Точный
Статус документа
Статус документа

ГОСТ Р 57580.4-2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

Введение


Развитие и укрепление банковской системы Российской Федерации, развитие и обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Банка России [1]. Одно из условий достижения этих целей - должная реализация в кредитных организациях, некредитных финансовых организациях Российской Федерации, а также в субъектах национальной платежной системы (далее - финансовые организации) процессов обеспечения операционной надежности в условиях возможной реализации информационных угроз (далее - операционная надежность) при осуществлении видов деятельности, связанных с предоставлением финансовых, банковских услуг, в том числе услуг по осуществлению переводов денежных средств (далее - финансовые услуги), и (или) информационных услуг.

Применение информационных технологий для финансовых организаций стало основополагающей и неотъемлемой составляющей предоставления финансовых и (или) информационных услуг. Возникла зависимость устойчивого функционирования и развития финансовых организаций от надлежащего использования информационных технологий. В то же время деятельность финансовых организаций подвержена множеству разнообразных информационных угроз, реализация которых, как правило, приводит к финансовым (банковским) операциям, в том числе к переводам денежных средств, без согласия клиента, а также к нарушению надлежащего предоставления финансовых и (или) информационных услуг. В свою очередь, это оказывает влияние на операционную надежность финансовой организации и может приводить к следующим негативным последствиям:

- к возникновению потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации, в результате инцидентов, связанных с реализацией информационных угроз (далее - инциденты);

- нарушению непрерывного предоставления финансовой организацией финансовых и (или) информационных услуг;

- невыполнению обязательств по обеспечению защиты интересов клиентов финансовой организации;

- несоблюдению требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [2], а также устанавливаемых статьей 19 Федерального закона [3], статьей 16 Федерального закона [4] и Федеральным законом [5].

Реализация информационных угроз может также приводить к крупномасштабным инцидентам в пределах финансовой экосистемы, банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы. Если инцидент, обладающий потенциалом крупномасштабного, не локализован, его реализация может охватить различные финансовые организации, финансовые объединения и финансовые экосистемы, а также используемые ими объекты информатизации, в том числе входящие в критичную архитектуру. В свою очередь, это может привести к негативным последствиям, указанным выше, в рамках функционирования финансовой системы в целом, причиняя при этом значительный ущерб репутации ряда финансовых организаций.

Операционная надежность финансовой организации определяется также наличием взаимосвязей и (или) взаимозависимостей бизнес- и технологических процессов финансовой организации и причастных сторон, что в случае возникновения нарушений может приводить к потере доверия к финансовой организации или к возникновению дополнительной нагрузки на капитал финансовой организации вследствие возникновения существенных потерь в результате инцидентов.

Эффективное и результативное выявление, реагирование на инциденты и восстановление функционирования бизнес- и технологических процессов и объектов информатизации после произошедших инцидентов имеют важное значение для минимизации негативного влияния риска реализации информационных угроз и обеспечения операционной надежности финансовой организации.

Надежность, доступность и способность восстановления в кратчайшие сроки функционирования бизнес- и технологических процессов, включая восстановление задействованных при их выполнении объектов информатизации, являются ключевыми факторами повышения доверия причастных сторон, в том числе клиентов финансовой организации, к операционным возможностям финансовой организации.

Одними из источников риска реализации информационных угроз являются уязвимости задействованных при выполнении бизнес- и технологических процессов объектов информатизации. При этом из-за возможного наличия уязвимостей нулевого дня потенциально уязвимым может оказаться любой объект информатизации. Уменьшению негативного влияния риска реализации информационных угроз в таком случае способствуют меры, направленные на реализацию следующих процессов:

_______________

Термин применен в значении, установленном 3.8 ГОСТ Р 56545-2015.

- выявление, регистрация, реагирование на инциденты и восстановление после их реализации;

- тестирование операционной надежности бизнес- и технологических процессов, включающее сценарный анализ и тестирование готовности финансовой организации противостоять реализации информационных угроз.