ГОСТ Р 57580.4-2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер
7.2 Процесс 1 "Идентификация критичной архитектуры"
7.2.1 Применяемые финансовой организацией меры по идентификации критичной архитектуры должны обеспечивать организацию учета и контроля состава элементов критичной архитектуры.
7.2.2 Состав мер по организации учета и контроля состава элементов критичной архитектуры применительно к уровням защиты приведен в таблице 1.
Таблица 1
Условное | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
обозначение и номер меры |
| 3 | 2 | 1 |
ИКА.1 | Организация* и выполнение деятельности по учету элементов критичной архитектуры: | |||
ИКА.1.1 | - бизнес- и технологических процессов**, реализуемых непосредственно финансовой организацией | О | О | Т |
ИКА.1.2 | - бизнес- и технологических процессов, технологических операций (участков), реализуемых поставщиками услуг [переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов, предоставляемых поставщиками услуг] | О | О | Т |
ИКА.1.3 | - подразделений финансовой организации, ответственных за разработку бизнес- и технологических процессов, поддержание их реализации бизнес- и технологических процессов | О | О | Т |
ИКА.1.4 | - технологических операций (участков) в рамках каждого из бизнес- и технологического процессов | Н | О | Т |
ИКА.1.5 | - объектов информатизации (прикладного и инфраструктурного уровней) финансовой организации, задействованных при выполнении каждого из бизнес- и технологического процессов, в том числе их конфигураций | О | Т | Т |
ИКА.1.6 | - субъектов доступа, задействованных при выполнении каждого из бизнес- и технологического процессов | О | Т | Т |
ИКА.1.7 | - взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнес- и технологических процессов | Н | О | Т |
ИКА.1.8 | - каналов передачи (информационных потоков) защищаемой информации***, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов | Н | О | Т |
ИКА.2 | Организация и выполнение деятельности по классификации технологических операций (участков) бизнес- и технологического процессов, значимых в контексте необходимости применения технологических мер защиты информации в соответствии с приложением А | Н | О | Т |
ИКА.3 | Организация и выполнение деятельности по классификации объектов информатизации инфраструктурного уровня, как минимум, по следующим системным уровням: - уровень аппаратного обеспечения; - уровень сетевого оборудования; - уровень сетевых приложений и сервисов; - уровень серверных компонентов виртуализации, программных инфраструктурных сервисов; - уровень операционных систем, систем управления базами данных, серверов приложений | О | О | Т |
ИКА.4 | Организация и выполнение деятельности по классификации объектов информатизации прикладного уровня (прикладного ПО автоматизированных систем и приложений), значимых в контексте отсутствия уязвимостей, как минимум по следующим типам:
| О | О | Т |
ИКА.5 | Организация и выполнение деятельности по классификации субъектов доступа по принадлежности работников к группе повышенного риска, обладающих привилегированным доступом к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов | О | О | Т |
ИКА.6 | Организация и выполнение деятельности по учету и классификации сервисов поставщика облачных услуг и применяемых мер защиты информации в зависимости от модели предоставления сервиса:
| Н | О | Т |
ИКА.7 | Организация и выполнение деятельности по классификации защищаемой информации (определению критериев отнесения информации к защищаемой и перечня ее типов), обрабатываемой, передаваемой и (или) хранимой финансовой организацией в рамках выполнения бизнес- и технологических процессов в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России [11]-[13] | О | О | Т |
ИКА.8 | Организация и выполнение деятельности по классификации в зависимости от класса обрабатываемой, передаваемой и (или) хранимой защищаемой информации задействованных при этом: | |||
ИКА.8.1 | - объектов информатизации | О | О | Т |
ИКА.8.2 | - субъектов доступа | О | О | Т |
ИКА.8.3 | - каналов передачи (информационных потоков) защищаемой информации как внутри финансовой организации, так при взаимодействии с причастными сторонами | Н | О | Т |
ИКА.9 | Организация и выполнение деятельности по фиксации результатов учета и классификации, предусмотренных мерами ИКА.1 - ИКА.8, с использованием стандартизованных нотаций описания (например, BPMN [21]*, TOGAF [22]) | Н | Н | Т |
________________ * Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных. | ||||
ИКА.10 | Организация и выполнение деятельности по единому централизованному учету результатов идентификации и классификации, предусмотренных мерами ИКА.1 - ИКА.8 | Н | Н | Т |
ИКА.11 | Установление во внутренних документах финансовой организации для каждого из бизнес- и технологического процессов, входящих в критичную архитектуру, целевых показателей операционной надежности согласно приложению Б | О | О | О |
ИКА.12 | Контроль состава [обеспечение актуальности данных (инвентарных)] критичных активов (элементов критичной архитектуры) | |||
ИКА.12.1 | - контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.1-ИКА.1.3 | О | О | О |
ИКА.12.2 | - контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.4 и ИКА.1.7 | Н | О | О |
ИКА.12.3 | - контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.5 и ИКА.1.6 | О | Т | Т |
ИКА.12.4 | - контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерой ИКА.1.8 | Н | О | Т |
ИКА.13 | Организация и выполнение деятельности по описанию актуальной топологии вычислительных сетей финансовой организации | Н | О | Т |
* Организация деятельности должна включать отражение во внутренних документах финансовой организации регламента осуществления соответствующей деятельности и распределения ролей по ее выполнению. ** Перечень бизнес- и технологических процессов, обязательных для включения в критичную архитектуру, устанавливается нормативными актами Банка России [7], [8]. *** Рекомендуется использовать ГОСТ Р 58256.
- сетевых роутеров; - средств защиты информации; - серверных устройств, задействованных в выполнении бизнес- и технологических процессов; - иных объектов информатизации, задействованных в реализации бизнес- и технологических процессов и (или) непосредственно взаимодействующих с сетью Интернет. В случае привлечения поставщика облачных услуг описание топологии должно содержать информацию только о сетевом расположении устройств, находящихся под управлением финансовой организации. | ||||
:
В целях обеспечения актуальности данных (инвентарных) о критичных активах (элементах критичной архитектуры) процесс идентификации критичной архитектуры должен быть интегрирован с процессом управления изменениями, а также реализован на этапах жизненного цикла объектов информатизации.
Описание топологии вычислительных сетей финансовой организации должно, как минимум, содержать информацию о сетевом расположении (как минимум, ip-адресах):