Как кредитным организациям соответствовать ГОСТ Р 57580.3-2022

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Мошенники сегодня в основном нацелены на карточные операции.

Согласно , в третьем квартале 2023 года произошло больше всего краж у физических лиц с банковских карт, выявлено случаев. Чтобы добраться до средств граждан, злоумышленники стараются применять новые и неожиданные методы атак. Еще одной важной тенденцией в сфере хищений остается слабость человеческого фактора – действия сотрудников банков.

В том, чтобы помочь организациям своевременно выявлять угрозы и управлять операционными рисками, призван помочь ГОСТ 57580.3. В материале ниже эксперты, рассмотрят ключевые особенности стандарта.

Кому, когда и зачем нужно применять ГОСТ 57580.3

Все финансовые организации сталкиваются с рисками, связанными с информационными угрозами (далее – ИУ) в своих бизнес-процессах. Полностью избавиться негативных факторов невозможно. Но риски можно контролировать и попытаться свести к минимуму с помощью хорошей системы управления рисками (УР), которая включает в себя организационную структуру и различные меры. В говорится о том, как устроена система управления рисками, связанными с ИУ

На рисунке представлены основные нормативные требования для соответствия .

image001.png


Методические рекомендации (или 7-МР) должны соблюдать все финансовые организации, как кредитные, так и некредитные, включая небанковские кредитные учреждения. В частности, объясняется, как применять стандарты и . Рекомендации касаются управления рисками, связанными с ИУ, и обеспечения надежной работы кредитных и финансовых организаций.

7-МР различаются в зависимости от типа организации и стандарта. То есть для каждой категории финансовых организаций предусмотрены свои подходы к реализации уровней защиты, что позволяет учитывать их специфические потребности.

В ГОСТе описывает структуру системы управления рисками, связанными с ИУ, а также то, как эти элементы взаимосвязаны. Стандарт поясняет, что контрольные показатели уровня риска (КПУР), введенные в документе и устанавливаемые в процессе работы системы УР, должны соответствовать фактическим значениям и не выходить за установленные пределы. Иными словами, организация должна следить за тем, чтобы фактические показатели не превышали допустимые нормы. Данный стандарт направлен как на кредитные, так и на некредитные финансовые организации, участников платежной системы и другие финансовые экосистемы.

Согласно Положениям и , существуют 3 уровня защиты информации:
  • усиленный;
  • стандартный;
  • минимальный.
Выбор любого из них зависит от типа и объема работы финансовой организации, а также от ее размера и важности для всей финансовой системы. Рассмотрим сроки, уровни защиты и типы кредитных организаций:

Тип КО
Уровень защиты ГОСТ 57580.3 и 716-П ИБ
Срок
Универсальная лицензия и активы >500 млрд. рублей​
Усиленный​
31.12.2025​
Универсальная лицензия и активы <500 млрд. рублей​
Усиленный​
31.12.2026​
Базовая лицензия и НКО​
Стандартный​
31.12.2026​

Кредитным организациям необходимо выбрать подходящие методы и технологии для УР в области ИБ. Кроме того, важно обеспечить бесперебойную работу всех процессов. Таким образом кредитные организации смогут не только соответствовать ГОСТу, но и защищать свои активы, а также поддерживать доверие клиентов.

Требования и философия стандарта

image005.png


Рис. Разделы ГОСТ 57580.3

Основные разделы ГОСТ охватывают ключевые аспекты УР, связанные с ИУ в финансовых организациях. В разделе «Общие положения» описывается внедрение системы управления рисками и ее интеграция в общую структуру УР. Состав направлений, процессов и требований акцентирует внимание на операционной надежности и защите информации. А требования к СУР определяют меры по планированию, реализации, контролю и совершенствованию защиты на разных уровнях, что способствует созданию комплексной и эффективной системы защиты от ИУ.

Состав направлений, процессов и требований, определяется семействами стандартов:
  • Семейством стандартов Управления риском;
  • Семейством стандартов Обеспечения операционной надежности;
  • Семейством стандартов Защиты информации финансовых организаций.
Стандарт выделяет четыре ключевых процесса в системе УР, связанных с реализацией ИУ в соответствии с классическим Деминга/Шухарта:
  • Планирование, включающее создание правил для УР, определение и распознавание возможных рисков, оценку их значимости и организацию необходимых ресурсов.
  • Реализация - разработка плана, его выполнение, контроль за процессом и улучшение работы.
  • Контроль - проверка и наблюдение за выполнением задач с помощью аудита и мониторинга.
  • Совершенствование - улучшение системы за счет сравнения КПУР с фактическими данными.

Построение системы управления рисками информационных угроз

В системе управления рисками ИУ выделяются 3 линии защиты:
  1. Центры компетенций;
  2. Службы управления рисками и службы ИБ;
  3. Уполномоченное подразделение (в частности СВА).
Какие процессы в рамках семейства стандартов «Управление риском» выполняет планирование?
  • Определение политики УР
  • Выявление и идентификация риска
  • Организация ресурсного (кадрового и финансового) обеспечения
  • Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации ИУ
Какие процессы в рамках семейства стандартов «Управление риском» выполняет реализация?
  • Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации ИУ
  • Выявление событий риска реализации ИУ
  • Обеспечение осведомленности об актуальных ИУ
Какие процессы в рамках семейства стандартов «Управление риском» выполняет контроль?
  • Установление и реализация программ контроля и аудита
  • Мониторинг риска реализации ИУ
Какие процессы в рамках семейства стандартов «Управление риском» выполняет совершенствование?
  • Обеспечение соответствия фактических значений КПУР принятым
Всё это можно рассмотреть на рисунке ниже - состав мер в рамках стандартов УР:

image007.jpg


В зависимости от того, насколько защищена финансовая организация, выбираются различные меры защиты. Они могут быть как техническими, так и организационными. Очень важно, чтобы финансовые организации смогли заранее распознать признаки возможной угрозы. Чем раньше они это сделают, тем больше шансов подготовиться к проблеме и разработать меры для её предотвращения или для восстановления работы после атаки.

Чек-лист требований

Рассмотрим некоторые содержания мер СУР реализации ИУ - процесс «Определение политики управления риском реализации информационных угроз»:

Условное обозначение и номер меры​
Содержание мер системы управления риском реализации информационных угроз​
Уровень защиты​
Реализация меры
3​
2​
1​
ОПР.1​
Установление во внутренних документах финансовой организации структуры и организации системы УР реализации ИУ, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ, включая:
-​
-​
-​
ОПР.1.1​
- определение и описание состава процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации
О​
О​
О​
Политика ИС
Политика ИБ
Политика УОР​
ОПР.1.2​
- описание структуры и подходов к интеграции процессов УР реализации ИР в систему управления операционным риском финансовой организации
О​
О​
О​
Политика ИС
Политика ИБ
Политика УОР​
ОПР.1.3​
- определение организационной структуры финансовой организации, задействованной в выполнении процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля
О​
О​
О​
Политика ИС
Политика ИБ
Политика УОР
Критичная архитектура
Положение по обеспечению ОН​
ОПР.1.4​
- выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации
О​
О​
О​
Политика ИС
Политика ИБ
Политика УОР
Критичная архитектура
Положение по обеспечению ОН​
ОПР.1.5​
- порядок утверждения и условия пересмотра структуры и организации систем УР реализации ИУ, операционной надежности и защиты информации
О​
О​
О​
Политика ИС
Политика ИБ
Политика УОР
Критичная архитектура
Положение по обеспечению ОН​

Чтобы выполнить некоторые меры, достаточно провести актуализацию и/или разработать недостающие документы. Однако для других мер может понадобиться какие-либо изменения. Для каждого этапа плана лучше определить ответственного человека и указать сроки выполнения. И не забывать о том, что необходимо выполнить требования не только на бумаге, но и фактически.

Заключение​

Итак, вот основные этапы приведения в соответствие требованиям данного ГОСТа:
  1. Провести аудит существующей системы УИУ по всем требованиям и процессам
  2. Выявить несоответствие требований по чек-листу
  3. Определить наиболее разумный для организации вариант реализации меры с учетом имеющихся ресурсов и стратегии
  4. Отработать данную систему мер в организации
  5. Оценить эффективность и соответствие требованиям
  6. Регулярно совершенствовать систему для борьбы с новыми угрозами
На данный момент отсутствует методика проведения оценки соответствия требований по ГОСТ Р 57580.3, следовательно пока ее возможно проводить собственными силами и/или прибегать к помощи экспертов в целях сохранения трудозатрат и времени.



 
  • Теги
    банк гост 57580.3 кредитные организации мфо
  • Сверху Снизу