рамках процесса системы защиты информации
|
Реализация процесса системы защиты информации | В рамках направления "реализация" финансовая организация обеспечивает (см. таблицу 49 ГОСТ Р 57580.1-2017): - должное применение мер защиты информации;
- определение ролей защиты информации, связанных с применением мер защиты информации;
- назначение ответственных лиц за выполнение ролей защиты информации;
- доступность реализации технических мер защиты информации;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации организации кредитно-финансовой сферы;
- обучение, практическую подготовку (переподготовку) работников организации кредитно-финансовой сферы, ответственных за применение мер защиты информации;
- повышение осведомленности (инструктаж) работников организации кредитно-финансовой сферы в области защиты информации
|
Контроль процесса системы защиты информации | Применяемые финансовой организацией меры защиты информации должны обеспечивать контроль (см. таблицу 50 ГОСТ Р 57580.1-2017): - области применения процесса системы защиты информации;
- должного применения мер защиты информации в рамках процесса системы защиты информации;
- знаний работников организации кредитно-финансовой сферы в части применения мер защиты информации
|
Совершенствование процесса системы защиты информации | Применяемые финансовой организацией меры в рамках направления "совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации (см. таблицу 51 ГОСТ Р 57580.1-2017) |
Защита информации на этапах жизненного цикла автоматизированных систем и приложений | Применяемые финансовой организацией меры на этапах жизненного цикла автоматизированных систем (далее - АС) должны обеспечивать (см. таблицы 53-56 ГОСТ Р 57580.1-2017): - определение состава мер защиты информации, реализуемых в АС (мер системы защиты информации АС);
- должное применение и контроль применения мер системы защиты информации АС;
- контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС;
- конфиденциальность защищаемой информации
|