Статус документа
Статус документа

ГОСТ Р 57580.3-2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения

     7 Состав направлений, процессов и требований, определяемый комплексом стандартов

7.1 Финансовой организацией должны быть определены и выполняться направления, процессы, требования и меры, состав которых определяется в рамках семейств стандартов Комплекса стандартов, приведенных в разделе 5 настоящего стандарта.

7.2 Состав направлений, процессов и требований по управлению риском реализации информационных угроз и обеспечению операционной надежности, определяемый настоящим стандартом, формирующим основу семейства стандартов УР, приведен в таблице 1.

7.3 Состав направлений, процессов, требований по защите информации финансовых организаций, определяемый в рамках семейства стандартов ЗИ, приведен в таблице 2.

7.4 Состав направлений, процессов, требований по обеспечению операционной надежности, определяемый в рамках семейства стандартов ОН, приведен в таблице 3.

7.5 Состав направлений, процессов, требований и мер реализуется в рамках системы управления риском реализации информационных угроз систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, с учетом структуры и взаимосвязей, приведенных на рисунке 2.

     Рисунок 2 - Структура и взаимосвязи системы управления риском реализации информационных угроз финансовой организации и систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов




Таблица 1 - Состав направлений и процессов, определяемых в рамках семейства стандартов УР "Управление риском реализации информационных угроз и обеспечение операционной надежности", и требования к их реализации

Направление по управлению риском реализации информационных угроз

Процессы по управлению риском реализации информационных угроз

Подпроцессы по управлению риском реализации информационных угроз

Требования к реализации процессов

Планирование системы управления риском реализации информационных угроз

Определение политики управления риском реализации информационных угроз

Применяемые финансовой организацией меры должны обеспечивать:


- установление структуры и организации системы управления риском реализации информационных угроз, а также распределение функций, ролей и ответственности в рамках управления риском реализации информационных угроз (см. таблицу 4);


- установление политики управления риском реализации информационных угроз (см. таблицу 5);


- участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз (см. таблицу 6)

 

Выявление и идентификация риска реализации информационных угроз, а также его оценка

Применяемые финансовой организацией меры должны обеспечивать:


- идентификацию критичной архитектуры (см. таблицу 1 ГОСТ Р 57580.4-2022);


- идентификацию риска реализации информационных угроз (см. таблицу 7);


- выявление и моделирование информационных угроз (см. таблицу 8);


- оценку риска реализации информационных угроз (см. таблицу 9)

 

Организация ресурсного (кадрового и финансового) обеспечения

Применяемые финансовой организацией меры должны обеспечивать:


- организацию ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз (см. таблицу 10);


- организацию ресурсного (кадрового и финансового) обеспечения функционирования службы ИБ (см. таблицу 11);


- организацию целевого обучения по вопросам выявления и противостояния реализации информационных угроз (см. таблицу 12)

 

Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз

Разработка мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз

Применяемые финансовой организацией меры должны обеспечивать:


- выбор и применение способа реагирования на риск реализации информационных угроз (см. таблицу 13);


- разработку мероприятий, направленных на снижение СВР инцидентов (см. таблицу 14);


- разработку мероприятий, направленных на ограничение СТП инцидентов (см. таблицу 15)

Реализация системы управления риском реализации информационных угроз

Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз

Защита от информационных угроз

Применяемые финансовой организацией меры должны обеспечивать:


- защиту информации финансовой организации (см. таблицу 16);


- операционную надежность (см. таблицу 17);


- управление риском реализации информационных угроз при аутсорсинге (см. таблицу 18);


- управление риском внутреннего нарушителя (см. таблицу 14 ГОСТ Р 57580.4-2022);


- управление риском реализации информационных угроз в финансовых экосистемах (см. таблицу 19);


- предотвращение утечек информации (см. таблицы 1-12, 29-31 ГОСТ Р 57580.1-2017)

 

Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз

Реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации

Применяемые финансовой организацией меры должны обеспечивать:


- реагирование на инциденты в отношении критичной архитектуры (см. таблицу 6 ГОСТ Р 57580.4-2022);


- восстановление функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов (см. таблицу 7 ГОСТ Р 57580.4-2022);


- проведение анализа причин и последствий реализации инцидентов (см. таблицу 8 ГОСТ Р 57580.4-2022);


- организацию взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации (см. таблицу 9 ГОСТ Р 57580.4-2022)

 

Выявление событий риска реализации информационных угроз

Применяемые финансовой организацией меры должны обеспечивать:


- сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях (см. таблицу 20);


- выявление и фиксацию инцидентов, в том числе обнаружение компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации (см. таблицу 5 ГОСТ Р 57580.4-2022);


- ведение претензионной работы (см. таблицу 21)

Реализация системы управления риском реализации информационных угроз

Обеспечение осведомленности об актуальных информационных угрозах

Применяемые финансовой организацией меры должны обеспечивать:


- организацию взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз (см. таблицу 15 ГОСТ Р 57580.4-2022);


- использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации (см. таблицу 16 ГОСТ Р 57580.4-2022);


- повышение осведомленности работников финансовой организации в части противостояния реализации информационных угроз (см. таблицу 17 ГОСТ Р 57580.4-2022)

Контроль системы управления риском реализации информационных угроз

Установление и реализация программ контроля и аудита

Применяемые финансовой организацией меры должны обеспечивать:


- проведение самооценки и профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации (см. таблицу 22);


- проведение сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения) (см. таблицу 12 ГОСТ Р 57580.4-2022);


- оценку эффективности функционирования системы управления риском реализации информационных угроз (см. таблицу 23);


- организацию внутренней отчетности в рамках управления риском реализации информационных угроз (см. таблицу 24)

 

Мониторинг риска реализации информационных угроз

Финансовая организация должна применять меры по мониторингу риска реализации информационных угроз (см. таблицу 25)

Совершенствование системы управления риском реализации информационных угроз

Обеспечение соответствия фактических значений КПУР принятым

Применяемые финансовой организацией меры должны обеспечивать:


- проведение анализа необходимости совершенствования системы управления риском реализации информационных угроз (см. таблицу 26);


- принятие решений по совершенствованию системы управления риском реализации информационных угроз (см. таблицу 27)



Таблица 2 - Состав направлений и процессов, определяемых в рамках семейства стандартов ЗИ "Защита информации финансовой организации", и требования к их реализации

Направления, процессы (подпроцессы) по защите информации

Требования к реализации направлений, процессов (подпроцессов) по защите информации

Обеспечение защиты информации при управлении доступом

Управление учетными записями и правами субъектов логического доступа

Применяемые финансовой организацией меры должны обеспечивать:


- организацию и контроль использования учетных записей субъектов логического доступа (см. таблицу 1 ГОСТ Р 57580.1-2017);


- организацию и контроль предоставления (отзыва) и блокирования логического доступа (см. таблицу 2 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с операциями с учетными записями и правами логического доступа, и контроль использования предоставленных прав логического доступа (см. таблицу 3 ГОСТ Р 57580.1-2017)

 

Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа

Применяемые финансовой организацией меры должны обеспечивать:


- идентификацию и аутентификацию субъектов логического доступа (см. таблицу 4 ГОСТ Р 57580.1- 2017);


- организацию управления и организацию защиты идентификационных и аутентификационных данных (см. таблицу 5 ГОСТ Р 57580.1-2017);


- авторизацию (разграничение доступа) при осуществлении логического доступа (см. таблицу 6 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа (см. таблицу 7 ГОСТ Р 57580.1-2017)

 

Защита информации при осуществлении физического доступа

Применяемые финансовой организацией меры должны обеспечивать:


- организацию и контроль физического доступа в помещения, в которых расположены объекты доступа (см. таблицу 8 ГОСТ Р 57580.1-2017);


- организацию и контроль физического доступа к объектам доступа, расположенным в публичных (общедоступных) местах (см. таблицу 9 ГОСТ Р 57580.1-2017);


- регистрацию событий, связанных с физическим доступом (см. таблицу 10 ГОСТ Р 57580.1-2017)

 

Идентификация и учет ресурсов и объектов доступа

Применяемые финансовой организацией меры должны обеспечивать:


- организацию учета и контроль состава ресурсов и объектов доступа (см. таблицу 11 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа (см. таблицу 12 ГОСТ Р 57580.1-2017)

Обеспечение защиты вычислительных сетей

Сегментация и межсетевое экранирование вычислительных сетей

Применяемые финансовой организацией меры должны обеспечивать:


- сегментацию и межсетевое экранирование внутренних вычислительных сетей (см. таблицу 13 ГОСТ Р 57580.1-2017);


- защиту внутренних вычислительных сетей при взаимодействии с сетью Интернет (см. таблицу 14 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей (см. таблицу 15 ГОСТ Р 57580.1-2017)

Обеспечение защиты вычислительных сетей

Выявление вторжений и сетевых атак

Применяемые финансовой организацией меры должны обеспечивать:


- мониторинг и контроль содержимого сетевого трафика (см. таблицу 16 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика (см. таблицу 17 ГОСТ Р 57580.1-2017)

 

Защита информации, передаваемой по вычислительным сетям

Финансовой организацией должны применяться меры по защите информации, передаваемой по вычислительным сетям (см. таблицу 18 ГОСТ Р 57580.1-2017)

 

Защита беспроводных сетей

Применяемые финансовой организацией меры должны обеспечивать:


- защиту информации от раскрытия и модификации при использовании беспроводных сетей (см. таблицу 19 ГОСТ Р 57580.1-2017);


- защиту внутренних вычислительных сетей при использовании беспроводных сетей (см. таблицу 20 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с использованием беспроводных сетей (см. таблицу 21 ГОСТ Р 57580.1-2017)

Контроль целостности и защищенности информационной инфраструктуры

Применяемые финансовой организацией меры должны обеспечивать:


- контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации (см. таблицу 22 ГОСТ Р 57580.1-2017);


- организацию и контроль размещения, хранения и обновления ПО информационной инфраструктуры (таблица 23 ГОСТ Р 57580.1-2017);


- контроль состава и целостности ПО информационной инфраструктуры (см. таблицу 24 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры (см. таблицу 25 ГОСТ Р 57580.1-2017)

Защита от вредоносного кода

Применяемые финансовой организацией меры должны обеспечивать:


- организацию эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры (см. таблицу 26 ГОСТ Р 57580.1-2017);


- организацию и контроль применения средств защиты от вредоносного кода (таблица 27 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с реализацией защиты от вредоносного кода (таблица 28 ГОСТ Р 57580.1-2017)

Предотвращение утечек информации

Применяемые финансовой организацией меры должны обеспечивать:


- блокирование не разрешенных к использованию и контроль разрешенных к использованию потенциальных каналов утечки информации (см. таблицу 29 ГОСТ Р 57580.1-2017);


- контроль (анализ) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации (см. таблицу 30 ГОСТ Р 57580.1-2017);


- организацию защиты машинных носителей информации (см. таблицу 31 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации (см. таблицу 32 ГОСТ Р 57580.1-2017)

Управление инцидентами защиты информации

Мониторинг и анализ событий защиты информации

Применяемые финансовой организацией меры должны обеспечивать:


- организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации (см. таблицу 33 ГОСТ Р 57580.1-2017);


- сбор, защиту и хранение данных регистрации о событиях защиты информации (см. таблицу 34 ГОСТ Р 57580.1-2017);


- анализ данных регистрации о событиях защиты информации (см. таблицу 35 ГОСТ Р 57580.1- 2017);


- регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации (см. таблицу 36 ГОСТ Р 57580.1-2017)

 

Обнаружение инцидентов защиты информации и реагирование на них

Применяемые финансовой организацией меры должны обеспечивать:


- обнаружение и регистрацию инцидентов защиты информации (см. таблицу 37 ГОСТ Р 57580.1- 2017);


- организацию реагирования на инциденты защиты информации (см. таблицу 38 ГОСТ Р 57580.1- 2017);


- организацию хранения и защиту информации об инцидентах защиты информации (см. таблицу 39 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них (см. таблицу 40 ГОСТ Р 57580.1-2017)

Защита среды виртуализации

Применяемые финансовой организацией меры должны обеспечивать:


- организацию идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации (см. таблицу 41 ГОСТ Р 57580.1-2017);


- организацию и контроль информационного взаимодействия и изоляции виртуальных машин (см. таблицу 42 ГОСТ Р 57580.1-2017);


- организацию защиты образов виртуальных машин (см. таблицу 43 ГОСТ Р 57580.1-2017);


- регистрацию событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации (см. таблицу 44 ГОСТ Р 57580.1-2017)

Защита информации при осуществлении удаленного логического доступа работников организации кредитно-финансовой сферы с использованием мобильных (переносных) устройств

Применяемые финансовой организацией меры должны обеспечивать:


- защиту информации от раскрытия и модификации при осуществлении удаленного доступа (см. таблицу 45 ГОСТ Р 57580.1-2017);


- защиту внутренних вычислительных сетей при осуществлении удаленного доступа (см. таблицу 46 ГОСТ Р 57580.1-2017);


- защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах (см. таблицу 47 ГОСТ Р 57580.1-2017)

Планирование процесса системы защиты информации

В рамках направления "планирование" финансовая организация обеспечивает определение (пересмотр) (см. таблицу 48 ГОСТ Р 57580.1-2017):


- области применения процесса системы защиты информации;


- состава применяемых (а также неприменяемых) мер защиты информации;


- состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;


- порядка применения мер защиты информации в рамках процесса системы защиты информации

Реализация процесса системы защиты информации

В рамках направления "реализация" финансовая организация обеспечивает (см. таблицу 49 ГОСТ Р 57580.1-2017):


- должное применение мер защиты информации;


- определение ролей защиты информации, связанных с применением мер защиты информации;


- назначение ответственных лиц за выполнение ролей защиты информации;


- доступность реализации технических мер защиты информации;


- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации организации кредитно-финансовой сферы;


- обучение, практическую подготовку (переподготовку) работников организации кредитно-финансовой сферы, ответственных за применение мер защиты информации;


- повышение осведомленности (инструктаж) работников организации кредитно-финансовой сферы в области защиты информации

Контроль процесса системы защиты информации

Применяемые финансовой организацией меры защиты информации должны обеспечивать контроль (см. таблицу 50 ГОСТ Р 57580.1-2017):


- области применения процесса системы защиты информации;


- должного применения мер защиты информации в рамках процесса системы защиты информации;


- знаний работников организации кредитно-финансовой сферы в части применения мер защиты информации

Совершенствование процесса системы защиты информации

Применяемые финансовой организацией меры в рамках направления "совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации (см. таблицу 51 ГОСТ Р 57580.1-2017)

Защита информации на этапах жизненного цикла автоматизированных систем и приложений

Применяемые финансовой организацией меры на этапах жизненного цикла автоматизированных систем (далее - АС) должны обеспечивать (см. таблицы 53-56 ГОСТ Р 57580.1-2017):


- определение состава мер защиты информации, реализуемых в АС (мер системы защиты информации АС);


- должное применение и контроль применения мер системы защиты информации АС;


- контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС;


- конфиденциальность защищаемой информации