ГОСТ Р 57580.4-2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

     6 Общие положения

6.1 Деятельности финансовой организации свойственен риск реализации информационных угроз, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня.

Для снижения риска и противодействия реализации информационных угроз, а также их влиянию на операционную надежность финансовой организации следует, среди прочего, обеспечить должное планирование, реализацию, контроль и совершенствование процессов системы обеспечения операционной надежности.

6.2 Планирование и реализация процессов обеспечения операционной надежности должны быть осуществлены финансовой организацией на всех этапах жизненного цикла элементов критичной архитектуры, начиная с этапа разработки и планирования внедрения бизнес- и технологических процессов, реализующих виды деятельности финансовой организации, связанные с предоставлением финансовых и (или) информационных услуг.

Указанный подход позволяет удостовериться в эффективности, защищенности и устойчивости реализуемых бизнес- и технологических процессов.

6.3 Организационная структура управления процессами обеспечения операционной надежности реализуется в соответствии с требованиями нормативных актов Банка России, в частности [6], и положениями ГОСТ Р 57580.3 и является составляющей частью более широкой организационной структуры управления финансовой организации. Цели и приоритеты обеспечения операционной надежности должны соответствовать целям и приоритетам управления рисками (операционным риском), в том числе риском реализации информационных угроз, установленным в финансовой организации, и должны быть доведены до сведения всех вовлеченных подразделений и должностных лиц финансовой организации.

Принимаемые исполнительным органом решения, связанные с обеспечением достижения целей и приоритетов операционной надежности финансовой организации, должны соответствовать общим бизнес-целям финансовой организации.

6.4 Процессы обеспечения операционной надежности существенным образом связаны с поддержанием непрерывности деятельности и ее восстановлением после возможных прерываний. При этом на обеспечение операционной надежности значительное влияние оказывают проектирование, реализация и управление критичными активами в соответствии с установленными показателями операционной надежности, в том числе разработка и (или) применение технических решений, функциональные возможности и характеристики которых соответствуют потребностям финансовой организации по обеспечению непрерывности и качества функционирования объектов информатизации, входящих в критичную архитектуру.

Наряду с мерами обеспечения операционной надежности, приведенными в разделе 7, финансовым организациям следует рассматривать следующие вопросы:

а) проведение сценарного анализа (в части возможного прерывания деятельности финансовой организации в результате реализации инцидентов в отношении критичных активов), проведение анализа влияния на бизнес (BIA) с учетом результатов сценарного анализа, а также установление ЦВВ и ЦТВД в отношении критичных активов;

б) проектирование и реализацию критичных активов в исполнении, позволяющем ограничить негативное воздействие в результате инцидентов и восстановить предоставление финансовых и (или) информационных услуг в течение заданного временного периода (ЦВВ), в том числе завершить расчеты к концу операционного дня, а также обеспечить целостность защищаемой информации, связанной с осуществлением финансовых (банковских) операций, в том числе переводов денежных средств;

_______________

К защищаемой информации относится информация, перечень которой определен в [11]-[13].

в) обеспечение необходимой и достаточной производительности объектов информатизации финансовой организации, их надежной работы (отказоустойчивости), возможности их планового масштабирования, а также оперативного восстановления работоспособности;

г) применение отказоустойчивых решений, разделение основных и резервных критичных активов (в том числе в части их резервирования), используемых в рамках обработки и хранения данных, достигаемое в том числе:

_______________

Включая системы резервного хранения, электро- и холодоснабжения/теплоотвода, каналы связи.